KN-1011 5.0.4 получаю от провайдера ipv6, в настройках отключаю получение dns от провайдера и настройках только одного сегмента включил ipv6 с указанием своего ipv6 dns во внутренней сети.
В итоге dns по ipv6 не работает:
C:\Users\*****>nslookup ya.ru fd**:****:****::*
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: fd**:****:****::*
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Question
adun
KN-1011 5.0.4 получаю от провайдера ipv6, в настройках отключаю получение dns от провайдера и настройках только одного сегмента включил ipv6 с указанием своего ipv6 dns во внутренней сети.
В итоге dns по ipv6 не работает:
C:\Users\*****>nslookup ya.ru fd**:****:****::* DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ: UnKnown Address: fd**:****:****::* DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnownДля IPv4 с аналогичными настройками все гуд:
C:\Users\****>nslookup ya.ru 192.168.***.* ╤хЁтхЁ: ***.** Address: 192.168.***.* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.55.242 5.255.255.242 77.88.44.242По tcpdump видно что трафик застревает где-то в ядре кинетика.
Немного поразобравшись заметил интересную особенность в настройках iptables через opkg.
Для ipv4 в цепочке _NDM_HOTSPOT_DNSREDIR куда попадает весь трафик:
-A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100Видно что в фильтре присутствует адрес кинетика 192.168.***.1/32, т.е. трафик адресован ему (dns перенаправляет на локальный адрес и порт 41100).
А вот для ipv6:
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100Тут весь трафик dns направляется на внутренний ipv6 адрес кинетика, который не может отрезолвить запрос.
Вручную добавив в цепочку _NDM_HOTSPOT_DNSREDIR:
ip6tables -t nat -I _NDM_HOTSPOT_DNSREDIR 1 -i br0 -p udp --dport 53 -j ACCEPTПолучаем:
C:\Users\user>nslookup ya.ru fd**:****:****::* ╤хЁтхЁ: UnKnown Address: fd**:****:****::* Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 77.88.44.242 5.255.255.242 77.88.55.242Еще конечно уточнение, что в вебе на кинетике нельзя добавить правил МЭ для адресов IPv6, приходится так же через iptables:
Как итог:
запрос на улучшение - добавить возможность управление МЭ для IPv6
запрос на исправление перенаправления IPv6 dns трафика.
Edited by adun0 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.