Ограничение (запрет) на использование клиентами ipv6

[Wire Wire]

Добрый день. Решил создать новую тему по мотивам вот этой. 

Имею:
Keenetic Giga (KN-1011) 
TCL 55P737 (GTV)

Из того, что крутится на роутере - Adguard Home, A3, ipv6 брокер.
На телевизоре - злосчастное приложение кинопоиска.

Ситуация следующего характера - кинопоиск видит возможность использовать ipv6, лезет через него и в виду того, что страна не Россия - не дает смотреть фильмы.

Из решений, которые пробовал:

1. Прописать следующее в Adguard Home. Привело к тому, что заработало приложение Кинопоиска на iPad, однако телевизору не помогло.

Скрытый текст

||kinopoisk.ru^$dnstype=AAAA
||ott.yandex.net^$dnstype=AAAA
||passport.yandex.ru^$dnstype=AAAA
||yastatic.net^$dnstype=AAAA

2. Поднял wireguard тоннель на телевизоре до роутера (дурацким проблемам дурацкие решения) - однако в случае с телевизором не помогло. Похоже, что именно на нем wireguard не блокирует траффик вне себя и все равно просачивается ipv6.

3. Подключил телек по кабелю через старый роутер, который точно не умеет в ipv6 в моем понимании. Однако как телевизор, так и старый роутер свои ipv6 адреса получили, что показала мне панель управления киннетиком в случае старого роутера и настройки телевизора.

 

Не пробовал: 

Ставить КВАС  Кажется точно помню, что там обсуждались подобные сценарии использования с отключением ipv6 для клиента, однако мне данный функционал не нужен, да и есть страх сломать всю работающую конструкцию на роутере.

 

Надеюсь, что подскажите какие-то волшебные консольные команды, которые нужно просто вбить. Либо галочки, которые нужно нажать в панели управления роутером. Ну или подсказки - что я упускаю. (у телевизора есть еще домены, по которым он стучится в яндекс или они в Adguard Home не заработали?)

Спасибо.

[kolmask]

В той же самой теме, на которую вы сослались, увидел интересное решение- в веб интерфейсе кинетика прописать для нужного домена только ipv4 DNS адрес. Так не работает? Сам ранее искал решение для подобной проблемы, не нашёл, а такой простой вариант в голову не приходил. Купил роутер другого производителя, собираюсь, кстати, продать и его, тоже не оправдал всех ожиданий в плане поддержки ipv6, но, скорее всего, продам когда выйдет keeneticos 4.0 c обещанной полной поддержкой ipv6, и сразу возьму самый топовый кинетик, всё же у кинетиков гибкость настроек выше и комьюнити лучше.

[vlad]

no ipv6 pass
Вот эту команду пробовали? 

[Wire Wire]

12 часа назад, kolmask сказал:

в веб интерфейсе кинетика прописать для нужного домена только ipv4 DNS адрес.

Так работает, однако это недостаточно. Для iPad приложения хватает, а вот для телевизора на GTV - нет. Если точнее - прописывал в Adguard Home.

12 часа назад, vlad сказал:

no ipv6 pass
Вот эту команду пробовали? 

Подскажите, пожалуйста - сейчас смотрю документацию и возник вопрос - я правильно понимаю, что для команды no ipv6 pass нельзя указать аргумент? Например, конкретный Lan-порт на роутере.
 

Скрытый текст

 

[vlad]

4 часа назад, Wire Wire сказал:

Подскажите, пожалуйста - сейчас смотрю документацию и возник вопрос - я правильно понимаю, что для команды no ipv6 pass нельзя указать аргумент? Например, конкретный Lan-порт на роутере.

😁 Я не настолько силен в командах. Сам боролся с отсекаем IPv6 для YouTube вот и набрел на эту команду. В итоге отсекаю при помощи AGH,теперь ютуб без рекламы работает. 

[vicar]

Была абсолютно такая же проблема с приложением Кинопоиск.

Оно настойчиво лезло в ipv6 и ругалось, что включен VPN.

На самом деле нашел два решения данной проблемы:

1) Отлючением ipv6 на телевизоре. (помогло только на телевизоре LG, у самсунга ipv6 не отключался, так как нет такого пункта в меню)

2) Запрет на хождения устройствам на ipv6 адреса яндекса. (reject icmp no route)

 

Мне на 100% помог второй вариант.

Список destination адресов которые нужно блочить:

2a00:1248:5001:4::514
2a02:6b8::184
2a02:6b8::28d
2a02:6b8::415
2a02:6b8:20::215
2a02:6b8::41a
2a02:6b8::28d
2a02:6b8::325
2a02:6b8:c15:2a1b:0:54ec:5328:0
2a02:6b8::1d6
2a02:6b8::272
2a02:6b8:a::a
2a02:6b8::3f1
2a02:6b8::3f0
2a02:6b8::3:168
2a02:6b8::24

На самом деле их больше, но как паказала практика - это необходимый минимум.

После этого Кинопоиск больше ни на что не ругается )))

[Wire Wire]

@vlad @vicar помогите, пожалуйста. Смотрю в книгу - вижу фигу. Что именно нужно вбивать в консоль в ваших вариантах? С блокировкой конкретных ipv6 адресов кинопоиска так совсем не могу найти такие фразы в руководстве, как reject

[vicar]

@Wire Wire Усли честно, я не знаю как данные действия на кинетике сделать.

