Можно ли настроить на роутере Viva KN-1910 доступ к отдельным доменам исключительно по IPv4?

[Dim McAlastair]

Есть роутер Keenetic Viva (KN-1910), прошивка 3.8 beta 2, подключённый к интернету по IPoE. На данном типе подключения провайдер (Дом.ру) не предоставляет доступ в интернет по протоколу IPv6, поэтому я использую туннельное подключение 6in4 через туннельного брокера IPv6 компании IP4Market. В локальной сети имеется тв-приставка Mecool KM6 Deluxe, в которой стоит приложение Кинопоиска для просмотра фильмов и сериалов.

В прошлом месяце Кинопоиск, видимо, начал борьбу с просмотрами контента из-за рубежа через VPN (в ветке приложения на форуме 4pda появилось много жалоб на невозможность использования приложения через VPN) и у меня "сломались" приложение на приставке и просмотр сайта hd.kinopoisk.ru на компьютере: пропал перечень недосмотренных фильмов/сериалов, рекомендации, оказались заблокированными для просмотра купленные фильмы. Но если я выключаю туннельное соединение до брокера IPv6, приложение и сайт опять начинают работать нормально.

Я попробовал сделать трассировку маршрута до доменов Кинопоиска по протоколам IPv6 и IPv4: утилита Net Analizer на смартфоне отображает рядом с отдельными хопами при трассировке по IPv6 флаги Сейшельских островов, а потом Великобритании, только два первых и два последних хопа сопровождаются российскими флагами. Проверка геолокации IP-адресов на сайте http://ipv6.my-addr.com показывает, что адреса, сопровождающиеся британскими флагами, действительно, определяются как лондонские.

При трассировке по IPv4  весь маршрут проходит через IP-адреса, определяемые утилитой как российские.

У сестры, которая подключена к тому же провайдеру по PPPoE, доступ в сеть по IPv6 предоставляется провайдером, и у неё трассировка по протоколу IPv6 показывает, что весь маршрут проходит через российские хопы.

В этой связи два вопроса к сообществу:

1) Можно ли на роутере средствами только текущей версии Keenetic OS или с помощью OPKG настроить, чтобы к отдельным доменам обращение шло только про протоколу IPv4, как, например, сделано в браузере Firefox - там есть соответствующая скрытая настройка?

2) Есть ли техническая возможность у разработчиков добавить такую опцию в будущие версии прошивки, пусть даже она будет доступна только из командной строки?

[zyxmon]

7 минут назад, Dim McAlastair сказал:

Что это, блин, тогда такое было?

У меня отвалы были при простое. В простое приставка раз в 30 минут резолвит сервер google. Может сервер лежал или с dns upstream была проблема. Вот лог AtGuard -

 

[vasek00]

2 часа назад, Dim McAlastair сказал:

В прошлом месяце Кинопоиск, видимо, начал борьбу с просмотрами контента из-за рубежа через VPN (в ветке приложения на форуме 4pda появилось много жалоб на невозможность использования приложения через VPN) и у меня "сломались" приложение на приставке и просмотр сайта hd.kinopoisk.ru на компьютере: пропал перечень недосмотренных фильмов/сериалов, рекомендации, оказались заблокированными для просмотра купленные фильмы. Но если я выключаю туннельное соединение до брокера IPv6, приложение и сайт опять начинают работать нормально.

Возможно по проще но требует проверки.

Проверьте cloudflare warp он дает IP из России, далее клиента тв-приставку Mecool KM6 Deluxe в новый созданный профиль в котором только один Wireguard Cloud flare.

Определитесь только DNS сервером в настройках для профиля cloudflare warp.

Настройка Wireguard Cloud flare есть и тут на форуме и в базе Wireguard Keenetic, если ОК то единственное ограничение для данного проца 7621 это 150Мбит на Wireguard.

