Полноценная поддержка IPv6

[streampp]

Добрый день.

Планируется ли полноценная поддержка IPv6 в прошивках для Keenetic Ultra II?

1. Не могу задать IPv6 DNS в веб-интерфейсе для локальной сети.

2. Не могу настроить внутренние подсети и маршрутизацию.

3. Не могу настроить правила файрволла для разрешения трафика из WAN в Lan.

Веб интерфейс принимает только IPv4 адреса.

Очень огорчает "кастрированность" IPv6 в Keenetic, и OpenWRT нет для Keenetic II

Очень не хочется сдавать устройство или продавать.

[Denis Bormaleytus]

1 час назад, mrGhotius сказал:

В правильном описании проблемы! В каком режиме Ultra работает? Почему вытягивать информацию всегда нужно?

Подозреваю, что подключили просто воткнув кабель в WAN и оставили работать как роутер? Тогда делегируйте префикс с Giga на Ultra.

да. сначала ультра был настроен как точка доступа, счас как роутер.

как делегировать префикс???

Изменено 25 декабря, 2024 пользователем Denis Bormaleytus

[mrGhotius]

3 минуты назад, Denis Bormaleytus сказал:

как делегировать префикс???

Почитайте тут

[Denis Bormaleytus]

на ultra прилетает айпишник с главного роутера.

после прописывания делигивания - пропадает.

Цитата

ipv6 subnet Default
    bind Home
    mode slaac
    prefix length 63
    prefix delegate 64
    number 0

 

Изменено 25 декабря, 2024 пользователем Denis Bormaleytus

[mrGhotius]

11 минут назад, Denis Bormaleytus сказал:

после прописывания делигивания - пропадает.

В этом случае не получится делегировать префикс (для делегирования получаемый от провайдера префикс должен быть меньше 64),  проще вам вернуть Ultra в режим точки доступа в MESH.

Изменено 25 декабря, 2024 пользователем mrGhotius

[Denis Bormaleytus]

40 минут назад, mrGhotius сказал:

В этом случае не получится делегировать префикс, проще вам вернуть Ultra в режим точки доступа в MESH

вернул ульру в ретранслятор.

заработало

[ru.celebi]

On 8/10/2023 at 10:50 AM, Denys said:

Планируется ли добавить traceroute6?

Мне тоже было бы очень полезно иметь traceroute6. Надеюсь, эта функция появится в будущих обновлениях. Спасибо!

[None 7]

Столкнулся с проблемой, о которой известно уже 2 года. Файрволл роутера забывает постоянный IPv6-адрес установленного в сети DNS-сервера. Обращаются к нему по этому адресу не часто из из кэша DNS, который может пару дней запись хранить. Сам DNS-сервер в сеть выходит с временных адресов и соответственно анонсирует этот адрес только при подключении к сети. Я конечно понимаю, что память не бесконечная и нужно периодически чистить NDP-таблицу и правила файрволла от временных адресов, но стоит всё таки проверять, что устройство отказалась от адреса и больше для него на NDP-запросы не отвечает. Самый простой способ это перед удалением адреса из файрволла отправить ему ping, а затем независимо от результата проверить NDP-таблицу. Проблему конечно я решил одной строчкой в cron на DNS-сервере, но это костыль.

А теперь вопрос к администрации, если багу уже 2 года, то когда же его уже починят внеся пару строк в скрипт? Ладно DNS это редкий случай, но как насчёт удалённого доступа по ssh или SMB ? Или же принятие звонков через SIP ? Последнее как бы в бизнесе часто используется и пропущенный звонок из за мнимой безопасности может стоить дороже любого вашего роутера.

[Le ecureuil]

4 часа назад, None 7 сказал:

Столкнулся с проблемой, о которой известно уже 2 года. Файрволл роутера забывает постоянный IPv6-адрес установленного в сети DNS-сервера. Обращаются к нему по этому адресу не часто из из кэша DNS, который может пару дней запись хранить. Сам DNS-сервер в сеть выходит с временных адресов и соответственно анонсирует этот адрес только при подключении к сети. Я конечно понимаю, что память не бесконечная и нужно периодически чистить NDP-таблицу и правила файрволла от временных адресов, но стоит всё таки проверять, что устройство отказалась от адреса и больше для него на NDP-запросы не отвечает. Самый простой способ это перед удалением адреса из файрволла отправить ему ping, а затем независимо от результата проверить NDP-таблицу. Проблему конечно я решил одной строчкой в cron на DNS-сервере, но это костыль.

