slydiman

Стало ясно что на кинетике публичные IPv6 адреса WG сервера не могут входить в диапазон WAN. Также стало ясно что в Кинетике нет nat6, по крайней мере в WG. Упрощаем задачу - как получить доступ в интернет по IPv6 клиентам Кинетика на котором WG клиент? Итак, на Ubuntu с IPv6 форвардингом поднят WG сервер, конфиг такой [Interface] Address = 192.168.25.1/24 Address = fd00:0:25::/48 ListenPort = 1194 PrivateKey = xxx PostUp = iptables -A FORWARD -i enp2s0 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg2 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE PostUp = ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE PostDown = iptables -D FORWARD -i enp2s0 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg2 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE PostDown = ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE # smartphone [Peer] PublicKey = xxx PresharedKey = xxx AllowedIPs = 192.168.25.2/32 AllowedIPs = fd00:0:25:200::/56 # keenetic [Peer] PublicKey = xxx PresharedKey = xxx AllowedIPs = 192.168.25.3/32 AllowedIPs = fd00:0:25:300::/56 Теперь на смартфоне поднимаем WG с конфигом [Interface] Address = 192.168.25.2/24 Address = fd00:0:25:200::1/56 PrivateKey = xxx DNS = 8.8.8.8, 2001:4860:4860:8888 [Peer] PublicKey = xxx PresharedKey = xxx Endpoint = xxx.xxx.xxx.xxx:1194 AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, 2000::/3 И смартфон выходит в интернет по IPv6 и проходит все IPv6 тесты. Теперь на Кинетике настраиваем WG клиент, ставим галочку "использовать для выхода в интернет". Параметры: IPv6 адрес fd00:0:25:300::1/56 IPv6 префикс fd00:0:25:300::/56 и ... клиенты Кинетика ходят в интернет через Ubuntu сервер, но только по IPv4. В настройках WG Кинетика пробовал IPv6 префикс 48, 56, 60, 64 - без разницы. На Кинетике у сегмента Home есть IPv6 fd00:0:25:300:52ff:20ff:fed3:9256 ЧЯДНТ?

WAN 2001:470:xxxx:00c0::/58 Home и Guest prefix size 58, deligated prefix size 60 у WG есть IPv6 address: 2001:470:xxxx:00d0::1/60 и есть IPv6 prefix (пока пустой). Вбиваю в WG IPv6 prefix 2001:470:xxxx:00d0::/60 и получаю ошибку: prefixes 2001:470:xxxx:00d0::/60 and 2001:470:xxxx:00c0::/58 conflict Разумеется 2001:470:xxxx:00d0::/60 входит в 2001:470:xxxx:00c0::/58 - так задумано, но WG на Кинетике считает что так нельзя. Почему? То есть для WG надо городить локальный IPv6 и как-то задействовать nat66 на Кинетике где WG сервер. Как?

с1 - это Guest и почему он должен входить в подсеть WG? Например для IPv4 имеем подсети для сегментов Home 192.168.1.1/24 Guest 192.168.2.1/24 WG 192.168.3.1/24 и по аналогии они все входят в 192.168.0.0/22 (просто как пример) Для IPv6 имеем Home 2001:470:xxxx:00c0:.../60 Guest 2001:470:xxxx:00c1:.../60 WG 2001:470:xxxx:00d0::1/60 и все они входят в 2001:470:xxxx:00c0::/58, который у WAN На клиенте можно 2000::/3, я сам об этом писал выше, но в данном случае на стороне клиента все адреса IPv6 публичные и разницы нет. Когда буду настраивать WG клиент на другом роутере, то да. Нужен где? На смартфоне в настройках WireGuard нет такого. И как я написал выше - web UI роутера по адресу http://[2001:470:xxxx:c0:...] на смартфоне открывается. Как я написал выше - браузер ругается на а http://[2001:470:xxxx:d0::1] - connection refused, то есть отказ со стороны сервера, то есть файрвол. Разумеется пинг 2001:470:xxxx:d0::1 со смартфона есть. Удивительно, но со смартфона даже ipv6.google.com пингуется, только каждый 6-й пакет потерян. Ни один ipv6 тест не проходит.