 

 

[vasek00]

Скрытый текст

Cloudflare warp без проблем проходит, так же как и Wireguard от Proton (Нидерланды) без проблем проходит -> https://www.kinopoisk.ru/top/navigator/

Вопрос только по входу в личный кабинет - это уже сами проверьте

 

[Dim McAlastair]

Мне не нужно ВПН для Кинопоиска, ибо я-то нахожусь в России и не использую для доступа к Кинопоиску ВПН, мне просто нужно, чтобы при наборе в браузере адреса типа *.kinopoisk.ru или при запуске на приставке приложения "Кинопоиск" они обращались к домену kinopoisk.ru только по протоколу IPv4. Я, конечно, тот ещё ламер, но, насколько я понимаю, для этого браузер/приложение в ответ на DNS запрос по домену kinopoisk.ru должны получать только адрес IPv4, а на запрос IPv6 адреса должен приходить пустой ответ.

И если на компьютере я могу решить этот вопрос, используя для захода на сайт Кинопоиска Firefox с включённым запретом на использование для данного сайта протокола Ipv6 или понизив в Windows приоритет протокола IPv6, то в приложении Кинопоиска и в настройках Android TV нет переключателя "не использовать для выхода в интернет протокол IPv6", а значит этот вопрос надо решать на уровне роутера. Просто мне хочется, чтобы туннель до брокера IPv6 работал, позволяя использовать для сёрфинга этот протокол, но чтобы я мог запретить его использование для доступа на отдельные сайты, которые некорректно работают, если доступ по Ipv6 предоставляет не сам провайдер, а туннельный брокер.

Edited June 2, 2022 by Dim McAlastair

[Mamay]

В 01.06.2022 в 22:16, Dim McAlastair сказал:

мне просто нужно, чтобы при наборе в браузере адреса типа *.kinopoisk.ru или при запуске на приставке приложения "Кинопоиск" они обращались к домену kinopoisk.ru только по протоколу IPv4

Как минимум роутер должен знать о ваших "желаниях". Где будете хранить список своих "хотелок", читайте сайтов?

[Dim McAlastair]

Ну, смотрите: в разделе "Интернет-фильтр" есть возможность прописать адрес DNS-сервера для конкретного домена. Я предполагаю, что при обращении к такому домену (для которого прописан отдельный DNS-сервер) приоритет в обработке DNS-запроса имеет именно специально указанный DNS-сервер. Почему бы в поле настройки такого отдельного сервера для запросов на отдельный домен не добавить чек-бокс "использовать только протокол IPv4?

Как я уже выше писал, проблемы у меня возникли только с доменом kinopoisk.ru и его поддоменами www.kinopoisk.ru и hd.kinopoisk.ru - при включённом 6in4 IPv6- туннеле у меня в браузере и в приложении на телеприставке пропал перечень недосмотренных фильмов/сериалов, рекомендации, оказались заблокированными для просмотра купленные фильмы (позже купленные фильмы разблокировались (по крайней мере в браузере), а недосмотренные фильмы появились с надписью "Недоступны в подписке"). При этом, если я открываю сайт КиноПоиска в браузере с выключенным туннелем (предварительно очистив кэш DNS), а потом включаю туннель и обновляю страницу КиноПоиска, то она обновляется нормально и не "ломается".

Выше я также писал, что у сестры, у которой услугу доступа к Интернет-ресурсам по протоколу Ipv6  предоставляет сам интернет-провайдер, а не туннельный брокер, и маршрут от её сети до домена kinopoisk.ru проходит только через российские IPv6-адреса, проблем с открытием сайта КиноПоиска на компьютере и доступом к сайту приложения для Android TV нет - всё работает, как и должно. По всей видимости, ребята из КиноПоиска задействовали какую-то изощрённую защиту от просмотра контента с их сайта из-за рубежа, которая проверяет не только последний адрес, с которого идёт обращение к их сайту, но и предпоследний, и предпредпоследний, и т.д., пока не наткнётся на узел с заграничным адресом.

То есть в самом тяжёлом случае таких проблемных доменов вряд ли наберётся хотя бы десяток. Скорее всего будет только один Кинопоиск, к которому нужно будет запретить доступ по протоколу IPv6.

Edited June 15, 2022 by Dim McAlastair

[Dim McAlastair]

А, может, такое можно реализовать через opkg и, например, Adguard Home?

[Александр Рыжов]

В 14.06.2022 в 22:00, Dim McAlastair сказал:

А, может, такое можно реализовать через opkg и, например, Adguard Home?

В последних версиях можно:

||example.org^$dnstype=AAAA: block DNS queries for the IPv6 addresses of example.org.