А теперь вопрос к администрации, если багу уже 2 года, то когда же его уже починят внеся пару строк в скрипт? Ладно DNS это редкий случай, но как насчёт удалённого доступа по ssh или SMB ? Или же принятие звонков через SIP ? Последнее как бы в бизнесе часто используется и пропущенный звонок из за мнимой безопасности может стоить дороже любого вашего роутера.

Для всех адресов попавших в NDP запускается периодический трекинг. Если адрес перестает отвечать на прямой запрос NDP трекеру, то медицина бессильна - это его проблема, этот хост невозможно отличить от "насовсем отключенного". Также если хост из-за privacy extensions меняет адрес, но не анонсирует его через DAD - он сами виноват, как это вообще можно узнать?

Единственное решение в таком случае - дополнительный статический адрес, который всегда доступен.

[avn]

6 часов назад, Le ecureuil сказал:

Для всех адресов попавших в NDP запускается периодический трекинг. Если адрес перестает отвечать на прямой запрос NDP трекеру, то медицина бессильна - это его проблема, этот хост невозможно отличить от "насовсем отключенного". Также если хост из-за privacy extensions меняет адрес, но не анонсирует его через DAD - он сами виноват, как это вообще можно узнать?

Единственное решение в таком случае - дополнительный статический адрес, который всегда доступен.

У меня дополнительный статический адрес умирает периодично. Что бы восстановить, надо роутер пингануть. И все опять ок, но на период.

[Oleg Nekrylov]

Есть ли возможность добавить команду ipv6 nat, по аналогии с ip nat?

PS: Провайдер выдаёт /128 😡

Изменено 7 февраля пользователем Oleg Nekrylov

[Heggi]

В 07.02.2026 в 12:27, Oleg Nekrylov сказал:

Есть ли возможность добавить команду ipv6 nat, по аналогии с ip nat?

PS: Провайдер выдаёт /128 😡

Провайдер на роутер может /128 выдавать. Но должен еще выдавать префикс для делегирования в домашнюю сеть.

[Oleg Nekrylov]

В 09.03.2026 в 00:54, Heggi сказал:

Провайдер на роутер может /128 выдавать. Но должен еще выдавать префикс для делегирования в домашнюю сеть.

Не должен и не выдаёт: Deutsche Telecom. Хочешь префикс, плати ещё 50€

Когда подключали деревню (лет 10 назад), провайдер воткнул провод напрямую в корпоративный ноутбук (Fritz!Box тогда ещё не ставили).

И вот в один прекрасный момент, мой товарищ (на ПМЖ в Германии) увидел, что по его экрану мышь сама ползает, открывает каталоги, смотрит корпоративные файлы. По старой памяти, позвонил мне: что делать?

Я посоветовал поставить роутер и проверить ноутбук, роутер он купил в Калининграде (KN-2311, чтобы заодно был мобильный интернет в командировках), корпоративные it ноут проверили.

Вот и возник вопрос: подключается проводом напрямую или через взятый у соседа на время Fritz!Box - есть доступ к корпоративному серверу (только ipv6), подключается через Keenetic - нет доступа.

Fritz!Box получает публичный /128, а в сеть транслирует по DHCPv6 приватные адреса: fxxxx

Как сделать такое на Keenetic без Entware?
 

Изменено 13 марта пользователем Oleg Nekrylov

[avn]

1 час назад, Oleg Nekrylov сказал:

Не должен и не выдаёт: Deutsche Telecom. Хочешь префикс, плати ещё 50€

Когда подключали деревню (лет 10 назад), провайдер воткнул провод напрямую в корпоративный ноутбук (Fritz!Box тогда ещё не ставили).

И вот в один прекрасный момент, мой товарищ (на ПМЖ в Германии) увидел, что по его экрану мышь сама ползает, открывает каталоги, смотрит корпоративные файлы. По старой памяти, позвонил мне: что делать?

Я посоветовал поставить роутер и проверить ноутбук, роутер он купил в Калининграде (KN-2311, чтобы заодно был мобильный интернет в командировках), корпоративные it ноут проверили.

Вот и возник вопрос: подключается проводом напрямую или через взятый у соседа на время Fritz!Box - есть доступ к корпоративному серверу (только ipv6), подключается через Keenetic - нет доступа.

