slydiman

Это было написано 1.5 года назад! Ну что очень не скоро - верю, но тут скорее из совсем иных соображений. Резолв AAAA вероятно давно реализован в том же ping 6 в диагностике. Логику выбора соединения можно продумать и тут нет вообще ничего сложного. Во первых надо добавить в список соединений для выбора IPv6 соединения. Если выбрано "любое" и DNS выдал сразу и IPv4 и IPv6 адрес, то идти по первому доступному согласно политикам. Для того же 6in4 сказано что оно должно быть 1 в списке, так что пойдёт через IPv6. Кому надо - тот подрихтует DNS чтобы выдавалось что нужно. Но вообще здравый смысл подсказывает использовать IPv6, если оно доступно. Так что, проблем не вижу. Было бы желание или указание или скорее разрешение сверху.

https://forum.keenetic.ru/topic/27308-как-wireguard-клиентов-направить-в-интернет-по-ipv6/

Есть Ethernet подключение только IPv6. Настроить PingChecker невозможно, он просто не поддерживает ping IPv6. Надо бы допилить, что очевидно не сложно. В диагностике Ping IPv6 имеется и работает.

Внезапно выяснилось что OpenConnect клиент в Кинетике не умеет подключаться по IPv6. Надо срочно исправить! DNS для домена выдаёт только IPv6 адрес. Сам туннель выдаёт IPv4. Кинетик поддерживает IPv6 туннель, но не само подключение к серверу. В настройках Кинетика в списке connect via для OpenConnect даже не выдаются 6in4 подключения. В списке есть ethernet подключение, даже если оно только IPv6 - что на данный момент баг, ибо IPv6 подключения не поддерживаются. Ни через Ethernet (only IPv6), ни через Any connection Кинетик не может подключиться к OpenConnect серверу по IPv6. Исправить это проще некуда - просто использовать IPv6 вместо IPv4 для подключения к серверу, если DNS выдал IPv6 адрес. Вся туннельная кухня остаётся без изменений. Прошу поддержать!

Попробовал настроить второй роутер Кинетик с WG клиентом IPv6 и впёрся. Чтобы WG клиент на Кинетике начал пускать клиентские устройства в интернет по IPv6 нужно в конфиге Кинетика УДАЛИТЬ строку ipv6 local-prefix default Я не знаю при каких действиях в web UI она добавляется. И я не знаю как её удалить через CLI. Просто слил конфиг, удалил строку, залил конфиг обратно. И только после этого задача 2 решена! Из важного - WG подключение (или несколько подключений) IPv6 должно быть вверху списка в политиках подключений Default. При этом политикой подключений Default может не пользоваться ни одно устройство. Но это необходимое условие. Ещё интересные наблюдения - WG сервер на Ubuntu работает. WG клиент на Кинетике НЕ может подключиться, хэндшейк не проходит. Рестартуем WG сервер на Ubuntu - WG клиент на Кинетике тут же подключается и работает без проблем. После этого WG клиент можно выкл/вкл - всё работает. Соединение между WG сервером и клиентом локальное, никто не мешает. Нигде нет никаких ошибок. В чём причина такого поведения - загадка. Возможно имеет место какой-то конфликт по IPv6 и после рестарта WG сервера кэш IPv6 очищается и проблема уходит.

Если префикс в wg /64, то IPv6 адрес назначается только сегменту Home. Если префикс в wg меньше (к примеру /48), то IPv6 адрес назначается Home и Guest без плясок с бубном.

Где эта документация? В открытом доступе на Кинетик полторы статьи по теме IPv6. Префикс в wg как раз работает. Подозреваю что он не работает с публичными адресами, которые у вас. Какие ещё ndm, ndpd. iptables применительно к Кинетику? Без opkg пжлста. На сервере оно не нужно, там только адрес пира. На клиенте достаточно как раз только 2000::/3. Адрес пира пишется в Address, не понятно зачем адрес пира добавлять в AllowedIP.