 

[Dim McAlastair]

Спасибо, я посмотрю и попробую. Adguard Home у меня установлен, но неактивен.

А будет ли корректно работать OpenVPN клиент с конфигом антизапрета, настроенным по рекомендациям данного форума, после того, как я настрою Adguard Home и выполню в консоли команду opkg dns-override? Или придётся ещё потанцевать с бубном?

Upd.: Действительно работает. Только вместе с доменом kinopoisk.ru пришлось заблокировать AAAA-запросы ещё на несколько сайтов, связанных с Яндексом, иначе сайт Кинопоиска не открывался корректно. Кому интересно, вот какие правила я прописал в разделе "Пользовательские правила фильтрации" вкладки "Фильтры":

Скрытый текст

||kinopoisk.ru^$dnstype=AAAA
||ott.yandex.net^$dnstype=AAAA
||passport.yandex.ru^$dnstype=AAAA
||yastatic.net^$dnstype=AAAA

Заодно я с помощью советов из интернета исправил ошибки, которые я допустил при настройке роутера для работы Антизапрета через OpenVPN-клиента. Теперь работает все: и 6in4 IPv6-туннель, и Кинопоиск, и Антизапрет.

Спасибо за помощь. 

Edited June 25, 2022 by Dim McAlastair

[zyxmon]

5 часов назад, Александр Рыжов сказал:

В последних версиях можно:

Отличная подсказка. Проверено - работает!

[zyxmon]

Вот пользовательские правила фильтрации, после которых заработали facebook. instagram и themoviedb

 

||facebook.com^$dnstype=AAAA
||fbcdn.net^$dnstype=AAAA
||themoviedb.org^$dnstype=AAAA
www.themoviedb.org^$dnsrewrite=NOERROR;A;65.9.86.2
||instagram.com^$dnstype=AAAA
||ig.me^$dnstype=AAAA

Маршрутизация ipv4 должна быть правильно настроена.
PS У меня нативный ipv6/56 от прова
PPS Похоже нужно переходить на ipset через ADGuard Home

[Dim McAlastair]

После установки из репозитория Entware и настройки AdGuardHome 25 июня всё, вроде бы, неплохо работало: с включённым 6in4 туннелем корректно открывался сайт hd.rinopoisk.ru и на телеприставке корректно работало приложение Кинопоиска. Даже, вроде бы, сетевые приложения на приставке стали пошустрее работать, но вчера-позавчера столкнулся со странностями: cетевые приложения на телеприставке (Youtube, те же кинотеатры - "Кинопоиск", "Wink", "IVI", "Movix.ru") через некоторое время после включения приставки переставали при их запуске подключаться к своим серверам, сообщая, что потеряно интернет соединение, или что слишком медленный интернет. После выключения и последующего включения модуля Wi-Fi на приставке работа приложений приходила в норму... на некоторое время, потом ошибка потери интернета при открытии сетевых приложений повторялась.

Я, было, грешил на то, что резко вырос процент загруженности памяти роутера (с 65-75% до 70-85%, по данным телеметрии из мобильного приложения) и нагрузка на процессор (с 5-25% с редкими пиками до 50% до "пилы" 10-55-10-98-75-10% и так по кругу). Рестартовал сервис AGH, отключил все фильтры в настройках AGH кроме правил блокировки IPv6 запросов на сайты, связанные с работой Кинопоиска, пробовал переключать способы опроса Upstream DNS-серверов, включил EDNS Client Subnet и оптимистичесское кэширование.

Вроде бы нагрузка на процессор снизилась до 30-45% с редкими пиками до 70%, хотя не думаю, что из-за изменения в настройках AGH, т.к., через некоторое время опять возникала "пила" скачков нагрузки на процессор, загруженность памяти при этом колебалась в диапазоне 74-80%. Однако на возникновение на телеприставке ошибки с доступом к интернету это никак не повлияло: пять-десять минут после запуска приставки или выключения/включения модуля Wi-Fi - и при попытке посмотреть ролик на Youtube или фильм в онлайн-кинотеврте я получал сообщение "сервер недоступен", "потеряна связь с сетью" или "медленный интернет". При этом на телефоне, на компьютере и на ноутбуке, подключённых к той же локальной сети, никаких проблем с открытием сайтов или отсутствием доступа в интернет не обнаруживалось

После того, как я остановил сервис AGH, отключил его автозапуск и вернул управление DNS-запросами прошивочному сервису (отключив  6in4-туннель) приставка перестала терять интернет через десять минут после подключения к сети.