Fritz!Box получает публичный /128, а в сеть транслирует по DHCPv6 приватные адреса: fxxxx

Как сделать такое на Keenetic без Entware?
 

ipv6 local-prefix fd00:0:0::/48

ipv6 subnet Default number 1

[slomblobov]

Локальный префикс не будет форвардиться в интернет. Нужен nat66, что это работало, как сейчас работает ipv4.

Скорее всего тут поможет ipv6 pass-throught.

[Heggi]

NPTv6 нужен, но в кинетике его нет. А что делает ipv6 pass-throught я что-то так и не нашел.

[r13]

NPTv6 как раз есть, иначе multihoming не работал бы. Просто пользователем не управляется 

[Heggi]

Да, вы правы. Но работает он у меня настолько отвратительно, что можно сказать не работает.
Включение второго провайдера с ipv6 у меня ломает ipv6 вообще

[nos1609]

Добавлю свежий практический пример по IPv6 на KN-1811 / KeeneticOS 5.1b4 (preview 5.01.B.4.0-1).

Это именно проблема с текущей реализацией при нескольких выходах в сеть, маршрутизации по DNS и нежелании раздавать домашним устройствам публичный IPv6-префикс провайдера.

Схема такая:

• провайдер выдаёт IPv6 и делегированный префикс;
• на роутере используется штатная IPv6-маршрутизация KeeneticOS;
• используется маршрутизация доменов через dns-proxy route ... Wireguard<N> auto reject;
• хочется, чтобы устройства в Home получали только ULA, маршрут по умолчанию на роутер и DNS тоже через роутер;
• публичный адрес из префикса провайдера на устройства раздавать наоборот — не хочется.

Причина простая: если клиент получает публичный 2a02:..., меняется вся модель безопасности и приватности. Устройство уже не просто “внутри домашней сети за роутером”, а имеет публичный IPv6-адрес. Да, входящий трафик можно фильтровать, но сама модель становится другой.

Штатная настройка выглядит логично:

Цитата

 

interface ISP
    ipv6 address auto
    ipv6 prefix auto

interface Home
    ipv6 prefix auto
    no ipv6 name-servers auto

ipv6 local-prefix default

ipv6 subnet Default
    bind Home
    mode slaac
    prefix length 64
    number 0

 

Но при включении mode slaac штатный radvd раздаёт в домашнюю сеть сразу оба префикса:

- ULA fdf4:.../64;
- публичный префикс провайдера 2a02:.../64.

В итоге Windows-клиент получает и fdf4:..., и 2a02:..., плюс маршрут по умолчанию и DNS через RA/RDNSS.

Отдельной настройки вида “SLAAC только для ULA” или “не раздавать публичный префикс провайдера в LAN” я в CLI не нашёл.

Пробовал:

Цитата

ipv6 subnet Default
    no prefix delegate

В моём случае это не убрало публичный префикс из RA.

Если же сделать:

Цитата

ipv6 subnet Default
    no mode

то штатная раздача RA выключается полностью. Префиксы на роутере остаются, маршрутизация есть, но клиенты не получают ни SLAAC-адреса, ни маршрут по умолчанию, ни DNS — вообще ipv6 отсутствует дальше кинетика.

То есть сейчас выбор такой:

1. mode slaac — клиентам раздаются и ULA, и публичный IPv6 провайдера.
2. no mode — клиентам не раздаётся вообще ничего.

Рабочий обходной вариант оказался таким: оставить всю штатную маршрутизацию KeeneticOS, но заменить только источник RA.

Штатно остаётся:

• получение IPv6 на ISP;
• получение делегированного префикса;
• ipv6 local-prefix default;
• маршрутизация;
• dns-proxy;
• firewall;
• работа через Wireguard-интерфейсы.

А штатный RA выключается:

Цитата

ipv6 subnet Default
    no mode

Вместо него запускается обычный radvd через entware на br0, который раздаёт только ULA:

Цитата

 

interface br0 {
    AdvSendAdvert on;
    AdvManagedFlag off;
    AdvOtherConfigFlag on;
    AdvDefaultLifetime 1800;

    prefix fdf4:...::/64 {
        AdvOnLink on;
        AdvAutonomous on;
        AdvPreferredLifetime infinity;
        AdvValidLifetime infinity;
    };

    RDNSS fe80::<link-local-адрес-роутера> {
    };
};

 

После этого Windows-клиент получает:

• только fdf4:...;
• без 2a02:... на клиенте;
• маршрут по умолчанию через link-local адрес роутера;
• DNS тоже через link-local адрес роутера.