Вторая задача решена. Итоги: 1. Как в конфиг попадает параметр system set net.ipv6.conf.all.forwarding 1 для меня осталось загадкой. Похоже на свежих прошивках этот параметр добавляется по умолчанию при сбросе. Но если обновлять прошивку, то этого параметра может не быть. Это актуально когда имеется зоопарк роутеров. Кстати на новых прошивках в списке компонентов нельзя выбрать/удалить IPv6, видимо теперь прибито гвоздями. 2. Первая задача когда WG сервер на Кинетике и надо WG клиентов пускать в интернет по IPv6 так и не была решена. WG сервер конфликтует с диапазоном публичных IPv6 адресов от провайдера или 6in4. А если использовать для WG локальные адреса, я не знаю как включить nat6 для WG, если это вообще возможно. Напомню для IPv4 требуется ip nat Wireguard0 3. Если пиров несколько, при настройке WG сервера с IPv6 принципиальное отличие от IPv4 в том что префиксы для разных пиров должны отличаться. Например для IPv4 имеем: [Interface] Address = 192.168.25.1/24 [Peer] AllowedIPs = 192.168.25.2/24 [Peer] AllowedIPs = 192.168.25.3/24 Тут все IP входят в подсеть 192.168.25.0/24. А для IPv6: [Interface] Address = fd00:0:25::/48 [Peer] AllowedIPs = fd00:0:25:200::/56 [Peer] AllowedIPs = fd00:0:25:300::/56 Тут подсети пиров не пересекаются, но входят в общую подсеть fd00:0:25::/48. После :: тут везде можно дописать что угодно, например 1, а можно ничего не писать, ибо 0 валидный адрес в IPv6. Если диапазоны перекрываются, вы нигде не получите никакой ошибки, отловить эту проблему очень сложно. Наверное чтобы избежать этой проблемы для пиров можно просто использовать разные адреса /128, но я делал универсальный конфиг с запасом. 4. Итак, вторая задача - WG клиент на Кинетике, а WG сервер на Ubuntu с IPv6. Для WG и на Кинетике и на Ubunti я использовал локальные адреса вида fdxx:xxxx:xxxx::. И это принципиальное отличие от примеров выше, где используются публичные адреса от провайдера. Если я переконфигурирую 6in4 и получу другой диапазон публичных IPv6 адресов мне не нужно будет ничего менять ни на WG сервере, ни на WG клиенте! В настройках WG на Кинетике есть параметр IPv6 префикс - он очень важный. К примеру IPv6 адрес fd00:0:25:300::1/56 IPv6 префикс fd00:0:25:300::/56 Только при указании этого префикса участвующим в IPv6 роутинге сегментам (Home, Guest) будут назначаться IPv6 адреса из диапазона WG. К примеру у меня Home получил fd00:0:25:300:52ff:20ff:fec6:1e7d. Без указания IPv6 префикса в настройках WG сегмент Home будет иметь только локальный адрес вида fe80::xxxx. Длина в адресе и префиксе одинаковая. Я использовал /56 на всякий случай, при необходимости есть запас чтобы делегировать адрес на нижестоящий роутер. 5. При отладке IPv6 нельзя полагаться на адекватное обновление адресов. Сегмент Home мог получить кучу IPv6 адресов, которые при новых параметрах не актуальны. Гарантировано поможет только перезагрузка роутера. Часть настроек применяется при сохранении WG параметров, но все равно нужно выкл/вкл WG подключение. А также обязательно отключить/подключить клиентское устройство (не важно wifi или ethernet). Иначе можно банально пропустить рабочий конфиг - то есть всё настроено правильно, но не работает из-за кэшированных IPv6 адресов.

Разумеется знаю. Излагайте конкретнее о чём речь. Конфиг Кинетика в разделе system: system set net.ipv4.ip_forward 1 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv6.conf.all.forwarding 1 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 ... Диалог в стиле "у меня всё работает, смотрите свои настройки" не конструктивный. Я эти настройки уже давно наизусть знаю. Давайте сравнивать настройки с вашими работающими. Я уже просил - приведите пример настроек WG клиента Кинетика через который 100% работает IPv6. Также хорошо бы сверить настройки IPv6 сегмента, через который клиентские устройства ходят в интернет (наверное Home), также политики. Если про 6in4 сказано что это подключение должно быть первым в списке политик, то про WG ничего такого не встречал. Но разумеется я пробовал ставить это WG подключение первым - безрезультатно. И какая версия прошивки, где всё работает? А то может на релизнутой 5.0.4 сломали ещё и IPv6, а я тут мучаюсь. Какой у вас MTU в WG?

