4.2b3 Bug Wireguard DNS::Resolver при dns-override

[avn]

Есть проблема с резолвом локальных ip адресов из клиента Wireguard при включенном dns-override.

[I] Sep 16 23:58:43 kernel: wireguard: Wireguard4: handshake for peer "bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=" (39) (0.0.0.0:500) did not complete after 2164854852 seconds, retrying (try 5)
[I] Sep 17 00:00:08 kernel: Core::Syslog: last message repeated 16 times.
[E] Sep 17 00:00:13 ndm: Dns::Resolver: failed to resolve "ipv6.warp-1.lan": timed out. 
[I] Sep 17 00:00:13 kernel: wireguard: Wireguard4: handshake for peer "bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=" (39) (0.0.0.0:500) did not complete after 1 seconds, retrying (try 5)
[I] Sep 17 00:00:18 kernel: wireguard: Wireguard4: handshake for peer "bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=" (39) (0.0.0.0:500) did not complete after 2164854852 seconds, retrying (try 5)
[I] Sep 17 00:00:24 kernel: wireguard: Wireguard4: handshake for peer "bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=" (39) (0.0.0.0:500) did not complete after 2164854852 attempts, giving up
[E] Sep 17 00:00:24 ndm: Dns::Resolver: failed to resolve "ipv6.warp-1.lan": timed out. 

 ~  # uname -a
Linux ZyAvenger 4.9-ndm-5 #0 SMP Thu Aug 29 22:15:29 2024 mips GNU/Linux
 ~  # dig +short  aaaa ipv6.warp-1.lan @127.0.0.1
2606:4700:ff:0:91:e8a6:516c:aa99
 ~  # dig +short  aaaa ipv6.warp-1.lan
2606:4700:ff:0:91:e8a6:516c:aa99
 ~  #

resolv.conf

nameserver 192.168.97.97
nameserver fe80::52ff:20ff:fe78:c254
options timeout:1 attempts:1 rotate

Это можно как-то победить?

 

[Le ecureuil]

Сейчас наверное напрямую не выйдет, но подумаю.

[Le ecureuil]

А вот этот вот домен где вообще прописан? Почему бы в настройках не указать личный DNS для этого домена?

[avn]

1 час назад, Le ecureuil сказал:

А вот этот вот домен где вообще прописан? Почему бы в настройках не указать личный DNS для этого домена?

Все личные домены прописаны в /opt/etc/hosts -> Он же /tmp/hosts, /var/hosts, /etc/hosts Подтягивается сторонним dns - dnsmasq на 53 порту.

ipv6 host - нет такой команды.

$ ls -al /var/hosts /tmp/hosts /etc/hosts /var
lrwxrwxrwx    1 root     root            10 Aug 31 22:27 /etc/hosts -> /var/hosts
-rw-r--r--    1 root     root           659 Sep 18 04:02 /tmp/hosts
lrwxrwxrwx    1 root     root             4 Aug 31 22:27 /var -> /tmp
-rw-r--r--    1 root     root           659 Sep 18 04:02 /var/hosts

Скрытый текст

127.0.0.1 localhost
::1 localhost

192.168.97.97 zyavenger zyavenger.lan
2000:aaa:bbb:cccc::97 zyavenger zyavenger.lan

192.168.97.98 rpi4 rpi4.lan tm.lan ts.lan jk.lan lampa.lan
2000:aaa:bbb:cccc::98 rpi4 rpi4.lan tm.lan ts.lan jk.lan lampa.lan

8.8.8.8 dns.google
8.8.4.4 dns.google
2001:4860:4860::8888 dns.google
2001:4860:4860::8844 dns.google

1.1.1.1 cloudflare-dns.com
1.0.0.1 cloudflare-dns.com
2606:4700:4700::1111 cloudflare-dns.com
2606:4700:4700::1001 cloudflare-dns.com

162.184.193.7 warp-1.lan
162.114.96.99 warp-2.lan
2606:4600:ff:0:91:e8a6:516c:aa99 warp-1.lan ipv6.warp-1.lan
2606:4600:ff:0:3f:8d44:85f1:7acd warp-2.lan ipv6.warp-2.lan

Изменено 18 сентября пользователем avn

[Le ecureuil]

Попробуйте что-то вроде

ip name-server 127.0.0.1:8895 warp-1.lan

[avn]

23 минуты назад, Le ecureuil сказал:

Попробуйте что-то вроде

ip name-server 127.0.0.1:8895 warp-1.lan

Так резолвит, но если есть ipv4 адрес.