При этом внешний IPv6 продолжает работать. Проверка с исходным адресом fdf4:... проходит, снаружи соединение видно как адрес из провайдерского 2a02:... префикса. То есть штатная маршрутизация/трансляция префикса на роутере продолжает работать, просто публичный префикс больше не раздаётся клиентам напрямую.

Сравнение получается такое

Штатный Keenetic mode slaac:

• включается одной командой;
• но раздаёт клиентам и ULA, и публичный префикс провайдера;
• нет понятной настройки “раздавать только local-prefix”;
• no mode выключает весь RA целиком.

Пользовательский radvd:

• вся маршрутизация остаётся штатной;
• клиентам можно раздавать только ULA;
• DNS можно оставить строго через роутер;
• маршрутизация доменов через dns-proxy route продолжает работать;
• но это уже ручной обход, потому что приходится забирать у KeeneticOS управление RA.

Отдельная связанная проблема — DNS в IPv6.

Сейчас есть несколько разных мест, которые влияют на DNS6:

• interface ipv6 name-servers auto / no ipv6 name-servers auto;
• ipv6 name-server;
• ipv6 subnet dns-server;
• RDNSS в RA;
• dns-proxy route ... <interface> auto reject.

Сам dns-proxy route очень полезен. На нём можно строить нормальную маршрутизацию доменов через разные выходы: ISP, Wireguard0, Wireguard1 и т.д.

Но в IPv6 не хватает единой понятной политики:

• принимать или не принимать DNS6 от провайдера;
• что именно отдавать клиентам через RDNSS/DHCPv6;
• как гарантировать, что клиенты используют роутер как DNS;
• как не допустить утечки запросов в DNS6 провайдера;
• как связать это с dns-proxy route, чтобы IPv4 и IPv6 имена маршрутизировались одинаково.

Что хотелось бы видеть в KeeneticOS:

1. Управление RA по префиксам в подсети.

Например:

• раздавать только ULA;
• раздавать только публичный префикс;
• раздавать оба;
• не раздавать конкретный делегированный префикс;
• отдельно управлять RDNSS/DNSSL.

2. Явное управление трансляцией IPv6-префиксов.

Сейчас видно, что внутри оно есть и работает, иначе ULA-клиент не выходил бы наружу через адрес провайдера. Но пользователю это почти никак не управляется и плохо диагностируется.

Нужны команды, которые показывают:

• какие префиксы транслируются;
• через какой выход;
• что будет при нескольких провайдерах;
• почему выбран именно этот внешний префикс.

3. Нормальная работа с несколькими IPv6-выходами.

Например:

• ISP;
• Wireguard0;
• Wireguard1;
• второй провайдер с IPv6.

Нужны понятные правила выбора выхода, исходного префикса, firewall-правил и DNS-маршрутов. Сейчас при добавлении второго IPv6-выхода слишком легко получить непредсказуемое поведение.

4. Единая политика DNS6.

Хочется иметь возможность явно сказать:

• DNS6 от провайдера не принимать;
• клиентам отдавать только роутер;
• все DNS-запросы клиентов пропускать через dns-proxy;
• маршруты dns-proxy route применять и к A, и к AAAA;
• не обходить DoT/DoH или настроенные DNS-маршруты через провайдерские DNS6.

5. Диагностика.

Тут тоже — очень не хватает команд вида:

• показать, какие RA сейчас реально отправляются в Home;
• показать, какие префиксы раздаются клиентам;
• показать RDNSS для каждой подсети;
• показать состояние трансляции IPv6-префиксов;
• показать, почему конкретный клиент получил или не получил конкретный IPv6-адрес.

Видел в мане ipv6 subnet debug, но описания нет у этого добра.

Итог.

Низкоуровнево в KeeneticOS уже есть почти всё нужное: ULA, делегирование префикса, subnet, маршрутизация, firewall, dns-proxy route, внутренняя трансляция префиксов.

Не хватает управляемой связки поверх этого.

Из-за отсутствия одной настройки “SLAAC только для ULA, публичный префикс в LAN не раздавать” приходится выключать штатный mode slaac и запускать свой radvd. При этом вся остальная штатная часть KeeneticOS работает правильно и предсказуемо.