Ниже в скрытом сообщении прилагаю настройки моего AGH, сислог роутера за 25-29 июня и журнал работы AGH и прошу посмотреть и сказать, что я сделал не так при настройке AGH? Или, может, это у моего KN-1910 мощи не хватает?

Edited June 30, 2022 by Dim McAlastair

[zyxmon]

Попробуйте заменить AGH на dnsmasq - там тот же функционал есть.
У меня на Giga (KN-1010) подобных проблем нет. 
ipv6 - от ростелекома
wg туннель свой
android приставки как работали - так и работают.
Upstream DNS у  меня 127.0.0.1:40500 - использую DoT с кинетика.

PS y думаю, что логи будут качать - лучше подозрительные куски выкладывайте текстом.

[vasek00]

2 часа назад, Dim McAlastair сказал:

Ниже в скрытом сообщении прилагаю настройки моего AGH, сислог роутера за 25-29 июня и журнал работы AGH и прошу посмотреть и сказать, что я сделал не так при настройке AGH? Или, может, это у моего KN-1910 мощи не хватает?

Кроме admin данного форума скрытые сообщения не кто не видит, так же AGH к ПО роутера ни какого отношения не имеет.

У вас KN1910 на нем 128 ОЗУ не однократно писал тут на форуме сколько AGH потребляет памяти, ниже еще раз пример на роутере с 512 но роли не играет.

    <process>
        <comm>AdGuardHome</comm>
        <oom-adj>0</oom-adj>
        <oom-score>20</oom-score>
        <oom-score-adj>0</oom-score-adj>
        <arg>-w</arg>
        <arg>/opt/home/AdGuardHome</arg>
        <arg>-l</arg>
        <arg>/opt/tmp/AdGuardHome.log</arg>
        <arg>--pidfile</arg>
        <arg>/opt/var/run/adguardhome.pid</arg>
        <arg>--no-check-update</arg>
        <state>S (sleeping)</state>
        <pid>974</pid>
        <ppid>1</ppid>
        <vm-size>748096 kB</vm-size>
        <vm-rss>64584 kB</vm-rss>
        <vm-data>89948 kB</vm-data>
        <vm-stk>132 kB</vm-stk>
        <vm-exe>7220 kB</vm-exe>
        <vm-lib>4 kB</vm-lib>
        <vm-swap>0 kB</vm-swap>
        <threads>9</threads>
        <fds>31</fds>
        <statistics>
            <interval>30</interval>
            <cpu>
                <now>152.359643</now>
                <min>0</min>
                <max>7</max>
                <avg>0</avg>
                <cur>0</cur>
            </cpu>
        </statistics>
    </process>

в итоге 70-90МБ

Второе если используется

        <name>ntce</name>
        <description lang="EN">Traffic classification engine</description>


    <!-- show ntce status -->
    <accounter>
        <applications-events>0</applications-events>
        <groups-events>0</groups-events>
        <memory>
            <applications-events>0</applications-events>
            <groups-events>0</groups-events>
            <total>0</total>
        </memory>
    </accounter>
    <event>
        <count>0</count>
        <memory>
            <total>0</total>
        </memory>
    </event>
    <database>
        <hosts>0</hosts>
        <applications>1</applications>
        <groups>1</groups>
        <attributes>1</attributes>
        <memory>
            <applications>25608</applications>
            <groups>25608</groups>
            <attributes>25608</attributes>
            <total>76824</total>
            <limit>1603</limit>
        </memory>
    </database>

то так же к расходу памяти.

Для того чтоб подвесить AGH или точнее проц 7621 увести под максимальную загрузку достаточно по пробовать с вашими настройками AGH и DNSbench на клиенте (запустить).

 

Edited June 30, 2022 by vasek00

[Dim McAlastair]

41 минуту назад, vasek00 сказал:

Кроме admin данного форума скрытые сообщения не кто не видит, так же AGH к ПО роутера ни какого отношения не имеет.

