Jump to content
  • 0

Ограничение (запрет) на использование клиентами ipv6


Wire Wire
 Share

Question

Добрый день. Решил создать новую тему по мотивам вот этой

Имею:
Keenetic Giga (KN-1011) 
TCL 55P737 (GTV)

Из того, что крутится на роутере - Adguard Home, Антизапрет, ipv6 брокер.
На телевизоре - злосчастное приложение кинопоиска.

Ситуация следующего характера - кинопоиск видит возможность использовать ipv6, лезет через него и в виду того, что страна не Россия - не дает смотреть фильмы.

Из решений, которые пробовал:

1. Прописать следующее в Adguard Home. Привело к тому, что заработало приложение Кинопоиска на iPad, однако телевизору не помогло.

Скрытый текст

||kinopoisk.ru^$dnstype=AAAA
||ott.yandex.net^$dnstype=AAAA
||passport.yandex.ru^$dnstype=AAAA
||yastatic.net^$dnstype=AAAA

2. Поднял wireguard тоннель на телевизоре до роутера (дурацким проблемам дурацкие решения) - однако в случае с телевизором не помогло. Похоже, что именно на нем wireguard не блокирует траффик вне себя и все равно просачивается ipv6.

3. Подключил телек по кабелю через старый роутер, который точно не умеет в ipv6 в моем понимании. Однако как телевизор, так и старый роутер свои ipv6 адреса получили, что показала мне панель управления киннетиком в случае старого роутера и настройки телевизора.

 

Не пробовал: 

Ставить КВАС  Кажется точно помню, что там обсуждались подобные сценарии использования с отключением ipv6 для клиента, однако мне данный функционал не нужен, да и есть страх сломать всю работающую конструкцию на роутере.

 

Надеюсь, что подскажите какие-то волшебные консольные команды, которые нужно просто вбить. Либо галочки, которые нужно нажать в панели управления роутером. Ну или подсказки - что я упускаю. (у телевизора есть еще домены, по которым он стучится в яндекс или они в Adguard Home не заработали?)

Спасибо.

Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0

В той же самой теме, на которую вы сослались, увидел интересное решение- в веб интерфейсе кинетика прописать для нужного домена только ipv4 DNS адрес. Так не работает? Сам ранее искал решение для подобной проблемы, не нашёл, а такой простой вариант в голову не приходил. Купил роутер другого производителя, собираюсь, кстати, продать и его, тоже не оправдал всех ожиданий в плане поддержки ipv6, но, скорее всего, продам когда выйдет keeneticos 4.0 c обещанной полной поддержкой ipv6, и сразу возьму самый топовый кинетик, всё же у кинетиков гибкость настроек выше и комьюнити лучше.

Link to comment
Share on other sites

  • 0
12 часа назад, kolmask сказал:

в веб интерфейсе кинетика прописать для нужного домена только ipv4 DNS адрес.

Так работает, однако это недостаточно. Для iPad приложения хватает, а вот для телевизора на GTV - нет. Если точнее - прописывал в Adguard Home.

12 часа назад, vlad сказал:

no ipv6 pass
Вот эту команду пробовали? 

Подскажите, пожалуйста - сейчас смотрю документацию и возник вопрос - я правильно понимаю, что для команды no ipv6 pass нельзя указать аргумент? Например, конкретный Lan-порт на роутере.
 

Скрытый текст

image.png.c6a2d8ea361b4e8d8031f248dadc5dbd.png

 

Link to comment
Share on other sites

  • 0
4 часа назад, Wire Wire сказал:

Подскажите, пожалуйста - сейчас смотрю документацию и возник вопрос - я правильно понимаю, что для команды no ipv6 pass нельзя указать аргумент? Например, конкретный Lan-порт на роутере.

😁 Я не настолько силен в командах. Сам боролся с отсекаем IPv6 для YouTube вот и набрел на эту команду. В итоге отсекаю при помощи AGH,теперь ютуб без рекламы работает. 

Link to comment
Share on other sites

  • 0

Была абсолютно такая же проблема с приложением Кинопоиск.

Оно настойчиво лезло в ipv6 и ругалось, что включен VPN.

На самом деле нашел два решения данной проблемы:

1) Отлючением ipv6 на телевизоре. (помогло только на телевизоре LG, у самсунга ipv6 не отключался, так как нет такого пункта в меню)

2) Запрет на хождения устройствам на ipv6 адреса яндекса. (reject icmp no route)

 

Мне на 100% помог второй вариант.

Список destination адресов которые нужно блочить:

2a00:1248:5001:4::514
2a02:6b8::184
2a02:6b8::28d
2a02:6b8::415
2a02:6b8:20::215
2a02:6b8::41a
2a02:6b8::28d
2a02:6b8::325
2a02:6b8:c15:2a1b:0:54ec:5328:0
2a02:6b8::1d6
2a02:6b8::272
2a02:6b8:a::a
2a02:6b8::3f1
2a02:6b8::3f0
2a02:6b8::3:168
2a02:6b8::24

На самом деле их больше, но как паказала практика - это необходимый минимум.

После этого Кинопоиск больше ни на что не ругается )))

  • Upvote 1
Link to comment
Share on other sites

  • 0

@vlad @vicar помогите, пожалуйста. Смотрю в книгу - вижу фигу. Что именно нужно вбивать в консоль в ваших вариантах? С блокировкой конкретных ipv6 адресов кинопоиска так совсем не могу найти такие фразы в руководстве, как reject

image.png.6bb6e49ac51fc3d0ed7e87438fe223b3.png

Link to comment
Share on other sites

  • 0

@Wire Wire Усли честно, я не знаю как данные действия на кинетике сделать.

