Полноценная поддержка IPv6

[streampp]

Добрый день.

Планируется ли полноценная поддержка IPv6 в прошивках для Keenetic Ultra II?

1. Не могу задать IPv6 DNS в веб-интерфейсе для локальной сети.

2. Не могу настроить внутренние подсети и маршрутизацию.

3. Не могу настроить правила файрволла для разрешения трафика из WAN в Lan.

Веб интерфейс принимает только IPv4 адреса.

Очень огорчает "кастрированность" IPv6 в Keenetic, и OpenWRT нет для Keenetic II

Очень не хочется сдавать устройство или продавать.

[krass]

3 часа назад, valuxin сказал:

В техпоодержке по поповду исправления этой мелочи отнекивались по принципу того, что IPv6 сейчас не поодерживается, а когда будет - не знаем, но точно будет. Хотя тут работы на пару строк кода в лучшем случае.

Ну теперь есть примерные сроки :  после  04.2022

Осталось совсем немного подождать. Я думаю, у них уже всё готово и ждут окончания поддержки устройств с малым числом флешпамяти....

P.S. На второй странице как раз есть ответ от сотрудника кинетика по поводу сроков...

https://forum.keenetic.com/topic/381-полноценная-поддержка-ipv6/?do=findComment&comment=117068

 

Edited February 7, 2022 by krass

[drugold]

4 минуты назад, krass сказал:

Ну теперь есть примерные сроки :  после  04.2022

Забыли про KN-1510/1610 (07.2022).

[krass]

Только что, drugold сказал:

Забыли про KN-1510/1610 (07.2022).

вот жеж...засада..... ну хоть к  осени тогда будем ждать...

[avn]

В 07.02.2022 в 18:11, valuxin сказал:

Wireguard в KeeneticOS не урезанный. Он поддерживает IPv6 в полной мере. Просто в KeeneticOS есть баг либо недоработка при которой в момент отправки конфига на Wireguard интерфейс не резолвятся домены с IPv6 адресами. А зарезолвить их нужно, потому что интерфейс в качестве endpoint принимает только IP адрес.

Для себя решил эту проблему, корявенько конечно, но что делать. В техпоодержке по поповду исправления этой мелочи отнекивались по принципу того, что IPv6 сейчас не поодерживается, а когда будет - не знаем, но точно будет. Хотя тут работы на пару строк кода в лучшем случае.

В общем, как подружить IPv6 с Wireguard на KeeneticOS:

1. opkg install wireguard-tools
2. В веб интерфейсе создаем необходимое нам Wireguard подключение с нужным конфигом - endpoint можно не указывать.
3. Пробуем подклчиться и через ifconfig находим название интерфейса, кооторое используется для этого подключения. Подключение не останавливаем.
4. Где-нить на роутере сохраняем нужный и правильный конфиг для подключения по Wireguard и и применяем его к нужному интерфейсу (например, nwg1) следующей командной 

   wg setconf nwg1 test.conf

5. ...
6. Profit! Все работает. До следущей перезагрузки роутера либо до ручного переподключения через вебинтерфейс. Поэтому для автоматизации необходимо будет делать скрипты. Также советую изучить wg-quick - полезная утилита.

да ip6 траффик побежал через wireguard. На интерфейсе прописал ipv6 адрес и добавил ::/0 в allow-ips.

[krass]

Осталось совсем чуть-чуть подождать и при благоприятном раскладе уже в августе-сентябре начнут внедрять IPv6 полноценно....

[BlackOwL]

  Some problems experienced
In case of using iPv4+iPv6 Dual, if a device is accessing a server via iPv6, the rate restriction assigned to that special device from the device list 
not working, the using the last speed in the package.
When we buy a static iPv4, the modem does not output to the internet with iPv6 but Fritzbox provides smooth output.

If we turn on ipv6 remote access under the Domain tab, the webdav server is not accessed.

The features that are missing in the interface part are

No iPv6 DNS entry in interface
No iPv6 DHCP Server in Interface
No iPv6 Tracert in Diagnostic Tab

[Андрей Хайрнасов]

А сейчас можно как-то настроить, чтобы из внешней сети можно было пингануть устройства в локалке, если провайдер выдал префикс?

[AlexCh]

10 часов назад, Андрей Хайрнасов сказал:

А сейчас можно как-то настроить, чтобы из внешней сети можно было пингануть устройства в локалке, если провайдер выдал префикс?

Увы, даже в последнем релизе 4.0 не работает. Раньше можно было реализовать прямой доступ через no ipv6 firewall, но с 4.0.3A убрали. ipv6 static tcp <WAN interface> <device MAC> port тоже не работает, равно как и прямой доступ к внутренним ресурсам развернутым в entware не настраивается. Все работает только через KeenDNS.

[AlexCh]

4 минуты назад, ANDYBOND сказал:

А сейчас через веб-интерфейс и сетевой экран DMZ сделать нельзя уже?