Тогда прошу админов удалить скрытое сообщение, если никто кроме них доступа к его вложениям не имеет. Тем более я сам не вижу ни в журнале AGH, ни в сислоге роутера ничего подозрительного.

[Dim McAlastair]

2 часа назад, zyxmon сказал:

Попробуйте заменить AGH на dnsmasq - там тот же функционал есть

Я не специалист в настройке DNS-серверов, поэтому мне желательна более-менее толковая инструкция по настройке стороннего DNS-сервера, чтобы, не дай бог, чего не сломать. И чтобы при этом нормально работал OpenVPN-клиент с конфигом Антизапрета.

У AGH, по крайней мере, есть настройка через веб-интерфейс, где есть пояснения, за что тот или иной пункт отвечает, кроме того, здесь, на форуме я нашёл ссылку на инструкцию по настройке AGH на кинетике. Насчёт dnsmasq я такой инструкции на форуме не нашёл.

Если кто-то подскажет мне, какие пункты в конфиге dnsmasq мне нужно раскомментировать/поправить, чтобы dnsmasq использовался только как DNS-сервер, а DHCP-сервер использовался из прошивки, и при обработке запросов IP-адресов использовались правила фильтрации запросов, которые я указал выше, я буду очень благодарен.

Edited June 30, 2022 by Dim McAlastair

[Dim McAlastair]

Или мне лучше взять кинетик поновее, с бОльшим объёмом памяти, и тогда AGH будет работать лучше? не вызывая ошибки потери соединения с интернетом?

[vasek00]

45 минут назад, Dim McAlastair сказал:

Тогда прошу админов удалить скрытое сообщение, если никто кроме них доступа к его вложениям не имеет. Тем более я сам не вижу ни в журнале AGH, ни в сислоге роутера ничего подозрительного.

В нем не чего и не будет, еще раз запустите DNSbench (он есть в интернете) и увидите что у вас произойдет.

 

23 минуты назад, Dim McAlastair сказал:

Если кто-то подскажет мне, какие пункты в конфиге dnsmasq мне нужно раскомментировать/поправить, чтобы dnsmasq использовался только как DNS-сервер, а DHCP-сервер использовался из прошивки, и при обработке запросов IP-адресов использовались правила фильтрации запросов

Самый простой это

no-resolv
interface=br0
bind-interfaces
listen-address=IP_роутера
listen-address=127.0.0.1	
except-interface=lo
server=127.0.0.1#ххххх
#resolv-file=/opt/etc/resolv-dnsmasq.conf
#addn-hosts=/opt/tmp/hosts0
cache-size=1500
#bogus-nxdomain=64.94.110.11
#proxy-dnssec
log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

где в качестве "server=127.0.0.1#ххххх или 127.0.0.2#ххххх" в данном случае можно лок.сервис на порту ххххх (это может быть тот же прошивочный Dot/Doh) или просто публичный "server=1.1.1.1"

"addn-hosts=/opt/tmp/hosts0" host для блокировки.

 

opkg dns-override

Оставляем, тогда dnsmasq будет запущен на 53 порту, на клиентах как всегда указать адрес роутера DNS.

[Dim McAlastair]

В 30.06.2022 в 11:16, Dim McAlastair сказал:

После установки из репозитория Entware и настройки AdGuardHome 25 июня всё, вроде бы, неплохо работало: с включённым 6in4 туннелем корректно открывался сайт hd.rinopoisk.ru и на телеприставке корректно работало приложение Кинопоиска. Даже, вроде бы, сетевые приложения на приставке стали пошустрее работать, но вчера-позавчера столкнулся со странностями: cетевые приложения на телеприставке (Youtube, те же кинотеатры - "Кинопоиск", "Wink", "IVI", "Movix.ru") через некоторое время после включения приставки переставали при их запуске подключаться к своим серверам, сообщая, что потеряно интернет соединение, или что слишком медленный интернет. После выключения и последующего включения модуля Wi-Fi на приставке работа приложений приходила в норму... на некоторое время, потом ошибка потери интернета при открытии сетевых приложений повторялась.

Я грешил на малый объём оперативной памяти на Viv-e (KN-1910): думал AdGuardHome тормозит с обработкой DNS-запросов от AndroidTV-приставки, поэтому она начинает терять сеть.