Если только ipv6, то не резолвит. Проблема как и была

Такой резолвер добавляет ip name-server 192.168.97.97:53 warp-1.lan

Сопутствующие проблемы:

С интерфейса удалить невозможно. Так удаляет ip no name-server 192.168.97.97:53 warp-1.lan

Резолвер на локальный адрес не добавить

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "22544486",
			"ident": "Dns::Manager",
			"message": "invalid IP address: 127.0.0.1."
		}
	]
}

 

Изменено 18 сентября пользователем avn

[avn]

@Le ecureuil Т.е. в сухом остатке, Dns::Resolver не умеет ipv6.

 

[Le ecureuil]

Умеет, но не делает, потому что Wireguard ходить по IPv6 у нас пока не обучен.

[avn]

3 минуты назад, Le ecureuil сказал:

Умеет, но не делает, потому что Wireguard ходить по IPv6 у нас пока не обучен.

Как не обучен, еще в 2022 году ходил.

https://forum.keenetic.ru/topic/14554-wireguard-ipv6/?do=findComment&comment=154862
https://forum.keenetic.ru/topic/14554-wireguard-ipv6/

peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
  endpoint: [2606:4700:d0::a29f:c001]:1701
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 16 seconds ago
  transfer: 1.26 KiB received, 8.64 KiB sent

 

Еще были темы, найти не могу. Просто что-то сломалось.

Изменено 18 сентября пользователем avn

[Le ecureuil]

2 минуты назад, avn сказал:

Как не обучен, еще в 2022 году ходил.

https://forum.keenetic.ru/topic/14554-wireguard-ipv6/?do=findComment&comment=154862
https://forum.keenetic.ru/topic/14554-wireguard-ipv6/

peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
  endpoint: [2606:4700:d0::a29f:c001]:1701
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 16 seconds ago
  transfer: 1.26 KiB received, 8.64 KiB sent

 

Еще были темы, найти не могу. Просто что-то сломалось.

Вы путаете модуль ядра и управляющий интерфейс в userspace. Модуль ядра родной от автора, он, конечно, умеет. Управляющий userspace никогда и не умел.

[avn]

3 минуты назад, Le ecureuil сказал:

Вы путаете модуль ядра и управляющий интерфейс в userspace. Модуль ядра родной от автора, он, конечно, умеет. Управляющий userspace никогда и не умел.

Так это встроенный wg работал. Просто после загрузки некоторых параметров через wg setconf, он резолвил в ipv6. Сейчас так не получается, я пробовал.

Изменено 18 сентября пользователем avn

[avn]

Есть шанс на обучение в ближайшем будущем?

[Le ecureuil]

12 минуты назад, avn сказал:

Так это встроенный wg работал. Просто после загрузки некоторых параметров через wg setconf, он резолвил в ipv6. Сейчас так не получается, я пробовал.

Он не мог так резолвить, вам показалось. Вы просто заменяли endpoint ip на другой, IPv6 через wg-утилиту. Так и сейчас работает, однако мы этой утилитой вообще не пользуемся - у нас код сразу через netlink с ядром общается, и там никогда не было поддержки IPv6.

[Le ecureuil]

9 минут назад, avn сказал:

Есть шанс на обучение в ближайшем будущем?

Безусловно, нужно только придумать что делать, если есть оба адреса в наличии: какой из них выбрать.

[avn]

14 минуты назад, Le ecureuil сказал:

Безусловно, нужно только придумать что делать, если есть оба адреса в наличии: какой из них выбрать.

Я бы рекомендовал ipv6 дать приоритет. Но т.к. у большинства еще ipv4, думаю оставить ipv4.