Только для ipv4.

[Андрей Хайрнасов]

1 hour ago, AlexCh said:

Увы, даже в последнем релизе 4.0 не работает. Раньше можно было реализовать прямой доступ через no ipv6 firewall, но с 4.0.3A убрали. ipv6 static tcp <WAN interface> <device MAC> port тоже не работает, равно как и прямой доступ к внутренним ресурсам развернутым в entware не настраивается. Все работает только через KeenDNS.

Не знаете, много ли времени до релиза в стейбл 4.0? Есть ли шансы и надежды, что к релизу починят?

[AlexCh]

30 минут назад, Андрей Хайрнасов сказал:

Не знаете, много ли времени до релиза в стейбл 4.0? Есть ли шансы и надежды, что к релизу починят?

Не знаю. Я в начале года в ветке развития предлагал такую опцию, но видимо никому это не надо.

Edited July 18, 2023 by AlexCh

[slomblobov]

12 hours ago, Андрей Хайрнасов said:

А сейчас можно как-то настроить, чтобы из внешней сети можно было пингануть устройства в локалке, если провайдер выдал префикс?

Release 4.0 Beta 3 (preview):

• IPv6: added ICMPv6 support to "ipv6 static" rules [NDM-2760]:
  • ipv6 static (... | icmpv6) [interface] {mac}

[AlexCh]

4 минуты назад, ANDYBOND сказал:

 

У меня не работает ipv6static ‹protocol› [ ‹interface› ] ‹mac› ‹port› [ through ‹end-port› ]

[AlexCh]

18 минут назад, ANDYBOND сказал:

Тогда не вводите в заблуждение и используйте имеющийся функционал:

 

Весь функционал согласно инструкции включен, но ничего не работает. Надо как то выпиливать встроенный ip6tables. 

[AlexCh]

В 18.07.2023 в 12:05, ANDYBOND сказал:

Тогда не вводите в заблуждение и используйте имеющийся функционал:

 

Разобрался почему нет доступа из вне на хост по ipv6. Причина - криво работающий ipv6 netfilter. При вводе команды ipv6 static (... | icmpv6) [interface] {mac} в Chain _NDM_STATIC_FORWARD прописывается правило для временного ipv6 хоста, а я пытался пинговать по постоянному ipv6. Получается, что в 4.0.0 неправильно работает маршрутизация, т.к. было заявлено производителем, что маршрутизация привязана по mac-адресу хоста и применяется для всех ipv6 на хосте (у меня три ipv6 адреcа - внешний постоянный, внешний временный и локальный).

[AlexCh]

17 минут назад, ANDYBOND сказал:

Сдайте, пожалуйста, итоги исследований в техподдержку (для официальной регистрации проблемы). Тогда есть шанс, что в релизе 4.0 такого не будет.

Техподдержка сообщила что причина в хосте. 

Цитата

Какой адрес хост анонсирует в neigbor discovery тот в ip hotspot имеется и используется в правилах netfilter.

 

[tormozillo]

В 19.07.2023 в 13:46, AlexCh сказал:

Какой адрес хост анонсирует в neigbor discovery тот в ip hotspot имеется и используется в правилах netfilter.

Проблема с этим ответом в том, что хост ничего анонсировать не должен. Он дожен откликаться на широковещательный запрос с адреса из той сети, отуда пришел этот запрос. Ошибка в том что роутер опрашивает только site-local адреса (fe80:) и у него соответвтенно таблица neighbor discovery строится на локальных адресах.

Если повесить постоянный пинг с хоста на глобальный ipv6 адрес, то таблица против воли роутера становится корректной и правило firewall работает.

Edited August 5, 2023 by tormozillo

[Denys]

On 8/5/2023 at 11:55 AM, tormozillo said:

Проблема с этим ответом в том, что хост ничего анонсировать не должен. Он дожен откликаться на широковещательный запрос с адреса из той сети, отуда пришел этот запрос. Ошибка в том что роутер опрашивает только site-local адреса (fe80:) и у него соответвтенно таблица neighbor discovery строится на локальных адресах.

Если повесить постоянный пинг с хоста на глобальный ipv6 адрес, то таблица против воли роутера становится корректной и правило firewall работает.

Подтверждаю, IPv6 neighbor detection неправильно работает. Роутер получает префиксы и шлюз с site-local адресом (fe80:). При этом IPv6 на самом роутере не работает, а на клиентах за ним работает, т.к. они плевать хотели на fe80:. Прошивка 4.0.2

[Rumpelstilzchen]

Обновился на днях на 4.0.2

После обновления стал отваливаться маршрут? ipv6 если я запускаю VPN Wireguard ipv4.

Это чё за?