Поэтому я сменил роутер на Gig-у (KN-1011), залил в него прошивку 3.8.3 из основного канала, настроил его так же, как был настроен предыдущий роутер, включил в нём 6in4 туннель, запустил AdGuardHome и стал проверять. В первый день проблем, вроде бы не было, но во второй приставка снова начала периодически терять сеть. Причём она могла терять её раз в пять-десять минут, а могла проработать без потери сети час или больше. После выключения и повторного включения Wi-Fi модуля приставки, приставка опять нормально видела сеть, какое-то время.

Один раз доступ к сети на приставке  восстановился сам собой после выключения 6in4 туннеля. В сислоге роутера появились следующие записи:

Скрытый текст

Jul 25 21:40:36 ndm: Network::Interface::Base: "TunnelSixInFour0": interface is down. 
Jul 25 21:40:36 ndm: Core::System::StartupConfig: saving (http/rci). 
Jul 25 21:40:37 ndm: Network::Interface::Rtx::WifiMonitor: "WifiMaster1/AccessPoint0": STA(MAC AndroidTV) had disassociated by STA (reason: STA is leaving or has left BSS). 
Jul 25 21:40:40 ndm: Network::Interface::Rtx::WifiMonitor: "WifiMaster1/AccessPoint0": STA(MAC AndroidTV) had associated successfully. 
Jul 25 21:40:40 ndm: Network::Interface::Rtx::WifiMonitor: "WifiMaster1/AccessPoint0": STA(MAC AndroidTV) set key done in WPA2/WPA2PSK. 
Jul 25 21:40:40 ndhcps: DHCPDISCOVER received from MAC AndroidTV. 
Jul 25 21:40:40 ndhcps: making OFFER of 192.168.1.10 to MAC AndroidTV. 
Jul 25 21:40:40 ndhcps: DHCPREQUEST received (STATE_SELECTING) for 192.168.1.10 from MAC AndroidTV. 
Jul 25 21:40:41 ndm: Core::System::StartupConfig: configuration saved. 
Jul 25 21:40:41 ndhcps: sending ACK of 192.168.1.10 to MAC AndroidTV. 

Я взял этот случай на заметку, но потом снова включил туннель. И снова были потери сети приставкой.

Я пробовал разные настройки AdGuardHome. В частности, в понедельник я подумал, что проблема может быть в том, что в настройках DNS-сервера AdGuardHome "Rate limit Ограничение на количество запросов в секунду для каждого клиента", которые я не стал менять, стояло ограничение в 20 запросов в секунду. Я поставил там "0".

Вчера утром, в очередной раз словив потерю приставкой сети при отсутствии каких-либо записей в журнале роутера, которые бы свидетельствовали о проблеме, я включил правила захвата пакетов на приставку в сегменте "Домашняя сеть" и через Интернет-подключение, запустил на роутере режим отладки, и стал ждать, когда же приставка снова потеряет сеть.

Не дождался. Но примерно с час назад проверяя журнал AdGuardHome, заметил, что он обрабатывает только запросы типа A, то есть IPv4.

Стал проверять и обнаружил, что несмотря на включённый на роутере 6in4 туннель и то, что из веб-интерфейса роутера сайты пингуются по протоколу IPv6, устройствам в локальной сети присвоены только локальные IPv6-адреса, начинающиеся на fe80::, и с устройств в локальной сети я по протоколу IPv6 сайты пропинговать не могу.

Поэтому у меня возникло подозрение, что проблема с потерей приставкой сети как-то связана с Ipv6: когда приставка получает возможность выходить в интернет по протоколу IPv6, т.е. когда роутер присваивает ей IPv6-адрес из подсети, выделенной туннельным брокером, она по какой-то причине через какое-то время начинает терять сеть. При этом, когда я использовал прошивочный DNS-сервер то приставка не теряла сеть с включённым 6in4 туннелем (но тогда не работал КиноПоиск).

Пока я отключил режим отладки, перезагрузил роутер (6in4 туннель у меня включён) и снова включил захват пакетов (в качестве DNS-сервера у меня выступает AdGuardHome). Устройства в локальной сети после перезагрузки роутера получили внешние адреса IPv6. Буду продолжать наблюдение - посмотрю, прав ли я, что проблема в IPv6.