В каком конфиге, конфиге чего? На Кинетике я такого нигде не видел. Или это очередная секретная команда, которой нет ни в какой документации? На Ubuntu разумеется включен ipv6 forwarding. Я же выше писал что со смартфона подключаюсь к WG на Ubuntu и смартфон получает IPv6 и все тесты проходят. Какое это имеет отношение? Речь про WireGuard на Кинетике и IPv6. Изначальный вопрос касался WG сервера и очевидно на Кинетике удачи не видать. WG сервер успешно настроен на Ubuntu. Теперь задача настроить хотя бы WG клиент на Кинетике чтобы через него клиентские устройства выходили в интернет по IPv6, но и тут затык.

Шутка смешная. Если бы хоть что-то работало, этой темы бы не было. Приведите пример реально рабочего конфига пжлста.

Стало ясно что на кинетике публичные IPv6 адреса WG сервера не могут входить в диапазон WAN. Также стало ясно что в Кинетике нет nat6, по крайней мере в WG. Упрощаем задачу - как получить доступ в интернет по IPv6 клиентам Кинетика на котором WG клиент? Итак, на Ubuntu с IPv6 форвардингом поднят WG сервер, конфиг такой [Interface] Address = 192.168.25.1/24 Address = fd00:0:25::/48 ListenPort = 1194 PrivateKey = xxx PostUp = iptables -A FORWARD -i enp2s0 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg2 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE PostUp = ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE PostDown = iptables -D FORWARD -i enp2s0 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg2 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE PostDown = ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE # smartphone [Peer] PublicKey = xxx PresharedKey = xxx AllowedIPs = 192.168.25.2/32 AllowedIPs = fd00:0:25:200::/56 # keenetic [Peer] PublicKey = xxx PresharedKey = xxx AllowedIPs = 192.168.25.3/32 AllowedIPs = fd00:0:25:300::/56 Теперь на смартфоне поднимаем WG с конфигом [Interface] Address = 192.168.25.2/24 Address = fd00:0:25:200::1/56 PrivateKey = xxx DNS = 8.8.8.8, 2001:4860:4860:8888 [Peer] PublicKey = xxx PresharedKey = xxx Endpoint = xxx.xxx.xxx.xxx:1194 AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, 2000::/3 И смартфон выходит в интернет по IPv6 и проходит все IPv6 тесты. Теперь на Кинетике настраиваем WG клиент, ставим галочку "использовать для выхода в интернет". Параметры: IPv6 адрес fd00:0:25:300::1/56 IPv6 префикс fd00:0:25:300::/56 и ... клиенты Кинетика ходят в интернет через Ubuntu сервер, но только по IPv4. В настройках WG Кинетика пробовал IPv6 префикс 48, 56, 60, 64 - без разницы. На Кинетике у сегмента Home есть IPv6 fd00:0:25:300:52ff:20ff:fed3:9256 ЧЯДНТ?

WAN 2001:470:xxxx:00c0::/58 Home и Guest prefix size 58, deligated prefix size 60 у WG есть IPv6 address: 2001:470:xxxx:00d0::1/60 и есть IPv6 prefix (пока пустой). Вбиваю в WG IPv6 prefix 2001:470:xxxx:00d0::/60 и получаю ошибку: prefixes 2001:470:xxxx:00d0::/60 and 2001:470:xxxx:00c0::/58 conflict Разумеется 2001:470:xxxx:00d0::/60 входит в 2001:470:xxxx:00c0::/58 - так задумано, но WG на Кинетике считает что так нельзя. Почему? То есть для WG надо городить локальный IPv6 и как-то задействовать nat66 на Кинетике где WG сервер. Как?

