slydiman

TP-Link TL-SH1008 с али. Сейчас много непонятных дешевых свичей, пока не поставишь не узнаешь. Но это уже оффтоп. На всякий случай - я сразу написал что со скоростью проводных подключений ничего нельзя сделать. И главное не надо пытаться делать, то есть угадывать через какой экстендер это проходит и брать скорость порта экстендера. Подозреваю что именно это было причиной проблемы.

5.0.7 - На мой взгляд теперь всё отображается корректно. Ещё понаблюдаю... Попытка отображать через что подключены проводные устройства и их скорость была авантюрой. К примеру у меня KN-1012 Giga, в порт 2.5G воткнут свич #1 (2.5Gbit), в него воткнут свич #2 (1Gbit) и далее куча устройств, включая 100Mbit. Роутер показывает скорость всех проводных устройств 2.5Gbit и с этим ничего нельзя сделать.

5.0.7 - На мой взгляд теперь всё отображается корректно. Ещё понаблюдаю... Попытка отображать через что подключены проводные устройства и их скорость была авантюрой. К примеру у меня KN-1012 Giga, в порт 2.5G воткнут свич #1 (2.5Gbit), в него воткнут свич #2 (1Gbit) и далее куча устройств, включая 100Mbit. Роутер показывает скорость всех проводных устройств 2.5Gbit и с этим ничего нельзя сделать.

5.0.7 - На мой взгляд теперь всё отображается корректно. Ещё понаблюдаю... Попытка отображать через что подключены проводные устройства и их скорость была авантюрой. К примеру у меня KN-1012 Giga, в порт 2.5G воткнут свич #1 (2.5Gbit), в него воткнут свич #2 (1Gbit) и далее куча устройств, включая 100Mbit. Роутер показывает скорость всех проводных устройств 2.5Gbit и с этим ничего нельзя сделать.

Вот тут это решено

К примеру у меня есть ethernet подключение (WAN1) которое только IPv6. Я могу поставить его в политиках подключений первым и далее комбинировать любые IPv4 подключения. Клиенты получают IPv6 через одно подключение, IPv4 через другое. В случае WG такой возможности просто нет. То есть WG на Кинетике всегда имеет какой-то IPv4. Я ещё в исходном посте сказал что можно используя 2 роутера разделить эти подключения по ethernet. Но хотелось бы иметь возможность получить от WG чистое только IPv6 подключение для целей описанных выше.

Если это WG подключение используется для выхода в интернет, то этот совет не работает. Интернета по IPv4 просто не будет. Идея в том чтобы иметь возможность через политики подключений выбирать разные комбинации для выхода в интернет по IPv4 и по IPv6.

В другой ветке ответил, дублирую: Поставил 5.1 Aplha 1 на роутер и экстендеры. Вроде бы стал правильно показывать хотя бы через wi-fi или по проводу. Но через какой экстендер - всё так же печально. Экстендеров 2, соответственно в списке Wi-Fi system 3 строки. Проводные устройства подключенные через неуправляемый свич к главному роутеру - половину показывает якобы через экстедер (последний из списка). Wi-Fi устройства подключенные напрямую к главному роутеру - некоторые показывает якобы через экстедер (последний из списка) - это уж точно баг, ибо не надо анализировать какие-то атрибуты пакетов и гадать, каждый экстендер и уж сам роутер абсолютно точно знают список своих Wi-Fi клиентов. Устройства подключенные через первый экстендер (второй в списке, не последний) вроде бы отображаются правильно, но не все. К первому экстендеру подключено 13 Wi-Fi устройств. На роутере в Wi-Fi system отображается что у первого экстендера 13 Wi-Fi клиентов. Но на самом роутере в списке устройств только 5 устройств с пометкой "через первый экстендер", остальные якобы через другой экстендер (последний в списке).