На всякий случай: в качестве upstream-серверов у меня в AdGuardHome указаны следующие серверы: 

Скрытый текст

94.140.14.140
9.9.9.10
78.88.8.8
8.8.8.8
1.1.1.1

И эти же серверы забиты в ovpn-конфиг антизапрета.

Если приставка снова потеряет сеть, я сообщу. Забавно будет, если моё предположение подтвердится.

Upd.: интересный момент: когда я включаю на роутере режим отладки, устройства в локальной сети перестают выходить в интернет по протоколу IPv6, в частности, по команде "ping" до любого домена, гарантированно имеющего IPv6-адрес, я вижу только его IPv4-адрес, а когда использую команду "ping -6", я вижу сообщение, что не удалось найти домен. 

Edited July 27, 2022 by Dim McAlastair
дополнение

[zyxmon]

@Dim McAlastair- недавно отловил похожую проблему с одной из ATV приставок. Ври этом в квартире есть такая же приставка, но прошивка чуть другая - проблемы на второй нет.     роутер Giga (KN-1010).
DNS на роутере AtGuard Home с upstream dns 127.0.0.1:40500 (DoT dns с роутера). IPv6 от провайдера (подсеть /56). Приставка периодически говорит, что нет соединения с интернетом.  При этом wifi не отваливается. можно подключиться по adb. В adb shell выяснил, что не приставке не работает dns, не резолвятся адреса.
Проблему решил - задал статику на приставке. DNS1 - ip роутера, DNS2 от Google.

Может быть кинетиковский dhcp "не всегда любит opkg dns-override". Первая мысль была сбросить приставку к заводским. Но лень заставила проверить статику на приставке.

Основное соединение от прова. Через bird маршрутизирую часть пакетов на wg туннель. Для некоторых доменов в AtGuard запрещаю ipv6.

[Dim McAlastair]

У меня приставка - Mecool KM6 Deluxe 4/64 с установленным третьим фиксом. Пока, и это странно, сеть не теряет.

[zyxmon]

17 минут назад, Dim McAlastair сказал:

У меня приставка - Mecool KM6 Deluxe 4/64

У меня Onn 4k. Сейчас проверил - пинги по ipv4 и ipv6 с приставки идут. Зачем то аж 4 ipv6 адреса получено
 

wlan0     Link encap:Ethernet  HWaddr 24:18:c6:55:06:37  Driver rtl88x2cs
          inet addr:10.0.0.136  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: 2a02:2168:86fb:d900:e08a:18c:e599:fa7e/64 Scope: Global
          inet6 addr: fe80::aa5e:f2d2:9d9a:ef31/64 Scope: Link
          inet6 addr: 2a02:2168:86fb:d900:e4b3:74b8:ce46:b400/64 Scope: Global
          inet6 addr: 2a02:2168:86fb:d900:15f2:c76b:27e8:389d/64 Scope: Global
          inet6 addr: 2a02:2168:86fb:d900:dcae:cde3:a2ae:7d8c/64 Scope: Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4939008 errors:0 dropped:54 overruns:0 frame:0
          TX packets:2806486 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7297221707 TX bytes:697354460

 

[Dim McAlastair]

Четыре часа: полёт нормальный. Что это, блин, тогда такое было?

По сравнению со вчерашним днём ни в настройках приставки ничего не менял, ни в настройках роутера, за исключением выключения режима отладки и включения захвата пакетов на/с приставку(-ки).

Edited July 27, 2022 by Dim McAlastair

[Dim McAlastair]

В общем, ничего не понятно: уже сутки никаких проблем с отвалом приставки от сети - ни в простое, ни в процессе просмотра видео.

Хотя до этого больше недели ловил отвалы с 19 до 26 июля, включительно, а до того - месяц назад на Viv-е (KN-1910).

Причём Gig-у настраивал так же, как Viv-у, единственное, что изменил в настройках роутера - отключил TX Burst для сетей 2,4 и 5 ГГц, но это я сделал ещё днём 25 июля, когда случилось несколько отвалов приставки.

После чего поймал отвал сети 26-го июля. В журнале роутера при этом не оказалось никаких записей, которые бы проливали свет на причину отвала сети, а в журнале AdGuardHome за пару минут до обнаружения отвала от приставки перестали поступать DNS-запросы.

