Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

KeeneticOS 5.0.4 не работает dns для IPv6

adun

Ответ от adun,

 Поделиться

Вопрос

adun Новичок

adun

Опубликовано
Опубликовано (изменено)

KN-1011 5.0.4 получаю от провайдера ipv6, в настройках отключаю получение dns от провайдера и настройках только одного  сегмента включил ipv6 с указанием своего ipv6 dns во внутренней сети.

В итоге dns по ipv6 не работает: 

C:\Users\*****>nslookup ya.ru fd**:****:****::*
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  fd**:****:****::*

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Для IPv4 с аналогичными настройками все гуд: 

C:\Users\****>nslookup ya.ru 192.168.***.*
╤хЁтхЁ:  ***.**
Address:  192.168.***.*

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  2a02:6b8::2:242
          77.88.55.242
          5.255.255.242
          77.88.44.242

По tcpdump видно что трафик застревает где-то в ядре кинетика.

Немного поразобравшись заметил интересную особенность в настройках iptables через opkg.

Для ipv4 в цепочке _NDM_HOTSPOT_DNSREDIR куда попадает весь трафик: 

-A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -d 192.168.***.1/32 -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100

Видно что в фильтре присутствует адрес кинетика 192.168.***.1/32, т.е. трафик адресован ему (dns перенаправляет на локальный адрес и порт 41100).

А вот для ipv6: 

-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j DNAT --to-destination [fe80::****:****:****:9d]:41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100

Тут весь трафик dns направляется на внутренний ipv6 адрес кинетика, который не может отрезолвить запрос.

Вручную добавив в цепочку _NDM_HOTSPOT_DNSREDIR: 

ip6tables -t nat -I _NDM_HOTSPOT_DNSREDIR 1 -i br0 -p udp --dport 53 -j ACCEPT

Получаем: 

C:\Users\user>nslookup ya.ru fd**:****:****::*
╤хЁтхЁ:  UnKnown
Address:  fd**:****:****::*

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  2a02:6b8::2:242
          77.88.44.242
          5.255.255.242
          77.88.55.242

Еще конечно уточнение, что в вебе на кинетике нельзя добавить правил МЭ для адресов IPv6, приходится так же через iptables: 

ip6tables -I FORWARD 1 -i br0 -o br1 -j ACCEPT
ip6tables -I FORWARD 1 -i br1 -o br0 -j ACCEPT

Как итог:

запрос на улучшение - добавить возможность управление МЭ для IPv6

запрос на исправление перенаправления IPv6 dns трафика.

 

 

Изменено пользователем adun

1 ответ на этот вопрос

Рекомендуемые сообщения

  • 0
Александр П Новичок

Александр П

Опубликовано
Опубликовано (изменено)

Я решил у себя проблему с IPv6 и DNS.

Проблема:
Раньше у меня не было IPv6, я использовал Adguard Home на мини-пк для IPv4, и всё работало.
После настройки получения (динамического) IPv6 от провайдера, я обнаружил что устройства, которые работают на IPv6, перестали обращаться к Adguard Home. Эти устройства обращались к DNS роутера, а роутер использовал какие-то глобальные DNS (возможно DNS провайдера), вместо моего Adguard Home.

Решение:
Устройства сами себе генерируют Link-Local (fe80::) адреса. Но UI не позволяет указать такой адрес в качестве IPv6 DNS адреса (полагаю на это есть причины).
image.png.104c617b1c8f634929051e5dd027ee4a.png
Но UI позволяет указать ULA (Unique Local Address (fd**::)) IPv6. На текущей момент времени, по умолчанию в Keenetic не включена выдача ULA адресов устройствам. Чтобы включить раздачу нужно выполнить команду (на странице <адрес роутера>/a или <адрес роутера>/controlPanel/cli) :

  • ИЛИ для назначения случайного префикса ULA IPv6: 
    ipv6 local-prefix default
  • ИЛИ для назначения специфического префикса ULA IPv6: 
    ipv6 local-prefix fd00:caba::/48

(Команды подсмотрел тут)
Не забудьте сохранить изменения: 

system configuration save

Найдите IPv6 адрес на устройстве (мини-пк/Raspberry), (например при помощи ifconfig) и впишите этот IP в: 

Мои сети и Wi-Fi → Домашняя сеть → IPv6 DNS-сервер 1

После этого устройства в локальной сети будут получать DNS IPv6 принадлежащий устройству с Adguard Home, и направлять запросы DNS напрямую к нему.

Изменено пользователем Александр Плохих

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю