Полноценная поддержка IPv6

[streampp]

Добрый день.

Планируется ли полноценная поддержка IPv6 в прошивках для Keenetic Ultra II?

1. Не могу задать IPv6 DNS в веб-интерфейсе для локальной сети.

2. Не могу настроить внутренние подсети и маршрутизацию.

3. Не могу настроить правила файрволла для разрешения трафика из WAN в Lan.

Веб интерфейс принимает только IPv4 адреса.

Очень огорчает "кастрированность" IPv6 в Keenetic, и OpenWRT нет для Keenetic II

Очень не хочется сдавать устройство или продавать.

[slomblobov]

16 hours ago, Windom_Earle said:

Обнаружил, что мне недостает команды вида

ipv6 route *** *** auto

для статичной IPv6-маршрутизации через туннели. А без параметра auto команда из настроек не применяется, т.к. шлюз на момент загрузки ещё недоступен.

Нужно пояснение, сценарий непонятен.

Можно прописать маршрут для нужного шлюза и затем его использовать. Lilklocal и там и там можно прописывать без отдельного маршрута. 

Quote

ipv6 route ::6/128 ISP
ipv6 route 127::/64 ISP ::6
ipv6 route 128::/64 ::6
ipv6 route 221::/64 ISP fe80::555

iproute2 тоже не позволяет прописывать маршруты в неизвестном направлении.

Quote

ip -6 r a ::9 via ::10 dev br0
RTNETLINK answers: Host is unreachable

 

[Windom_Earle]

2 hours ago, vst said:

Нужно пояснение, сценарий непонятен.

Речь об аналогии https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN (раздел "Настройка Keenetic#1") но только уже исключительно для IPv6. Т.е. речь о настройке на сервере маршрутизации серверной сети в клиентскую сеть.

Адреса присваиваются клиенту VPN-сервером Keenetic при установке соединения. Как мы видим в статье, при настройке шлюза для IP ставим галочку "Добавлять автоматически", т.е. параметр auto для ip route, т.к. на момент добавления маршрута он ещё недоступен.

Правильно ли я понял, что в качестве адреса шлюза в этом случае можно также указать какой-то Link-local адрес? Какой же? Не VPN-интерфейса же клиента?

[Scondo]

Окей. Пара простых вопросов про простые открытия портов:

1) Как просмотреть список портов открытых командой ipv6 static ?

2) Что мешает вытащить управление этими открытиями в интерфейс?

[avn]

В wireguard, хотя бы, поддержка ipv6 появится в ближайшее время?

[Le ecureuil]

2 часа назад, avn сказал:

В wireguard, хотя бы, поддержка ipv6 появится в ближайшее время?

Что такое для вас "ближайшее время"?)

[avn]

36 минут назад, Le ecureuil сказал:

Что такое для вас "ближайшее время"?)

Версия 3.7, 3.8

Изменено 4 августа, 2021 пользователем avn

[Le ecureuil]

18 минут назад, avn сказал:

Версия 3.7, 3.8

Точно нет.

[avn]

2 часа назад, Le ecureuil сказал:

Точно нет.

Плохо. Половина ipv6 на скриптах в entware крутится. Пора бы уже двигаться в этом направлении. Хотя бы еще dns ipv6, wireguard ipv6, dhcp static ipv6

 

скрипты типо таких:

Скрытый текст

#!/bin/sh

[ "$type" != "ip6tables" ] && exit 0
[ "$table" != "filter" ] && exit 0

cut_local() {
	grep -vE 'localhost|^0\.|^127\.|^10\.|^172\.16\.|^192\.168\.|^::|^fc..:|^fd..:|^fe..:'
}

ip6t() {
	if ! ip6tables -C "$@" &>/dev/null; then
		ip6tables -A "$@"
	fi
}

IP_RPi4=$(dig AAAA +short rpi4.local @localhost -p 53 | grep -Eo '^([0-9a-fA-F]{0,4}:){1,7}[0-9a-fA-F]{1,4}$' | cut_local) || exit 0

#ip6t _NDM_INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 80 -j ACCEPT
#ip6t _NDM_INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 443 -j ACCEPT
#ip6t _NDM_INPUT -p tcp -m tcp --dport 23098 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 23098 -j ACCEPT

ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 80 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 80 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 443 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 443 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 23098 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 23098 -j ACCEPT

exit 0

 

 

Изменено 4 августа, 2021 пользователем avn

[krass]

29 минут назад, avn сказал:

Плохо. Половина ipv6 на скриптах в entware крутится. Пора бы уже двигаться в этом направлении. Хотя бы еще dns ipv6, wireguard ipv6, dhcp static ipv6

Если перечитать вторую страницу -- то там указан примерный срок. Осталось подождать один год. ( тормозят развитие слабые устройства с флешем 8МБ )

[Le ecureuil]

11 час назад, avn сказал:

Плохо. Половина ipv6 на скриптах в entware крутится. Пора бы уже двигаться в этом направлении. Хотя бы еще dns ipv6, wireguard ipv6, dhcp static ipv6

 

скрипты типо таких:

  Скрыть содержимое

#!/bin/sh

[ "$type" != "ip6tables" ] && exit 0
[ "$table" != "filter" ] && exit 0

cut_local() {
	grep -vE 'localhost|^0\.|^127\.|^10\.|^172\.16\.|^192\.168\.|^::|^fc..:|^fd..:|^fe..:'
}

ip6t() {
	if ! ip6tables -C "$@" &>/dev/null; then
		ip6tables -A "$@"
	fi
}

IP_RPi4=$(dig AAAA +short rpi4.local @localhost -p 53 | grep -Eo '^([0-9a-fA-F]{0,4}:){1,7}[0-9a-fA-F]{1,4}$' | cut_local) || exit 0

#ip6t _NDM_INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 80 -j ACCEPT
#ip6t _NDM_INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 443 -j ACCEPT
#ip6t _NDM_INPUT -p tcp -m tcp --dport 23098 -j ACCEPT
#ip6t _NDM_INPUT -p udp -m udp --dport 23098 -j ACCEPT

ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 80 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 80 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 443 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 443 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p tcp -m tcp --dport 23098 -j ACCEPT
ip6t _NDM_STATIC_FORWARD -d $IP_RPi4/128 -i eth3 -p udp -m udp --dport 23098 -j ACCEPT

exit 0

 

 

Форвард уже сделан давно, еще в 2.12. Посмотрите на ipv6 static.

[avn]

7 часов назад, Le ecureuil сказал:

Форвард уже сделан давно, еще в 2.12. Посмотрите на ipv6 static

Ага, только не на тот ip. Поэтому и нужны статические адреса для некоторых устройств.

Изменено 5 августа, 2021 пользователем avn

[Le ecureuil]

18 часов назад, avn сказал:

Ага, только не на тот ip. Поэтому и нужны статические адреса для некоторых устройств.

Что значит "не на тот IP"? Подробнее.

[avn]

40 минут назад, Le ecureuil сказал:

Что значит "не на тот IP"? Подробнее.

Должно быть так:

~ # ip6tables-save|grep 443
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300::98/128 -i eth3 -p tcp -m tcp --dport 443 -j ACCEPT
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300:691:62ff:febe:3ac0/128 -i eth3 -p tcp -m tcp --dport 443 -j ACCEPT
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300::98/128 -i eth3 -p udp -m udp --dport 443 -j ACCEPT
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300:691:62ff:febe:3ac0/128 -i eth3 -p udp -m udp --dport 443 -j ACCEPT
~ #

А на самом деле так:

~ # ip6tables-save|grep 443
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300:691:62ff:febe:3ac0/128 -i eth3 -p tcp -m tcp --dport 443 -j ACCEPT
-A _NDM_STATIC_FORWARD -d 2a05:3580:xxxx:f300:691:62ff:febe:3ac0/128 -i eth3 -p udp -m udp --dport 443 -j ACCEPT
~ #

 

Само устройство:

eth0      Link encap:Ethernet  HWaddr 04:91:62:BE:3A:C0
          inet addr:192.168.97.98  Bcast:192.168.97.127  Mask:255.255.255.224
          inet6 addr: 2a05:3580:xxxx:f300::98/128 Scope:Global
          inet6 addr: 2a05:3580:xxxx:f300:691:62ff:febe:3ac0/64 Scope:Global
          inet6 addr: fe80::691:62ff:febe:3ac0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:190782881 errors:0 dropped:5914 overruns:0 frame:0
          TX packets:112123573 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:243192017085 (226.4 GiB)  TX bytes:125455421990 (116.8 GiB)
          Interrupt:27

Конфиг:

ipv6 static tcp ISP 04:91:62:be:3a:c0 443
ipv6 static udp ISP 04:91:62:be:3a:c0 443

В итоге проброс на 2a05:3580:xxxx:f300::98 не работает.

[Le ecureuil]

А зачем там статический адрес?

[avn]

1 час назад, Le ecureuil сказал:

А зачем там статический адрес?

Что бы в dns его прописать.