с1 - это Guest и почему он должен входить в подсеть WG? Например для IPv4 имеем подсети для сегментов Home 192.168.1.1/24 Guest 192.168.2.1/24 WG 192.168.3.1/24 и по аналогии они все входят в 192.168.0.0/22 (просто как пример) Для IPv6 имеем Home 2001:470:xxxx:00c0:.../60 Guest 2001:470:xxxx:00c1:.../60 WG 2001:470:xxxx:00d0::1/60 и все они входят в 2001:470:xxxx:00c0::/58, который у WAN На клиенте можно 2000::/3, я сам об этом писал выше, но в данном случае на стороне клиента все адреса IPv6 публичные и разницы нет. Когда буду настраивать WG клиент на другом роутере, то да. Нужен где? На смартфоне в настройках WireGuard нет такого. И как я написал выше - web UI роутера по адресу http://[2001:470:xxxx:c0:...] на смартфоне открывается. Как я написал выше - браузер ругается на а http://[2001:470:xxxx:d0::1] - connection refused, то есть отказ со стороны сервера, то есть файрвол. Разумеется пинг 2001:470:xxxx:d0::1 со смартфона есть. Удивительно, но со смартфона даже ipv6.google.com пингуется, только каждый 6-й пакет потерян. Ни один ipv6 тест не проходит.

WAN роутера 2001:470:xxxx:00c0::/58 и 2001:470:xxxx:00d0::1/60 туда входит. По сегментам имеем Home 2001:470:xxxx:00c0 Guest 2001:470:xxxx:00c1 WireGuard 2001:470:xxxx:00d0 Конфигурация указана выше. Ок, повторяю (без ключей, DNS и endpoint): Сервер WireGuard на роутере: [Interface] Address = 192.168.3.1/24, 2001:470:xxxx:d0::1/60 [Peer] AllowedIPs = 192.168.3.2/32, 2001:470:xxxx:d0::2/128 Клиент WireGuard: [Interface] Address = 192.168.3.2/24, 2001:470:xxxx:d0::2/60 [Peer] AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Роутер WAN 2001:470:xxxx:c0::/58 (делегировано с другого роутера где /56) сегмент Home 192.168.1.1, 2001:470:xxxx:c0:52ff:20ff:fee6:98cb сегмент Guest 192.168.2.1, 2001:470:xxxx:c1:50ff:20ff:fee6:98ca WireGuard сервер security-level private, 192.168.3.1, 2001:470:xxxx:d0::1/60 В файрволе для WireGuard разрешены ICMP, TCP, UDP. Клиент WireGuard 192.168.3.2, 2001:470:xxxx:d0::2/128 Поднимаю WG на клиенте (смартфон 4G). http://[2001:470:xxxx:c0:52ff:20ff:fee6:98cb] и http://[2001:470:xxxx:c1:50ff:20ff:fee6:98ca], а также 192.168.1.1, 192.168.2.1 и 192.168.3.1 открываются, а http://[2001:470:xxxx:d0::1] не открывается (connection refused). Похоже затык в файрволе IPv6. Ощущение что он сломан и/или документация отсутствует или не верна. В сети есть статьи где упоминаются команды ipv6 firewall и no ipv6 firewall, которые вроде бы давно удалены (почему в статье середины 2024 года это не указано и висит неверная инфа - загадка). ipv6 static - это про port forwarding (в UI для этого есть закладка IPv6). ipv6 route - про роутинг. И как же добавить хоть что-то в файрвол для IPv6? Самое простое - в UI выбираю протокол ICMPv6, Any, Any - получаю ошибку добавления правила. Пробовал IP ::/0 - UI не допускает такой IP. Пробовал в CLI по всякому - неудачно.

Попалась вот такая статейка https://blog.kvv213.com/2022/06/hochu-ipv6-no-chto-delat-esli-tvoj-provajder-kozlina-prokidyvaem-ipv6-v-svoju-set-cherez-vps-i-wireguard/ Под статьёй есть ровно такой же вопрос, где советуют попробовать настроить роутинг на устройстве WG клиента... Но конечного решения нет. Там же в комментах вместо AllowedIps = ::/1, 8000::/1 советуют AllowedIps = 2000::/3 (только публичные IPv6) на WG клиенте.

Это все теоретические рассуждения. Я не первый это спрашиваю. И решения пока нигде не видел. Какой ещё nat для ipv6? nat66 конечно существует в природе (не знаю есть ли он в Кинетиках вообще), но в данном случае он тут нафиг не нужен. Если WG клиент - другой роутер, то какой ipv6 ему давать чтобы не было конфликтов? ::1 сервер, ::2 клиент? А если у меня 3 wg клиента роутеры? И главное - раздал я ipv6 (пока без деталей, простейшая конфигурация, клиент - ноут), wg поднимается, wg клиент по ipv6 видит роутер где wg сервер, но в интернет клиент ходит только по ipv4. Чего не хватает? Выше я писал что на ноуте у WG клиента нет default gateway IPv6. И тут нужно либо как-то этот default gateway IPv6 рапортнуть клиенту, либо может быть достаточно подкрутить IPv6 роутинг между интерфейсами на роутере. Вопрос как?