[avn]

В 10.08.2023 в 12:33, Denys сказал:

Подтверждаю, IPv6 neighbor detection неправильно работает. Роутер получает префиксы и шлюз с site-local адресом (fe80:). При этом IPv6 на самом роутере не работает, а на клиентах за ним работает, т.к. они плевать хотели на fe80:. Прошивка 4.0.2

Получаю только префикс, адреса нету. 4.0.2 что я делаю не так?

 

[stam1na]

Провайдер Ростелеком, ex-ОнЛайм.

Стоял edgerouter, раздавал ipv6 годами без проблем.

Поменял на кинетик, на нем ipv6 отваливается через несколько часов после подключения.

Проверяю на https://test-ipv6.com/ 

Помогает либо перезагрузка кинетика, либо выключение и включение ipv6 в админке.

 

Подскажите, это норма или у меня что-то не то?

[admin]

2 часа назад, stam1na сказал:

Подскажите, это норма или у меня что-то не то?

Точно не норма, что вопрос задан без диагностики. Невозможно сказать, что именно не так, и на чьей стороне. Рекомендуем обратиться в официальную поддержку. (Либо давайте в отдельной теме и во всех подробностях.)

[Kozlov]

2024 год, август месяц.

dhcpv6 отсутствует.

Делегирование части динамического родительского префикса в дочерние сети отсутствует.

В GUI Firewall принимает только ipv4.

В фильтрации трафика в Internet Security GUI принимает только ipv4 для адресов dns.

Памяти мизерно в устройстве: и оперативной памяти и памяти накопителей. Память флешки USB на 256 GB Samsung со скоростью записи и чтения 500 Mbps/ 500 Mbps занимает размер 2.7 сантиметра с сумме трёх измерений.

SFP+ 10 Gbps отсутствуют.

 

Чаты работающие по принципу Pair-to-Pair по ipv6 существуют с 2004 года. Существует Telegram Messenger.

Даже у убогих местных провайдеров в административном районе города удалось выбить Native Dual Stack Internet (ipv6/ipv4) в 2022 году.

Keenetic Domain Service работает только через сервера компании даже при подключении по ipv6 -  встроить в каждый маршрутизатор свой dns сервер bind9 для обработки своих поддоменов в качестве prime dns server. 

Порты TCP и UDP при подключении через Keenetic Domain Service по сути не работают: принимаются подключения только на мизерно ограниченный набор портов и только через протокол http/https.

 

Домены 5 уровня в поддомене поддомена keenetic.link зоны link невозможно зарегистрировать даже в OPKG.

 

Сертификаты SSL имени домена устройства в зоне link поставляются в зашифрованном виде и без ключа - поэтому их невозможно использовать ни в nginx в opkg, ни в bind9 в opkg. Сертификаты dns.yandex для DoT не добыть (а они есть в файловой системе маршрутизатора) для использования в bind9 forwarding в opkg - любой провайдер легко замаскирует ipv4 адреса (да и ipv6 адреса легко замаскирует) службы фильрации трафика - и перенаправление с dns сервера посредника пойдёт в поддельный сервер провайдера.

 

При фильтрации трафика путём встраивания в цепочку dns серверов своего сервера dns bind9 в opkg в журнале запросов сохраняется адрес маршрутизатора, а не реального источника запроса, как требует законодательство.

 

Модернизация микросхем и компонентов маршрутизаторов сильно затруднена.

 

Облачная служба не пропускает запросы dns по доменному имени устройства даже в зоне link даже на 53, 853, 443 порты UDP, TCP даже при подключении через native ipv6.

 

Биржа обмена поддоменами домена keenetic.link не создана.

 

DNS Keenetic Rings до сих пор не работают.

 

А что же компания производитель устройства?

Каждый день говорит: "Завтра всё сделаем".

Удобно говорить сегодня, что завтра всё будет готово, и так по бесконечному циклу.

 

Edited August 29 by Dare Mage
Дополнение

[Le ecureuil]

Цитата

dhcpv6 отсутствует.

Делегирование части динамического родительского префикса в дочерние сети отсутствует.

Обе эти вещи, касаемые IPv6, присутствуют начиная с версии 4.0.

[Kozlov]

6 часов назад, Le ecureuil сказал:

Обе эти вещи, касаемые IPv6, присутствуют начиная с версии 4.0.

Снимок GUI предоставите?

Какой маршрут вы предлагаете прописывать в дочернюю сеть в случае динамического родительского префикса?

Edited August 29 by Dare Mage
Дополнение

[Le ecureuil]

37 минут назад, Dare Mage сказал:

Снимок GUI предоставите?

Все, что не нарисовано в gui, для вас не существует?

[Kozlov]

24 минуты назад, Le ecureuil сказал:

Все, что не нарисовано в gui, для вас не существует?

Во времена MS-DOS 6.22 предлагаете вернуться?

 

Какой маршрут вы предлагаете прописывать в дочернюю сеть в случае динамического родительского префикса для делегации его части дочерней сети?

Edited August 29 by Dare Mage
Дополнение