 

[Le ecureuil]

2 часа назад, avn сказал:

Что бы в dns его прописать.

 

То есть по-итогу выясняется, что нет не проброса, а нет удобного управления DNS для IPv6?

[avn]

31 минуту назад, Le ecureuil сказал:

То есть по-итогу выясняется, что нет не проброса, а нет удобного управления DNS для IPv6?

Нет удобного статического адреса. Dns (nic.ru запись aaaa ) к вам отношения не имеет. 

[Le ecureuil]

Статика IPv6 это конечно боль, надо к этому готовится (что будет печально).

Все официальные рекомендации для CPE и юзерских решений однозначно утверждают что нужен stateless с RA и PD, а остальное можно даже не делать.

[krass]

8 часов назад, Le ecureuil сказал:

Статика IPv6 это конечно боль, надо к этому готовится (что будет печально).

А можно подробней,пожалуйста, боль в чем? для простого пользователя?

8 часов назад, Le ecureuil сказал:

Все официальные рекомендации для CPE и юзерских решений однозначно утверждают что нужен stateless с RA и PD, а остальное можно даже не делать.

А если потребуется что-то большее -- будут посылать в entware или cli?

[Le ecureuil]

2 часа назад, krass сказал:

А можно подробней,пожалуйста, боль в чем? для простого пользователя?

А если потребуется что-то большее -- будут посылать в entware или cli?

В том, что это не официально одобряемая конфигурация. Она возможна, но вопрос ее реализации исключительно по желанию вендоров.

[Scondo]

В 07.08.2021 в 01:04, Le ecureuil сказал:

Все официальные рекомендации для CPE и юзерских решений однозначно утверждают что нужен stateless с RA и PD, а остальное можно даже не делать.

Остальное можно не делать в части выдачи адресов.

А перенаправление портов вещь несвязанная на самом деле. Это конкретно кинетиковское решение увязать перенаправление с выдачей.

[Le ecureuil]

10 часов назад, Scondo сказал:

Остальное можно не делать в части выдачи адресов.

А перенаправление портов вещь несвязанная на самом деле. Это конкретно кинетиковское решение увязать перенаправление с выдачей.

Как можно перенаправить порт не зная адрес хоста в локальной сети?

[Denis Gubanov]

В 01.11.2021 в 10:48, Le ecureuil сказал:

Как можно перенаправить порт не зная адрес хоста в локальной сети?

использовать link-local адрес хоста для перенаправления?

[Le ecureuil]

2 часа назад, Denis Gubanov сказал:

использовать link-local адрес хоста для перенаправления?

>> Packets with those addresses are not forwarded by routers. (ц)

[Роман Туркин]

как я понимаю на данный момент невозможно включить DoT или DoH с поддержкой ipv6 в роутере?  

[r13]

1 час назад, Роман Туркин сказал:

как я понимаю на данный момент невозможно включить DoT или DoH с поддержкой ipv6 в роутере?  

Верно

[Scondo]

В 01.11.2021 в 10:48, Le ecureuil сказал:

Как можно перенаправить порт не зная адрес хоста в локальной сети?

Я имел ввиду, что отсутствие форварда для статики - вопрос больше интерфейсный/организационный и не относящийся к собственно рекомендациям про выдачу IP.

 

Хотя я повторю интерфейсный (и чисто интерфейсный!) вопрос: как посмотреть форварды в CLI и когда можно их ожидать управление нынешним форвардом в интерфейсе? Это уж никак с новыми возможностями типа доработок ядра не связано...

[Stanislav1]

В 04.08.2021 в 22:57, krass сказал:

Если перечитать вторую страницу -- то там указан примерный срок. Осталось подождать один год. ( тормозят развитие слабые устройства с флешем 8МБ )

Экономия на спичках вышла боком...

 

[krass]

2 часа назад, Stanislav1 сказал:

Экономия на спичках вышла боком...

 

не вышла боком) это маркетинговая многоходовочка) марш за  новым устройством! а  потом когда прошивка разрастется до, например, 24МБ придется менять и устройства с 32/2=16МБ !

Но, справедливости ради,  и  у других производителей так....

Чтоб была неудовлетворенность каждым продуктом по сравнению с вышедшей  недавно новинкой.

P.S. Как например в андроиде, помните сколько весили приложения под 2ой андроид и 4ый андроид....а сколько сейчас....

[avn]

Когда уже?

(реализовано) ip6tables raw table
ip -6 rule (routing policy)
wireguard ipv6

WireGuard ipv6 поддерживает из коробки. Когда уже соберете ядро wg с поддержкой ipv6? Вэб интерфейс не нужен.