Я запрещал на Микротике в firewall. Я Kinetic Orbiter Pro использую как Wi-Fi 2 точки доступа. Самой сетью рулит микротик.

Само правило, его составил самым первым:

[admin@RouterOS] /ipv6/firewall> filter print
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; kinopoisk block ipv6
      chain=forward action=reject reject-with=icmp-no-route protocol=tcp 
      dst-address-list=yandex_block dst-port=443 log=no log-prefix=""

Перечень заблокированный адресов:

[admin@RouterOS] /ipv6/firewall> address-list/ print
Columns: LIST, ADDRESS
 # LIST          ADDRESS                            
 0 allowed       2a03:e2c0:2362:5555::/64           
 1 allowed       fe80::/16                          
;;; multicast
 2 allowed       ff02::/16                          
 3 yandex_block  2a00:1248:5001:4::514/128          
 4 yandex_block  2a02:6b8::184/128                  
 5 yandex_block  2a02:6b8::28d/128                  
 6 yandex_block  2a02:6b8::415/128                  
 7 yandex_block  2a02:6b8:20::215/128               
 8 yandex_block  2a02:6b8::41a/128                  
 9 yandex_block  2a02:6b8::325/128                  
10 yandex_block  2a02:6b8:c15:2a1b:0:54ec:5328:0/128
11 yandex_block  2a02:6b8::1d6/128                  
12 yandex_block  2a02:6b8::272/128                  
13 yandex_block  2a02:6b8:a::a/128                  
14 yandex_block  2a02:6b8::3f1/128                  
15 yandex_block  2a02:6b8::3f0/128                  
16 yandex_block  2a02:6b8::3:168/128                
17 yandex_block  2a02:6b8::24/128                   
18 yandex_block  2a02:6b8::487/128

Пробовал через AGH на уровне перезаписи DNS запросов сделать - но не получается.

Пробовал таким способом:

||kinopoisk-ru.clstorage.net^$dnstype=AAAA
||graphql.kinopoisk.ru^$dnstype=AAAA
||sso.kinopoisk.ru^$dnstype=AAAA
||widgets.kinopoisk.ru^$dnstype=AAAA
||www.kinopoisk.ru^$dnstype=AAAA
||api.ott.kinopoisk.ru^$dnstype=AAAA
||hd.kinopoisk.ru^$dnstype=AAAA

По логике должно работать, но не работает((((

По этой причине я сидел и снифал трафик, что бы определить по каким адресам лезет приложение Кинопоиск.

[vicar]

@Wire Wire

Как вариант попробуйте в Adguard Home в фильтрах Пользовательские правила фильтрации добавить следующие строки:

||yastatic.net^$dnstype=AAAA
||avatars.mds.yandex.net^$dnstype=AAAA
||log.strm.yandex.ru^$dnstype=AAAA
||drm-widevine-proxy-balancer.ott.yandex.net^$dnstype=AAAA
||static.yandex.net^$dnstype=AAAA
||drm-concurrency-arbiter-balancer.ott.yandex.net^$dnstype=AAAA
||log.strm.yandex.ru^$dnstype=AAAA
||ott-tracking-balancer.ott.yandex.net.^$dnstype=AAAA
||rhqgcgkkj4rfxknl.vla.yp-c.yandex.net.^$dnstype=AAAA
||ott-front-prod-external.kp.yandex.net.^$dnstype=AAAA
||ott-api-production-balancer.ott.yandex.net^$dnstype=AAAA
||yandex.ru^$dnstype=AAAA
||ott-recognition-balancer.ott.yandex.net^$dnstype=AAAA
||ott-timing-balancer.ott.yandex.net^$dnstype=AAAA
||ynison.music.yandex.net^$dnstype=AAAA
||passport.yandex.ru^$dnstype=AAAA
||rtc-strm.yandex.ru.^$dnstype=AAAA

Возможно поможет.

[Wire Wire]

@vicar попробовал. Из положительного - заработали короткие превью при выборе фильмов. Однако кино все также не показывает.

[Wire Wire]

В общем, товарищи-потомки, кто будет гуглить - по моим изысканиям история следующая: Файрвол у нас умный, но только для ipv4. Для ipv6 он работает в формате вкл\выкл.

Дополнительно принимаю предложения - как лишить телевизор протокола IPv6 любыми средствами, кроме удаления компонента IPv6 из самого киннетика.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

[kolmask]

В 08.01.2023 в 02:36, Wire Wire сказал:

В общем, товарищи-потомки, кто будет гуглить - по моим изысканиям история следующая: Файрвол у нас умный, но только для ipv4. Для ipv6 он работает в формате вкл\выкл.

Дополнительно принимаю предложения - как лишить телевизор протокола IPv6 любыми средствами, кроме удаления компонента IPv6 из самого киннетика.

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

Почему только вкл/выкл? Можно и нужные порты открыть для входящих ipv6 соединений, при чём это с умом сделано- только по интерфейсу подключения и mac адресу целевого устройства, без указания ipv6 адреса, что весьма удобно, если провайдер даёт только динамический ipv6 префикс. Например в асусах надо обязательно ipv6 адрес указывать.