Goga777

В логах после включения IPv6 и отключения игнорирования днс серверов провайдера вижу постоянные сообщения каждые 5 минут . Если включить игнор днс провайдера, то рестарты stubby уйдут, но сообщения от dhcpd останутся Nov 11 10:22:00 stubby starting Stubby 0.4.0 Nov 11 10:22:00 stubby starting Stubby 0.4.0 Nov 11 10:22:50 dhcpd Server starting service.

а SkyDNS и NextDNS я не устанавливал. В итоге я тоже думаю, что реально используются doh/dot dns из системного профиля, ибо в логах после ругани об их игнорировании потом видно, что именно dot/doh из системного профиля используются как upstream. Но сообщения в логах об их игнорировании все равно немного смущают. [I] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDot: DNS-over-TLS name servers cleared. [W] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDot: DNS-over-TLS name server "77.88.8.7" is disregarded while Internet Filter is active. [W] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDot: DNS-over-TLS name server "185.228.168.168" is disregarded while Internet Filter is active. [I] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDoh: DNS-over-HTTPS name servers cleared. [W] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDoh: DNS-over-HTTPS name server "https://family.cloudflare-dns.com/dns-query" is disregarded while Internet Filter is active. [W] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDoh: DNS-over-HTTPS name server "https://family.dot.dns.yandex.net/dns-query/" is disregarded while Internet Filter is active. [I] Nov 7 23:07:44 ndm: Core::System::StartupConfig: saving (http/rci). [I] Nov 7 23:07:45 https-dns-proxy: Shutting down gracefully. To force exit, send signal again. [I] Nov 7 23:07:45 https-dns-proxy: Shutting down gracefully. To force exit, send signal again. [I] Nov 7 23:07:45 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.cloudflare-dns.com". [I] Nov 7 23:07:45 ndm: Dns::Secure::Tools: unable to obtain addresses for "family.cloudflare-dns.com". [I] Nov 7 23:07:45 ndm: Dns::Secure::DohConfigurator: "System": skip service "https://family.cloudflare-dns.com/dns-query", wait for bootstrap. [I] Nov 7 23:07:45 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.dot.dns.yandex.net". [I] Nov 7 23:07:45 ndm: Dns::Secure::Tools: unable to obtain addresses for "family.dot.dns.yandex.net". [I] Nov 7 23:07:45 ndm: Dns::Secure::DohConfigurator: "System": skip service "https://family.dot.dns.yandex.net/dns-query/", wait for bootstrap. [I] Nov 7 23:07:48 ndm: Core::System::StartupConfig: configuration saved. [E] Nov 7 23:07:52 ndm: Core::Scgi::ThreadPool: not found: "traffic-shape" (coala/rci). [I] Nov 7 23:07:52 ndhcpc: GigabitEthernet1: received ACK for 100.106.ххх from 100.106ххх lease 300 sec. [I] Nov 7 23:07:55 ndm: Dns::Manager: updating DNS-over-TLS servers addresses. [I] Nov 7 23:07:55 ndm: Dns::Secure::DotConfigurator: "System": using "77.88.8.7:853:77.88.8.7" as upstream. [I] Nov 7 23:07:55 ndm: Dns::Secure::DotConfigurator: "System": using "185.228.168.168:853:185.228.168.168" as upstream. [I] Nov 7 23:07:55 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.cloudflare-dns.com". [I] Nov 7 23:07:55 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.dot.dns.yandex.net". [I] Nov 7 23:07:55 ndm: Dns::Manager: updating DNS-over-HTTPS servers addresses. [I] Nov 7 23:07:55 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.cloudflare-dns.com". [I] Nov 7 23:07:55 ndm: Dns::Secure::DohConfigurator: "System": using "family.cloudflare-dns.com:443:1.0.0.3,1.1.1.3" as upstream. [I] Nov 7 23:07:55 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "family.dot.dns.yandex.net". [I] Nov 7 23:07:55 ndm: Dns::Secure::DohConfigurator: "System": using "family.dot.dns.yandex.net:443:77.88.8.3,77.88.8.7" as upstream. [I] Nov 7 23:07:57 stubby: starting Stubby 0.4.0 [I] Nov 7 23:07:57 stubby: starting Stubby 0.4.0

В режиме фильтрации выбраны публичные DNS. Но в Default Content Filtering Profiles выбрано system и в Assignment of Content Filtering Profiles to Registered Clients для моих устройств в домашней сети выбрано segment default. Я интерпретирую эти настройки так, что реально паблик DNS фильтры хоть и включены, но реально не работают. А должны работать doh dot , указанные в system профиле. Поправьте, если я ошибаюсь.

А что означает включен ? У меня контент фильтры всего лишь установлены. И не присвоены ни к одному из устройств в домашней сети. Разве в этом случае они реально отрабатывают DNS запросы ? И если да, то какой именно фильтр из множества установленных будет работать ?