Я запрещал на Микротике в firewall. Я Kinetic Orbiter Pro использую как Wi-Fi 2 точки доступа. Самой сетью рулит микротик.

Само правило, его составил самым первым:

[admin@RouterOS] /ipv6/firewall> filter print
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; kinopoisk block ipv6
      chain=forward action=reject reject-with=icmp-no-route protocol=tcp 
      dst-address-list=yandex_block dst-port=443 log=no log-prefix=""

Перечень заблокированный адресов:

[admin@RouterOS] /ipv6/firewall> address-list/ print
Columns: LIST, ADDRESS
 # LIST          ADDRESS                            
 0 allowed       2a03:e2c0:2362:5555::/64           
 1 allowed       fe80::/16                          
;;; multicast
 2 allowed       ff02::/16                          
 3 yandex_block  2a00:1248:5001:4::514/128          
 4 yandex_block  2a02:6b8::184/128                  
 5 yandex_block  2a02:6b8::28d/128                  
 6 yandex_block  2a02:6b8::415/128                  
 7 yandex_block  2a02:6b8:20::215/128               
 8 yandex_block  2a02:6b8::41a/128                  
 9 yandex_block  2a02:6b8::325/128                  
10 yandex_block  2a02:6b8:c15:2a1b:0:54ec:5328:0/128
11 yandex_block  2a02:6b8::1d6/128                  
12 yandex_block  2a02:6b8::272/128                  
13 yandex_block  2a02:6b8:a::a/128                  
14 yandex_block  2a02:6b8::3f1/128                  
15 yandex_block  2a02:6b8::3f0/128                  
16 yandex_block  2a02:6b8::3:168/128                
17 yandex_block  2a02:6b8::24/128                   
18 yandex_block  2a02:6b8::487/128

Пробовал через AGH на уровне перезаписи DNS запросов сделать - но не получается.

Пробовал таким способом:

||kinopoisk-ru.clstorage.net^$dnstype=AAAA
||graphql.kinopoisk.ru^$dnstype=AAAA
||sso.kinopoisk.ru^$dnstype=AAAA
||widgets.kinopoisk.ru^$dnstype=AAAA
||www.kinopoisk.ru^$dnstype=AAAA
||api.ott.kinopoisk.ru^$dnstype=AAAA
||hd.kinopoisk.ru^$dnstype=AAAA

По логике должно работать, но не работает((((

По этой причине я сидел и снифал трафик, что бы определить по каким адресам лезет приложение Кинопоиск.

Link to comment
Share on other sites

  • 0

@Wire Wire

Как вариант попробуйте в Adguard Home в фильтрах Пользовательские правила фильтрации добавить следующие строки:

||yastatic.net^$dnstype=AAAA
||avatars.mds.yandex.net^$dnstype=AAAA
||log.strm.yandex.ru^$dnstype=AAAA
||drm-widevine-proxy-balancer.ott.yandex.net^$dnstype=AAAA
||static.yandex.net^$dnstype=AAAA
||drm-concurrency-arbiter-balancer.ott.yandex.net^$dnstype=AAAA
||log.strm.yandex.ru^$dnstype=AAAA
||ott-tracking-balancer.ott.yandex.net.^$dnstype=AAAA
||rhqgcgkkj4rfxknl.vla.yp-c.yandex.net.^$dnstype=AAAA
||ott-front-prod-external.kp.yandex.net.^$dnstype=AAAA
||ott-api-production-balancer.ott.yandex.net^$dnstype=AAAA
||yandex.ru^$dnstype=AAAA
||ott-recognition-balancer.ott.yandex.net^$dnstype=AAAA
||ott-timing-balancer.ott.yandex.net^$dnstype=AAAA
||ynison.music.yandex.net^$dnstype=AAAA
||passport.yandex.ru^$dnstype=AAAA
||rtc-strm.yandex.ru.^$dnstype=AAAA

Возможно поможет.

Link to comment
Share on other sites

  • 0

В общем, товарищи-потомки, кто будет гуглить - по моим изысканиям история следующая: Файрвол у нас умный, но только для ipv4. Для ipv6 он работает в формате вкл\выкл.

Дополнительно принимаю предложения - как лишить телевизор протокола IPv6 любыми средствами, кроме удаления компонента IPv6 из самого киннетика.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса
image.png.a081cfbcbab0440bde8d7a696ab642ae.png

Link to comment
Share on other sites

  • 0
В 08.01.2023 в 02:36, Wire Wire сказал:

В общем, товарищи-потомки, кто будет гуглить - по моим изысканиям история следующая: Файрвол у нас умный, но только для ipv4. Для ipv6 он работает в формате вкл\выкл.

Дополнительно принимаю предложения - как лишить телевизор протокола IPv6 любыми средствами, кроме удаления компонента IPv6 из самого киннетика.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса
image.png.a081cfbcbab0440bde8d7a696ab642ae.png

Почему только вкл/выкл? Можно и нужные порты открыть для входящих ipv6 соединений, при чём это с умом сделано- только по интерфейсу подключения и mac адресу целевого устройства, без указания ipv6 адреса, что весьма удобно, если провайдер даёт только динамический ipv6 префикс. Например в асусах надо обязательно ipv6 адрес указывать.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...