WAN роутера 2001:470:xxxx:00c0::/58 и 2001:470:xxxx:00d0::1/60 туда входит. По сегментам имеем Home 2001:470:xxxx:00c0 Guest 2001:470:xxxx:00c1 WireGuard 2001:470:xxxx:00d0 Конфигурация указана выше. Ок, повторяю (без ключей, DNS и endpoint): Сервер WireGuard на роутере: [Interface] Address = 192.168.3.1/24, 2001:470:xxxx:d0::1/60 [Peer] AllowedIPs = 192.168.3.2/32, 2001:470:xxxx:d0::2/128 Клиент WireGuard: [Interface] Address = 192.168.3.2/24, 2001:470:xxxx:d0::2/60 [Peer] AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Роутер WAN 2001:470:xxxx:c0::/58 (делегировано с другого роутера где /56) сегмент Home 192.168.1.1, 2001:470:xxxx:c0:52ff:20ff:fee6:98cb сегмент Guest 192.168.2.1, 2001:470:xxxx:c1:50ff:20ff:fee6:98ca WireGuard сервер security-level private, 192.168.3.1, 2001:470:xxxx:d0::1/60 В файрволе для WireGuard разрешены ICMP, TCP, UDP. Клиент WireGuard 192.168.3.2, 2001:470:xxxx:d0::2/128 Поднимаю WG на клиенте (смартфон 4G). http://[2001:470:xxxx:c0:52ff:20ff:fee6:98cb] и http://[2001:470:xxxx:c1:50ff:20ff:fee6:98ca], а также 192.168.1.1, 192.168.2.1 и 192.168.3.1 открываются, а http://[2001:470:xxxx:d0::1] не открывается (connection refused). Похоже затык в файрволе IPv6. Ощущение что он сломан и/или документация отсутствует или не верна. В сети есть статьи где упоминаются команды ipv6 firewall и no ipv6 firewall, которые вроде бы давно удалены (почему в статье середины 2024 года это не указано и висит неверная инфа - загадка). ipv6 static - это про port forwarding (в UI для этого есть закладка IPv6). ipv6 route - про роутинг. И как же добавить хоть что-то в файрвол для IPv6? Самое простое - в UI выбираю протокол ICMPv6, Any, Any - получаю ошибку добавления правила. Пробовал IP ::/0 - UI не допускает такой IP. Пробовал в CLI по всякому - неудачно.

Попалась вот такая статейка https://blog.kvv213.com/2022/06/hochu-ipv6-no-chto-delat-esli-tvoj-provajder-kozlina-prokidyvaem-ipv6-v-svoju-set-cherez-vps-i-wireguard/ Под статьёй есть ровно такой же вопрос, где советуют попробовать настроить роутинг на устройстве WG клиента... Но конечного решения нет. Там же в комментах вместо AllowedIps = ::/1, 8000::/1 советуют AllowedIps = 2000::/3 (только публичные IPv6) на WG клиенте.

Это все теоретические рассуждения. Я не первый это спрашиваю. И решения пока нигде не видел. Какой ещё nat для ipv6? nat66 конечно существует в природе (не знаю есть ли он в Кинетиках вообще), но в данном случае он тут нафиг не нужен. Если WG клиент - другой роутер, то какой ipv6 ему давать чтобы не было конфликтов? ::1 сервер, ::2 клиент? А если у меня 3 wg клиента роутеры? И главное - раздал я ipv6 (пока без деталей, простейшая конфигурация, клиент - ноут), wg поднимается, wg клиент по ipv6 видит роутер где wg сервер, но в интернет клиент ходит только по ipv4. Чего не хватает? Выше я писал что на ноуте у WG клиента нет default gateway IPv6. И тут нужно либо как-то этот default gateway IPv6 рапортнуть клиенту, либо может быть достаточно подкрутить IPv6 роутинг между интерфейсами на роутере. Вопрос как?

Уточню вопросы 1. Главное - как WireGuard клиентов направить в интернет по IPv6? Речь про роутер Кинетик с WireGuard сервером. Пока в результате экспериментов у WG клиента есть IPv6, но нет default gateway, не смотря на ::/1, 8000::/1 в AllowedIPs. 2. Допустим имеем префикс /48 от провайдера или 6in4 брокера... 2.1. Какие IPv6 и префиксы прописать в настройках WireGuard (сервера и клиента), когда WG клиент на конечном устройстве (смартфон или ноут)? 2.2. Какие IPv6 и префиксы прописать в настройках WireGuard (сервера и клиента), когда WG клиент - другой роутер Кинетик и там ещё нужно раздать IPv6 клиентским устройствам?

Прошивка 5.0.4. Подключение по Ethernet IPv4 (проводной Билайн). На скриншоте ниже слева 2 бугра - тест скорости по IPv4. Далее тест скорости по IPv6. Брокер Hurricane Electric. При этом в трафике IPv4 отображается только upload. А download трафик IPv4 волшебным образом отсутствует.

Собственно вопрос задавали год назад, но он потерялся в той ветке. Прошивка 5.0.4. На роутере настроен 6in4 /48 от HE и WireGuard сервер. Нужно клиентов WG (со смартфона) направить в интернет по IPv6. Для IPv4 достаточно ip nat Wireguard0 а как быть с IPv6? Для WG IPv6 должны входить в подсеть что даёт HE или могут быть fdxx? Какие нужны префиксы/маски? В настройках сегментов Home и Guest есть размер префикса IPv6 и делегируемый размер префикса. Какие они должны быть? Если выставить 48 и 56, то почему то в Guest пропадает IPv6, работает только 64 и 0.