Поставил 5.1 Aplha 1 на роутер и экстендеры. Вроде бы стал правильно показывать хотя бы через wi-fi или по проводу. Но через какой экстендер - всё так же печально. Экстендеров 2, соответственно в списке Wi-Fi system 3 строки. Проводные устройства подключенные через неуправляемый свич к главному роутеру - половину показывает якобы через экстедер (последний из списка). Wi-Fi устройства подключенные напрямую к главному роутеру - некоторые показывает якобы через экстедер (последний из списка) - это уж точно баг, ибо не надо анализировать какие-то атрибуты пакетов и гадать, каждый экстендер и уж сам роутер абсолютно точно знают список своих Wi-Fi клиентов. Устройства подключенные через первый экстендер (второй в списке, не последний) вроде бы отображаются правильно, но не все. К первому экстендеру подключено 13 Wi-Fi устройств. На роутере в Wi-Fi system отображается что у первого экстендера 13 Wi-Fi клиентов. Но на самом роутере в списке устройств только 5 устройств с пометкой "через первый экстендер", остальные якобы через другой экстендер (последний в списке).

WireGuard поддерживает туннель IPv4 или IPv4+IPv6. Сейчас при настройке WireGuard поле "IPv4 адрес" обязательно к заполнению. Нужна возможность создать только IPv6 туннель без IPv4. К примеру роутер получает IPv6 через WireGuard но IPv4 для выхода в интернет нужно использовать свой - сейчас это невозможно. Только IPv6 ethernet подключения работают, можно решить проблему используя 2 роутера, но это не серьёзно.

5.0.6. Перезагрузки не влияют. 60+ устройств. Большая часть Wi-Fi подключений показывается правильно, но не все. Есть Wi-Fi подключенные через экстендер, но показывает "по кабелю". Но больше половины устройств подключенных по кабелю показывает "через экстендр". Причем экстендеров 2. Те устройства что подключены по кабелю и показываются что якобы через экстендер, приписывает к последнему в списке экстендеру. Если экстендеры поменять местами, то неправильные подключения будет показывать через другой экстендер (последний в списке). Есть ощущение что на всё это влияет multicast и пр. протоколы. Устройства, которые не шлют мультикаст отображаются правильно. Камеры видеонаблюдения которые шлют мультикаст почти все отображаются неправильно. Роутер похоже видит какие-то блуждающие пакеты и делает какие-то безумные предположения о конфигурации сети.

5.0.6 - надломили роутинг в WG. На роутере 8 WG подключений. Wireguard0 (подсеть 192.168.10.0/24) имеет 9 пиров. Один из этих пиров (192.168.10.8) - роутер OpenWRT из машины (192.168.11.1). В настройках пира в AllowedIPs указана в том числе подсеть 192.168.11.0/24. Настроен роутинг в сеть 192.168.11.0/24 через интерфейс Wireguard0 и был ещё указал шлюз 192.168.10.8 и стояли галочки добавлять автоматически. Я понимаю что указание шлюза избыточно, но на всякий случай. После обновления на 5.0.6 - машина имеент доступ к Кинетику, Кинетик не имеет доступа к машине. Роутинг до 192.168.11.0/24 красный. Выкл/вкл WG не помог. Из роутинга убрал шлюз, оставил только интерфейс Wireguard0 - роутинг позеленел и доступ появился. Ок, но не ясно что не так. Что-то случилось с определением доступности шлюза в WG подключении. Другие пиры - другие роутеры Кинетик, шлюзы были прописаны также и продолжают работать. То есть добавили какую-то эвристику для "своих".

Возможно это исправлено в 5.0.5 [NDM-4225].

Да, с 5.0.6 стало хуже - энтропии в списке устройств добавилось. Похоже разработчики не воспроизвели проблему в тепличных условиях и делают правки наугад.

Это было написано 1.5 года назад! Ну что очень не скоро - верю, но тут скорее из совсем иных соображений. Резолв AAAA вероятно давно реализован в том же ping 6 в диагностике. Логику выбора соединения можно продумать и тут нет вообще ничего сложного. Во первых надо добавить в список соединений для выбора IPv6 соединения. Если выбрано "любое" и DNS выдал сразу и IPv4 и IPv6 адрес, то идти по первому доступному согласно политикам. Для того же 6in4 сказано что оно должно быть 1 в списке, так что пойдёт через IPv6. Кому надо - тот подрихтует DNS чтобы выдавалось что нужно. Но вообще здравый смысл подсказывает использовать IPv6, если оно доступно. Так что, проблем не вижу. Было бы желание или указание или скорее разрешение сверху.

https://forum.keenetic.ru/topic/27308-как-wireguard-клиентов-направить-в-интернет-по-ipv6/

Есть Ethernet подключение только IPv6. Настроить PingChecker невозможно, он просто не поддерживает ping IPv6. Надо бы допилить, что очевидно не сложно. В диагностике Ping IPv6 имеется и работает.

