adun

KN-1011 5.0.4 получаю от провайдера ipv6, в настройках отключаю получение dns от провайдера и настройках только одного сегмента включил ipv6 с указанием своего ipv6 dns во внутренней сети. В итоге dns по ipv6 не работает: C:\Users\*****>nslookup ya.ru fd**:****:****::* DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ: UnKnown Address: fd**:****:****::* DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnown Для IPv4 с аналогичными настройками все гуд: C:\Users\****>nslookup ya.ru 192.168.***.* ╤хЁтхЁ: ***.** Address: 192.168.***.* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.55.242 5.255.255.242 77.88.44.242 По tcpdump видно что трафик застревает где-то в ядре кинетика. Немного поразобравшись заметил интересную особенность в настройках iptables через opkg. Для ipv4 в цепочке _NDM_HOTSPOT_DNSREDIR куда попадает весь трафик: -A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 Видно что в фильтре присутствует адрес кинетика 192.168.***.1/32, т.е. трафик адресован ему (dns перенаправляет на локальный адрес и порт 41100). А вот для ipv6: -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 Тут весь трафик dns направляется на внутренний ipv6 адрес кинетика, который не может отрезолвить запрос. Вручную добавив в цепочку _NDM_HOTSPOT_DNSREDIR: ip6tables -t nat -I _NDM_HOTSPOT_DNSREDIR 1 -i br0 -p udp --dport 53 -j ACCEPT Получаем: C:\Users\user>nslookup ya.ru fd**:****:****::* ╤хЁтхЁ: UnKnown Address: fd**:****:****::* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.44.242 5.255.255.242 77.88.55.242 Еще конечно уточнение, что в вебе на кинетике нельзя добавить правил МЭ для адресов IPv6, приходится так же через iptables: ip6tables -I FORWARD 1 -i br0 -o br1 -j ACCEPT ip6tables -I FORWARD 1 -i br1 -o br0 -j ACCEPT Как итог: запрос на улучшение - добавить возможность управление МЭ для IPv6 запрос на исправление перенаправления IPv6 dns трафика.