1. Можно откатить прошивку до 4.3.6 не убирая ретранслятор из Mesh и не надо ничего сбрасывать. 2. Если на корпусе есть переключатель, достаточно поставить его в положении "ретранслятор". 3. На роутере на странице по пути /a можно дать команду mws revisit MAC где MAC - это MAC ретранслятора, например mws revisit 50:ff:20:12:34:56

Это дичь и явный баг! Если я выключил автообновление, его не должно быть ни при каких условиях. Лично я откатывал ретранслятор уже добавленный в Mesh c 5.0.4 на 4.3.6 и он оставался в Mesh и с прошивкой 4.3.6 и не обновлялся. Ещё как вариант, пробуйте добавлять в Mesh без доступа в интернет, новая прошивка из воздуха не скачается.

Хорошо бы посмотреть список WiFi клиентов в настройках самих ретрансляторов чтобы точно знать куда подключен ноут. Не исключено, что ноут таки подключен к правильному ближайшему ретранслятору, а низкая скорость - это уже другая новая проблема, хотя возможно косвенно связанная с неправильным отображением через какой ретранслятор подключен клиент. Возможно ноут подключен по WiFi непосредственно к ближайшему ретранслятору, но пакеты до роутера летают через другой ещё один ретранслятор, это приводит и к снижению скорости и к неправильному отображению через какой ретранслятор подключен клиент. То есть, у 1-го ретранслятора возможно в качестве шлюза вместо самого роутера выставляется 2-й (или последний в списке) ретранслятор.

ИМХО проблема описанная тут - это просто неправильная инфа, отображаемая в web интерфейсе контроллера (главного роутера). На работу сети это не влияет. Если прям Mesh сеть отвалилась, надо искать причину. Например не включен DHCP на контроллере. Опять же смотря какой конфиг на ретрансляторах, как включается режим ретранслятора - переключателем на корпусе или программно? Ретрансляторы лучше подключать в сеть через WAN порт. Если ретранслятор после прошивки слетит в режим роутера, это не вызовет конфликтов с главным роутером.

Клиенты цепляются куда надо, просто контроллер показывает что якобы клиент подключен к неправильному ретранслятору. Откройте список Wi-Fi клиентов на ретрансляторе и всё станет ясно. На самом деле всё не так фатально. Просто контроллер показывает лажу. Можно просто игнорить эту инфу. На работу сети это не влияет.

На странице Wi-Fi system в закладке Settings отключить авто обновление ретрансляторов.

Не видать там нужных исправлений: Похоже разработчики не воспринимают эту проблему в серьёз или даже не могут воспроизвести. Очевидно проблема есть только при подключении ретрансляторов по проводу. Возможно используется какая-то служебная инфа ethernet пакетов для анализа метода/источника подключения и там явно есть проблема. Возможно на простых сетях это не проявляется. Но если в сети есть свичи, особенно управляемые свичи с поддержкой VLAN, то проблема проявляется мгновенно. Также проблема проявляется быстрее если в Mesh добавлено несколько ретрансляторов. Контроллер будет показывать что половина клиентов подключена через ретранслятор последний в списке, когда в реальности через него может быть вообще ничего не подключено ни одного клиента.

Если контроллер 5.0.4, а экстендеры на 4.3.6, то тоже всё нормально. Если экстендеры подключены по Wi-Fi, то тоже всё нормально. Ещё минимум 2 темы с той же проблемой

Похоже на то! У меня все ретрансляторы подключены по ethernet. Откатил только один последний в списке Mesh на 4.3.6.3 и в Client Lists контроллера теперь ПОЧТИ всё похоже на правду. Нашелся один wi-fi клиент, которые подключенный к первому экстендеру, но на контроллере он якобы подключен по ethernet. Откатил и этот экстендер на 4.3.6.3 - всё стало совсем правильно. Возможно VLAN тут вообще не причем, просто заморочки с VLAN усугубили проблему и в глаза бросилось вопиющее несоответствие. Беда в том что 5.0.4 уже в Main и я теперь даже не могу выкинуть лишние компоненты оставаясь на 4.3.6.3

Видимо не совсем верный раздел выбрал для исходного поста. Просто обратите на это внимание

Обновил контроллер до 5.0.4 - ничего не изменилось.