Уточню вопросы 1. Главное - как WireGuard клиентов направить в интернет по IPv6? Речь про роутер Кинетик с WireGuard сервером. Пока в результате экспериментов у WG клиента есть IPv6, но нет default gateway, не смотря на ::/1, 8000::/1 в AllowedIPs. 2. Допустим имеем префикс /48 от провайдера или 6in4 брокера... 2.1. Какие IPv6 и префиксы прописать в настройках WireGuard (сервера и клиента), когда WG клиент на конечном устройстве (смартфон или ноут)? 2.2. Какие IPv6 и префиксы прописать в настройках WireGuard (сервера и клиента), когда WG клиент - другой роутер Кинетик и там ещё нужно раздать IPv6 клиентским устройствам?

Прошивка 5.0.4. Подключение по Ethernet IPv4 (проводной Билайн). На скриншоте ниже слева 2 бугра - тест скорости по IPv4. Далее тест скорости по IPv6. Брокер Hurricane Electric. При этом в трафике IPv4 отображается только upload. А download трафик IPv4 волшебным образом отсутствует.

Собственно вопрос задавали год назад, но он потерялся в той ветке. Прошивка 5.0.4. На роутере настроен 6in4 /48 от HE и WireGuard сервер. Нужно клиентов WG (со смартфона) направить в интернет по IPv6. Для IPv4 достаточно ip nat Wireguard0 а как быть с IPv6? Для WG IPv6 должны входить в подсеть что даёт HE или могут быть fdxx? Какие нужны префиксы/маски? В настройках сегментов Home и Guest есть размер префикса IPv6 и делегируемый размер префикса. Какие они должны быть? Если выставить 48 и 56, то почему то в Guest пропадает IPv6, работает только 64 и 0.

1. Можно откатить прошивку до 4.3.6 не убирая ретранслятор из Mesh и не надо ничего сбрасывать. 2. Если на корпусе есть переключатель, достаточно поставить его в положении "ретранслятор". 3. На роутере на странице по пути /a можно дать команду mws revisit MAC где MAC - это MAC ретранслятора, например mws revisit 50:ff:20:12:34:56

Это дичь и явный баг! Если я выключил автообновление, его не должно быть ни при каких условиях. Лично я откатывал ретранслятор уже добавленный в Mesh c 5.0.4 на 4.3.6 и он оставался в Mesh и с прошивкой 4.3.6 и не обновлялся. Ещё как вариант, пробуйте добавлять в Mesh без доступа в интернет, новая прошивка из воздуха не скачается.

Хорошо бы посмотреть список WiFi клиентов в настройках самих ретрансляторов чтобы точно знать куда подключен ноут. Не исключено, что ноут таки подключен к правильному ближайшему ретранслятору, а низкая скорость - это уже другая новая проблема, хотя возможно косвенно связанная с неправильным отображением через какой ретранслятор подключен клиент. Возможно ноут подключен по WiFi непосредственно к ближайшему ретранслятору, но пакеты до роутера летают через другой ещё один ретранслятор, это приводит и к снижению скорости и к неправильному отображению через какой ретранслятор подключен клиент. То есть, у 1-го ретранслятора возможно в качестве шлюза вместо самого роутера выставляется 2-й (или последний в списке) ретранслятор.

ИМХО проблема описанная тут - это просто неправильная инфа, отображаемая в web интерфейсе контроллера (главного роутера). На работу сети это не влияет. Если прям Mesh сеть отвалилась, надо искать причину. Например не включен DHCP на контроллере. Опять же смотря какой конфиг на ретрансляторах, как включается режим ретранслятора - переключателем на корпусе или программно? Ретрансляторы лучше подключать в сеть через WAN порт. Если ретранслятор после прошивки слетит в режим роутера, это не вызовет конфликтов с главным роутером.