сразу после сохранении настроек dns dot doh серверов в разделе Internet Safety - DNS configuration - вижу в логe [W] Nov 7 23:07:44 ndm: Dns::Secure::ManagerDot: DNS-over-TLS name server "77.88.8.7" is disregarded while Internet Filter is active. что не так? почему этот и другие doh dot dns сервера из системного профиля в игноре? контент интернет фильтр установлен, но не привязан ни к одному из устройств в домашней сети. Значит должен быть активен системный профиль

При использовании dot DNS серверов, прописанных в internet safety --- DNS configuration и отключенном ползунка игнорирования DNS серверов провайдера в логах каждые 3 минуты виду перезапуск stubby Nov 4 12:08:06 stubby Info: starting Stubby 0.4.0 Если игнорировать днс сервера провайдера то такого перезапуска нет. Скорее в его это связано с подтверждением ip адреса от провайдера , но он должен быть каждые 300 секунд, а не 3 минуты. В принципе, кроме записи в логов ничего другого я не замечал. Поддержка посоветовала здесь написать про это поведение

у меня после перезагрузки роутера ipv6 адрес шлюза - короткий - fe80::1 или вообще только ipv4 будет доступен если передернуть провод от гига3 к мгтс роутеру в режиме моста, то адрес шлюза меняется на длинный (как и должно быть у мгтс) и ipv6 начинает работать в домашней сети (если до передергивания был доступен только ipv4, то после передергивания появляется полноценная поддержка ipv6) другая странность - появляется 3й неработающий днс сервер с адресом fe80::1 а также могу в дашбоарде видеть 2 ipv6 адреса, а не один, присвоенных роутеру (после нажатия на кнопку Обновить) в поддержку логи отправил в телеге

а какой при этом ipv6 адрес gateway ? Он у вас меняется ? Варианты - fe80::1 (у меня на мгтс с таким адресом ipv6 сайты не пингуются даже с роутера) или fe80::22ab:48ff:xxxxxxxxxx - c таким адресом шлюза все ОК

я читал что на каких-то версиях были проблемы с ikev2 - может и на 3.8.5 а с CA сертификатом на альфе есть коннект ?

Не хотите обновиться на 3.9 альфа9, у меня там ikev2 работает на гига 3 без са сертификата, с ним не работает.

СА сертификат по идее ваш скрипт должен скачать или сгенерировать

Возможно ли для такой ошибки в логах "Core::Ndss: [10869] cannot connect to the server" добавить больше отладочной информации, чтобы лучше понимать с каким именно сервером есть проблемы?

а уже сейчас в клиенте можно загрузить CA сертификат означает ли это что вариант IKEv2 Cертификат IKEv2 Cертификат + EAP(Логин/Пароль) уже реализован?

a для гига3 где найти предыдущую прошивку если сервер обновлений не работает ?

с новой preview 3.8 проблема осталась - после нажатия на обновить в системном мониторе пропадает интернет при прописанном doh и public dns в интернет фильтрах. Отправил файл диагностики в поддержку

Мне поддержка пообещала, что разработчики в курсе, будут фиксить.

на кинетике несколько раз надо пробовать - раз 10 или 20 в разное время дня и суток, возьмите паузу - может и получится попробуйте также отключить временно на несколько часов или дней сам ipv6 в кинетике и потом включить его - мне так помогало но стабильность ipv6 остается низкой пока на мгтс ну и сам роутер от мгтс должен быть в режиме моста - не знаю, есть ли актуальные инструкции для вашего роутера на этот счет

У меня с коротким как у вас ipv6 адресом шлюза IPv6 routefe80::1 Ipv6 тоже не работает. Он должен быть длинным. Попробуйте добиться его получение перетыканием кабеля от роутера МГТС в кинетик или кнопкой обновить в системном мониторе. Где проблема, я не знаю - в прошивке роутера или МГТС и префикса почему то не видно в вашей статистике, prefix должен заканчиваться /64

На кинетике в системном мониторе , 2 строчки. Середину затрите только

A покажите пожалуйста как выглядит адрес iov6 шлюза, префикс - затрите часть цифр

на бете1и2 глюк с doh у меня воспроизводитс так - добавляю в инет фильтр doh серверы - все ок но после нажатия на кнопку обновить в системном мониторе, инет пропадает - с поддержкой обсуждаем

Вам в итоге удалось запустить ikev2 клиент на кинетике с подключением к ipsec ikev2 vps серверу ?

откатился на 3.7.4 дельта dot doh заработали

нет интернет фильтр отключен, добавлен к провайдерским ДНС только DOH

c mtu на зарубежных форумах пользоваьтели wg игрались при такой ошибке адрес пира указан в цифре