Одно дело когда нет связи или данные теряются. Другое дело когда последнему в списке Mesh экстендеру приписывается что якобы все через него работают. Очевидно есть какой-то баг при определении через какой экстендер что работает для страницы Client Lists. И из-за этого бага когда что-то не сошлось, крайний экстендер оказывается "крайним". Причем у этого кода поиска экстендера более высокий приоритет. И когда у экстендера отсутствует информация о клиенте, в списке для данного девайса всё равно отображается этот экстендер, Wi-Fi 5 и скорость "прочерк". Я не знаю какая там эвристика при определении экстендера, особенно для ethernet подключений, но как минимум если экстендер сказал "это не моё" - логично не показывать для данного девайса заведомо ложную инфу.

Странные комментарии. Для ясности - у меня всё работает, всё как ожидается. Все роутеры работают на v5.0.3 уже довольно давно и проблем замечено не было. Проблема только в том что на странице Client Lists неправильно отображается через какой экстендер подключено устройство, Wi-Fi/Wired и скорость. Если не лазить в Client Lists, то и проблемы как бы нет. Если открыть настройки конкретного экстендера, то в его списке Wi-Fi клиентов всё отображается правильно. Все Mesh экстендеры подключены по ethernet 1gbit, Backhaul Connection выключен. В Client Lists правильно отображаются только те устройства что подключены по Wi-Fi к контроллеру. Ethernet устройства и Wi-Fi клиенты Mesh экстендеров в Client Lists показываются неправильно. Проблема появилась после манипуляций с VLAN и экстендером, который НЕ добавлен в Mesh (его нет в списке Wi-Fi System), этот экстендер виден в общем списке устройств. До этого этот экстендер был клиентом только сегмента CCTV VLAN253 (порт был access). Но потом я добавил тэгирование VLAN1. Может быть важно что этот экстендер NetCraze NC-1112 (Start), может там какие-то особенности в отличие от Keenetic. Я не уверен что это триггернуло, может просто совпадение. Но потом даже выключив этот экстендер, перезагрузив все роутеры и очистив MAC адреса в управляемых POE свичах, мне не удалось устранить проблему. Client Lists с тех пор показывает бред. Проблема устраняется только если удалить все Mesh экстендеры. Я пробовал убирать все Mesh экстендеры и добавлять их снова - бесполезно. Достаточно добавить один Mesh экстендер и куча устройств отображается якобы подключена через него, включая ethernet устройства, которые якобы подключены по Wi-Fi 5. Выше на скриншоте 2 камеры разных брэндов, обе подключены по ethernet. CAM03 передаёт поток на видеорегистратор по UDP, 1 порт, не спамит и в Client Lists отображается как Wired (правильно). CAM04 спамит по UDP на кучу портов на тот же видеорегистратор (на станице Диагностика видно кучу активных меняющихся соединений). Может там какой-нибудь multicast путается в управляемых POE свичах, летает между VLAN и в итоге это как-то влияет на отображение Client Lists. Я не знаю. CAM04 подключен по Ethernet, сегмент Home, вообще не имеет никакого отношения к экстендерам! И при этом Client Lists показывает что это устройство подключено через экстендер №3 якобы по Wi-Fi 5. Если открыть настройки экстендера №3 - то там видно правильных клиентов и среди них разумеется нет CAM04. В управляемых POE свичах включен Loop detect и изоляция клиентов (маршруты только между uplink и downlink портами). В любом случае сеть работает стабильно. Вообще всё работает, если не смотреть в Client Lists.

Спустя сутки у контроллера в списке клиентов полная каша. Устройство подключено через mesh экстендер №1, показывает что якобы через mesh экстендер №3, при этом показывает скорость Wi-Fi подключения. Другое устройство подключено через mesh экстендер №1, показывает что да, через экстендер №1, но якобы Wi-Fi 5 вместо 2.4 и скорость - прочерк. Робот пылесос подключен разумеется по Wi-Fi 2.4 через mesh экстендер №1, показывает wired 2500мбит. Правильно отображаются только те клиенты, которые подключены по Wi-Fi к самому контроллеру. Большинство устройств подключенных по ethernet (сегмент Home) и по Wi-Fi к Mesh экстендерам показываются неправильно.

Не вижу разницы. Переключатель экстендер лишь немного упрощает некоторые вещи и прячет ненужные менюшки. Да, можно вручную задать роутеру IP в каждом сегменте, переключить DHCP в relay. Но пока он не добавлен в Mesh, в режиме экстендера он работает ровно так же. Проблема то совсем в другом - контроллер отображает что клиенты подключены якобы через wi-fi якобы через какой-то Mesh экстендер. Я думал что возможно это как-то связано с тем что на управляемых POE свичах есть 2 trunk порта, где один VLAN1 и тэгируемый LAN253, а другой наоборот VLAN253 и тэгируемый VLAN1. Но даже когда я временно убрал второй trunk порт на управляемом свиче и перезагрузил все роутеры проблема осталась.