- 0
-
Последние посетители 0 пользователей онлайн
- Ни одного зарегистрированного пользователя не просматривает данную страницу
На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.
Вопрос
adun
KN-1011 5.0.4 получаю от провайдера ipv6, в настройках отключаю получение dns от провайдера и настройках только одного сегмента включил ipv6 с указанием своего ipv6 dns во внутренней сети.
В итоге dns по ipv6 не работает:
C:\Users\*****>nslookup ya.ru fd**:****:****::* DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ: UnKnown Address: fd**:****:****::* DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnownДля IPv4 с аналогичными настройками все гуд:
C:\Users\****>nslookup ya.ru 192.168.***.* ╤хЁтхЁ: ***.** Address: 192.168.***.* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.55.242 5.255.255.242 77.88.44.242По tcpdump видно что трафик застревает где-то в ядре кинетика.
Немного поразобравшись заметил интересную особенность в настройках iptables через opkg.
Для ipv4 в цепочке _NDM_HOTSPOT_DNSREDIR куда попадает весь трафик:
-A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100Видно что в фильтре присутствует адрес кинетика 192.168.***.1/32, т.е. трафик адресован ему (dns перенаправляет на локальный адрес и порт 41100).
А вот для ipv6:
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100Тут весь трафик dns направляется на внутренний ipv6 адрес кинетика, который не может отрезолвить запрос.
Вручную добавив в цепочку _NDM_HOTSPOT_DNSREDIR:
ip6tables -t nat -I _NDM_HOTSPOT_DNSREDIR 1 -i br0 -p udp --dport 53 -j ACCEPTПолучаем:
C:\Users\user>nslookup ya.ru fd**:****:****::* ╤хЁтхЁ: UnKnown Address: fd**:****:****::* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.44.242 5.255.255.242 77.88.55.242Еще конечно уточнение, что в вебе на кинетике нельзя добавить правил МЭ для адресов IPv6, приходится так же через iptables:
Как итог:
запрос на улучшение - добавить возможность управление МЭ для IPv6
запрос на исправление перенаправления IPv6 dns трафика.
Изменено пользователем adun0 ответов на этот вопрос
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.