Внезапно выяснилось что OpenConnect клиент в Кинетике не умеет подключаться по IPv6. Надо срочно исправить! DNS для домена выдаёт только IPv6 адрес. Сам туннель выдаёт IPv4. Кинетик поддерживает IPv6 туннель, но не само подключение к серверу. В настройках Кинетика в списке connect via для OpenConnect даже не выдаются 6in4 подключения. В списке есть ethernet подключение, даже если оно только IPv6 - что на данный момент баг, ибо IPv6 подключения не поддерживаются. Ни через Ethernet (only IPv6), ни через Any connection Кинетик не может подключиться к OpenConnect серверу по IPv6. Исправить это проще некуда - просто использовать IPv6 вместо IPv4 для подключения к серверу, если DNS выдал IPv6 адрес. Вся туннельная кухня остаётся без изменений. Прошу поддержать!

Попробовал настроить второй роутер Кинетик с WG клиентом IPv6 и впёрся. Чтобы WG клиент на Кинетике начал пускать клиентские устройства в интернет по IPv6 нужно в конфиге Кинетика УДАЛИТЬ строку ipv6 local-prefix default Я не знаю при каких действиях в web UI она добавляется. И я не знаю как её удалить через CLI. Просто слил конфиг, удалил строку, залил конфиг обратно. И только после этого задача 2 решена! Из важного - WG подключение (или несколько подключений) IPv6 должно быть вверху списка в политиках подключений Default. При этом политикой подключений Default может не пользоваться ни одно устройство. Но это необходимое условие. Ещё интересные наблюдения - WG сервер на Ubuntu работает. WG клиент на Кинетике НЕ может подключиться, хэндшейк не проходит. Рестартуем WG сервер на Ubuntu - WG клиент на Кинетике тут же подключается и работает без проблем. После этого WG клиент можно выкл/вкл - всё работает. Соединение между WG сервером и клиентом локальное, никто не мешает. Нигде нет никаких ошибок. В чём причина такого поведения - загадка. Возможно имеет место какой-то конфликт по IPv6 и после рестарта WG сервера кэш IPv6 очищается и проблема уходит.

Если префикс в wg /64, то IPv6 адрес назначается только сегменту Home. Если префикс в wg меньше (к примеру /48), то IPv6 адрес назначается Home и Guest без плясок с бубном.

Где эта документация? В открытом доступе на Кинетик полторы статьи по теме IPv6. Префикс в wg как раз работает. Подозреваю что он не работает с публичными адресами, которые у вас. Какие ещё ndm, ndpd. iptables применительно к Кинетику? Без opkg пжлста. На сервере оно не нужно, там только адрес пира. На клиенте достаточно как раз только 2000::/3. Адрес пира пишется в Address, не понятно зачем адрес пира добавлять в AllowedIP.