14 минуты назад, Le ecureuil сказал:

Он не мог так резолвить, вам показалось. Вы просто заменяли endpoint ip на другой, IPv6 через wg-утилиту. Так и сейчас работает, однако мы этой утилитой вообще не пользуемся - у нас код сразу через netlink с ядром общается, и там никогда не было поддержки IPv6.

Только-что

N

Изменено 18 сентября пользователем avn

[Le ecureuil]

35 минут назад, avn сказал:

Я бы рекомендовал ipv6 дать приоритет. Но т.к. у большинства еще ipv4, думаю оставить ipv4.

Только-что

N

И где здесь противоречие тому, что я сказал?

[avn]

11 минуту назад, Le ecureuil сказал:

И где здесь противоречие тому, что я сказал?

Я не задаю ip. Утилита резолвит в iov6-адрес по умолчанию. 

[Le ecureuil]

18 минут назад, avn сказал:

Я не задаю ip. Утилита резолвит в iov6-адрес по умолчанию. 

Ну так это сторонная утилита из entware. Я все не могу понять, при чем тут компонент Wireguard в Keenetic, и где у него "деградация возможностей".

[avn]

13 минуты назад, Le ecureuil сказал:

Ну так это сторонная утилита из entware. Я все не могу понять, при чем тут компонент Wireguard в Keenetic, и где у него "деградация возможностей".

Сейчас entware userspace не работает, как раньше. Байтики после загрузки конфигов не идут.  Но это и не нужно. Надеюсь на исправление прошивки.

[avn]

@Le ecureuil Не получится добавить исправление в ближайшую версию?

 

[Le ecureuil]

3 часа назад, avn сказал:

@Le ecureuil Не получится добавить исправление в ближайшую версию?

 

Что именно поправить-то? Я так и не понял, что вы хотите, и что там раньше работало.

[avn]

7 минут назад, Le ecureuil сказал:

Что именно поправить-то? Я так и не понял, что вы хотите, и что там раньше работало.

Резолв ipv6 добавить.

[Le ecureuil]

В 26.09.2024 в 17:20, avn сказал:

Резолв ipv6 добавить.

Это "новая фича", а не "баг". И "исправлено" это будет в запланированное время, и "ближайшая версия" точно к ней не относится.

[avn]

4 часа назад, Le ecureuil сказал:

Это "новая фича", а не "баг". И "исправлено" это будет в запланированное время, и "ближайшая версия" точно к ней не относится.

Отрезолвить ipv6 и не отдать его, это bug

[Le ecureuil]

В 01.10.2024 в 16:07, avn сказал:

Отрезолвить ipv6 и не отдать его, это bug

Да с чего вы берете? В запросе на resolve сразу стоит только поле A, потому никакого резолва AAAA и в помине нет.

Причем там не так просто, как может показаться: нужно решить, а через какие же адреса идти, если доступны и те, и другие. Также выбор соединения, когда на самом высокоприоритетном есть ipv4, но нет ipv6 может показаться контринтуитивным.

[avn]

28 минут назад, Le ecureuil сказал:

Да с чего вы берете? В запросе на resolve сразу стоит только поле A, потому никакого резолва AAAA и в помине нет.

Причем там не так просто, как может показаться: нужно решить, а через какие же адреса идти, если доступны и те, и другие. Также выбор соединения, когда на самом высокоприоритетном есть ipv4, но нет ipv6 может показаться контринтуитивным.

Оставьте приоритетом ipv4. Пока нормального решения не придумаете. Многие будут довольны. А то сейчас какой-то обрубок ipv4 endpoint.

Изменено 2 октября пользователем avn

[avn]

Планируются изменения в ближайших версиях?

[Le ecureuil]

Поскольку это не баг, а фича, то делатся будет в порядке очереди.

[avn]

А где можно посмотреть на  реализацию этого резолва в коде? На github есть исходники?

[avn]

4.3.a5 Не исправлено.

Изменено 9 ноября пользователем avn

[Le ecureuil]

Бесполезно апать, делается в порядке очереди для фич, а это не скоро.