None 7

Столкнулся с проблемой, о которой известно уже 2 года. Файрволл роутера забывает постоянный IPv6-адрес установленного в сети DNS-сервера. Обращаются к нему по этому адресу не часто из из кэша DNS, который может пару дней запись хранить. Сам DNS-сервер в сеть выходит с временных адресов и соответственно анонсирует этот адрес только при подключении к сети. Я конечно понимаю, что память не бесконечная и нужно периодически чистить NDP-таблицу и правила файрволла от временных адресов, но стоит всё таки проверять, что устройство отказалась от адреса и больше для него на NDP-запросы не отвечает. Самый простой способ это перед удалением адреса из файрволла отправить ему ping, а затем независимо от результата проверить NDP-таблицу. Проблему конечно я решил одной строчкой в cron на DNS-сервере, но это костыль. А теперь вопрос к администрации, если багу уже 2 года, то когда же его уже починят внеся пару строк в скрипт? Ладно DNS это редкий случай, но как насчёт удалённого доступа по ssh или SMB ? Или же принятие звонков через SIP ? Последнее как бы в бизнесе часто используется и пропущенный звонок из за мнимой безопасности может стоить дороже любого вашего роутера.

Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.

Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется. На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде: Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.

Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.