Вторая задача решена. Итоги: 1. Как в конфиг попадает параметр system set net.ipv6.conf.all.forwarding 1 для меня осталось загадкой. Похоже на свежих прошивках этот параметр добавляется по умолчанию при сбросе. Но если обновлять прошивку, то этого параметра может не быть. Это актуально когда имеется зоопарк роутеров. Кстати на новых прошивках в списке компонентов нельзя выбрать/удалить IPv6, видимо теперь прибито гвоздями. 2. Первая задача когда WG сервер на Кинетике и надо WG клиентов пускать в интернет по IPv6 так и не была решена. WG сервер конфликтует с диапазоном публичных IPv6 адресов от провайдера или 6in4. А если использовать для WG локальные адреса, я не знаю как включить nat6 для WG, если это вообще возможно. Напомню для IPv4 требуется ip nat Wireguard0 3. Если пиров несколько, при настройке WG сервера с IPv6 принципиальное отличие от IPv4 в том что префиксы для разных пиров должны отличаться. Например для IPv4 имеем: [Interface] Address = 192.168.25.1/24 [Peer] AllowedIPs = 192.168.25.2/24 [Peer] AllowedIPs = 192.168.25.3/24 Тут все IP входят в подсеть 192.168.25.0/24. А для IPv6: [Interface] Address = fd00:0:25::/48 [Peer] AllowedIPs = fd00:0:25:200::/56 [Peer] AllowedIPs = fd00:0:25:300::/56 Тут подсети пиров не пересекаются, но входят в общую подсеть fd00:0:25::/48. После :: тут везде можно дописать что угодно, например 1, а можно ничего не писать, ибо 0 валидный адрес в IPv6. Если диапазоны перекрываются, вы нигде не получите никакой ошибки, отловить эту проблему очень сложно. Наверное чтобы избежать этой проблемы для пиров можно просто использовать разные адреса /128, но я делал универсальный конфиг с запасом. 4. Итак, вторая задача - WG клиент на Кинетике, а WG сервер на Ubuntu с IPv6. Для WG и на Кинетике и на Ubunti я использовал локальные адреса вида fdxx:xxxx:xxxx::. И это принципиальное отличие от примеров выше, где используются публичные адреса от провайдера. Если я переконфигурирую 6in4 и получу другой диапазон публичных IPv6 адресов мне не нужно будет ничего менять ни на WG сервере, ни на WG клиенте! В настройках WG на Кинетике есть параметр IPv6 префикс - он очень важный. К примеру IPv6 адрес fd00:0:25:300::1/56 IPv6 префикс fd00:0:25:300::/56 Только при указании этого префикса участвующим в IPv6 роутинге сегментам (Home, Guest) будут назначаться IPv6 адреса из диапазона WG. К примеру у меня Home получил fd00:0:25:300:52ff:20ff:fec6:1e7d. Без указания IPv6 префикса в настройках WG сегмент Home будет иметь только локальный адрес вида fe80::xxxx. Длина в адресе и префиксе одинаковая. Я использовал /56 на всякий случай, при необходимости есть запас чтобы делегировать адрес на нижестоящий роутер. 5. При отладке IPv6 нельзя полагаться на адекватное обновление адресов. Сегмент Home мог получить кучу IPv6 адресов, которые при новых параметрах не актуальны. Гарантировано поможет только перезагрузка роутера. Часть настроек применяется при сохранении WG параметров, но все равно нужно выкл/вкл WG подключение. А также обязательно отключить/подключить клиентское устройство (не важно wifi или ethernet). Иначе можно банально пропустить рабочий конфиг - то есть всё настроено правильно, но не работает из-за кэшированных IPv6 адресов.

Разумеется знаю. Излагайте конкретнее о чём речь. Конфиг Кинетика в разделе system: system set net.ipv4.ip_forward 1 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv6.conf.all.forwarding 1 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 ... Диалог в стиле "у меня всё работает, смотрите свои настройки" не конструктивный. Я эти настройки уже давно наизусть знаю. Давайте сравнивать настройки с вашими работающими. Я уже просил - приведите пример настроек WG клиента Кинетика через который 100% работает IPv6. Также хорошо бы сверить настройки IPv6 сегмента, через который клиентские устройства ходят в интернет (наверное Home), также политики. Если про 6in4 сказано что это подключение должно быть первым в списке политик, то про WG ничего такого не встречал. Но разумеется я пробовал ставить это WG подключение первым - безрезультатно. И какая версия прошивки, где всё работает? А то может на релизнутой 5.0.4 сломали ещё и IPv6, а я тут мучаюсь. Какой у вас MTU в WG?

В каком конфиге, конфиге чего? На Кинетике я такого нигде не видел. Или это очередная секретная команда, которой нет ни в какой документации? На Ubuntu разумеется включен ipv6 forwarding. Я же выше писал что со смартфона подключаюсь к WG на Ubuntu и смартфон получает IPv6 и все тесты проходят. Какое это имеет отношение? Речь про WireGuard на Кинетике и IPv6. Изначальный вопрос касался WG сервера и очевидно на Кинетике удачи не видать. WG сервер успешно настроен на Ubuntu. Теперь задача настроить хотя бы WG клиент на Кинетике чтобы через него клиентские устройства выходили в интернет по IPv6, но и тут затык.

Шутка смешная. Если бы хоть что-то работало, этой темы бы не было. Приведите пример реально рабочего конфига пжлста.