Adb тогда у меня ещё не был установлен, кроме того, я до сих пор не знаю, как в adb shell проверить, что приставка потеряла доступ в интернет.

В настройках приставки я изменил только одно: выключил экономию энергии для всех приложений, для которых эта опция была доступна, включая все системные. Но не поручусь, что отключил экономию энергии после того, как словил последний отвал сети в 10:18 26-го июля, а не до. IP-адрес приставка получает по DHCP от роутера, на котором для неё зарезервирован постоянный IP.

Как я уже сказал, в настройках AdGuardHome менял всё по-минимуму: уменьшил периодичность сохранения журнала, прописал upstream-серверы, и выставил неограниченный rate limit для запросов клиентов, а также прописал пользовательские правила, чтобы трафик до доменов, связанных со стриминг-сервисами КиноПоиска, шёл только по протоколу IPv4.

Вчера ещё на сон грядущий почистил глобальный кэш на приставке и на ночь отключил её от розетки, а роутер перезагрузил. Но в общем с четырёх вечера вчера, когда я отключил режим отладки на роутере, при включении которого у клиентов отключился доступ в интернет по протоколу IPv6, приставка не теряла сеть ни разу.

Вот и гадай, что это было: то ли не отвечал сервер, который приставка постоянно мониторит, и приставка решила, что соединения с интернетом нет (при этом, для устранения проблемы достаточно было переключить свич включения Wi-Fi на выключение/включение, или использовать прошивочный DNS вместо AdGuardHome), то ли имел место конфликт на уровне AdGuardHome - прошивка, который, почему-то сказался только на приставке (ведь когда я использовал прошивочный DNS-сервер, проблем с отвалом интернета на приставке не было), а других клиентов локальной сети не затронул, то ли приставка выгружала какое-то системное приложение из отвечающих за Wi-Fi коннект, которое работало в режиме экономии энергии (но при этом, при использовании прошивочного DNS проблем с отвалом коннекта с интернетом, как я раньше уже писал, не было), то ли ещё что?

Кстати, на будущее, как в adb shell проверить, резолвит ли приставка домены в интернете, если я опять обнаружу, что приставка сообщает об отсутствии соединения с интернетом?

[avn]

У меня две приставки nvidia shild. Отвалов нету. Все работает по двум протоколам без проблем. Мало того, на некоторые сайты настроено туннелирование в wireguard по ipv6 и тоже проблем не замечено.

[Dim McAlastair]

В общем, вернул настройки роутера к тем, что были на Viv-e в момент её замены на Gig-у: и всё равно приставка больше не теряет соединение с интернетом.

На сегодняшний день у меня осталось два "главных подозреваемых" на виновника сбоя:

- опция, ограничивающая количество DNS-запросов от клиентов в секунду, в настройках AdGuardHome. Однако, судя по журналу самого AdGuardHome, приставка не спамит AGH запросами по сотне в секунду - хорошо, если полтора десятка запросов в секунду набирается, и то не часто. Но обратно возвращать ограничение на число запросов я не стал;

- настройка экономии энергии для приложений, включая системные, на самой приставке. Сейчас у меня режим экономии энергии выключен для всех приложений, а не только для стриминговых. Однако, как я указывал ранее, когда я использовал в качестве DNS-прокси не AdGuardHome, а соответствующий компонент прошивки, приставка не теряла сеть даже с включённым режимом экономии энергии для большинства приложений, в том числе почти всех системных.

Ну ладно, решение нашлось и, как говорится, слава богу. Хотя интересно было бы узнать, что же в действительности вызывало сбой соединения приставки с интернетом.

[Mamay]

5 минут назад, Dim McAlastair сказал:

 что же в действительности вызывало сбой соединения приставки с интернетом.

Может потому что adguard.com более в России "ниалё"?

[Dim McAlastair]

И? Если бы проблема была в adguard.com, страдала бы не только приставка, интернет пропадал бы на всех устройствах. Сейчас же, после отключения режима экономии энергии на приставке, приставка больше не теряет связь с интернетом, даже несмотря на использование в качестве DNS-прокси AdGuardHome и указание в качестве одного из upstream-серверов сервера адгарда.