Tor & ipv6 & TRANS_NETFILTER_IPV6

[avn]

Добрый день!

Подскажите, пожалуйста, куда написать по поводу Tor?

Сейчас я получаю ошибку:

destination_from_socket(): Bug: Received transparent data from an unsuported socket family 10 (on Tor 0.4.1.6 )

Это ошибку я могу получить только в том случае, если Tor собран без опции TRANS_NETFILTER_IPV6

#ifdef TRANS_NETFILTER_IPV6
    case AF_INET6:
      rv = getsockopt(ENTRY_TO_CONN(conn)->s, SOL_IPV6, IP6T_SO_ORIGINAL_DST,
                  (struct sockaddr*)&orig_dst, &orig_dst_len);
      break;
#endif /* defined(TRANS_NETFILTER_IPV6) */
    default:
      log_warn(LD_BUG,
               "Received transparent data from an unsuported socket family %d",
               ENTRY_TO_CONN(conn)->socket_family);
      return -1;

Или расскажите, где я могу получить конфиги, с которыми собирается Tor, попробую сам собрать. На https://github.com/Entware/Entware  не нашел исходников Tor.

[TheBB]

https://github.com/Entware/entware-packages/tree/master/net/tor

[avn]

Похоже это будет сложнее, чем я думал. Раз выводится сообщение, значит пакет собран с опцией TRANS_NETFILTER, а она устанавливается только в том случае, если установлены директивы HAVE_LINUX_NETFILTER_IPV4_H и HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H. HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H не установлена, т.к. нет 6 версии протокола. Значит установлена опция - HAVE_LINUX_NETFILTER_IPV4_H.

Где она устанавливается?  И эта опция тянет за собой linux/netfilter_ipv4.h. Где их взять? Или использовать, те которые в линукс поставляются?

[avn]

А не могли бы Вы собрать пакет, со следующей опцией:

TARGET_CFLAGS += -ffunction-sections -fdata-sections -flto -DHAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H

 

[avn]

В кратце, зачем это нужно - что бы завернуть часть траффика ipv6 в tor.

Настройки примерно такие:

Spoiler

torrc

User root
PidFile /opt/var/run/tor.pid
#Log info file /opt/var/log/tor.log
#Log notice file /opt/var/log/tor.log
ExcludeExitNodes {RU},{UA},{AM},{KG},{BY}
StrictNodes 1
SocksPort 0 # Disable Socks
TransPort 192.168.97.97:9151
TransPort [::]:9151
ExitRelay 0
ExitPolicy reject *:*
ExitPolicy reject6 *:*
GeoIPFile /opt/share/tor/geoip
GeoIPv6File /opt/share/tor/geoip6
DataDirectory /opt/var/lib/tor
VirtualAddrNetwork 10.192.0.0/10
VirtualAddrNetworkIPv6 [fc00::]/7
DNSPort 127.0.0.1:9153
#DNSPort [::1]:9153
AutomapHostsOnResolve 1
ClientUseIPv4 0
ClientUseIPv6 1

ip6tables

ipset create unblock6 hash:net family inet6 -exist
ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-ports 9151

 

 

[TheBB]

12 часа назад, Ivan Maslov сказал:

А не могли бы Вы собрать пакет, со следующей опцией:

можно, но зачем

➜ cat config.log | grep "IPV6_IP6" | sort -u
| #define HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H 1
#define HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H 1

давайте вместе разбираться, "что пошло не так" (мыслите в нужном направлении, но смотрите не там, "подсказка" в файле немного выше...)

[avn]

Давайте разбираться, есть код:

#ifdef TRANS_NETFILTER
  int rv = -1;
  switch (ENTRY_TO_CONN(conn)->socket_family) {
#ifdef TRANS_NETFILTER_IPV4
    case AF_INET:
      rv = getsockopt(ENTRY_TO_CONN(conn)->s, SOL_IP, SO_ORIGINAL_DST,
                  (struct sockaddr*)&orig_dst, &orig_dst_len);
      break;
#endif /* defined(TRANS_NETFILTER_IPV4) */
#ifdef TRANS_NETFILTER_IPV6
    case AF_INET6:
      rv = getsockopt(ENTRY_TO_CONN(conn)->s, SOL_IPV6, IP6T_SO_ORIGINAL_DST,
                  (struct sockaddr*)&orig_dst, &orig_dst_len);
      break;
#endif /* defined(TRANS_NETFILTER_IPV6) */
    default:
      log_warn(LD_BUG,
               "Received transparent data from an unsuported socket family %d",
               ENTRY_TO_CONN(conn)->socket_family);
      return -1;
  }
  if (rv < 0) {
    int e = tor_socket_errno(ENTRY_TO_CONN(conn)->s);
    log_warn(LD_NET, "getsockopt() failed: %s", tor_socket_strerror(e));
    return -1;
  }
  goto done;

Я получаю ошибку,

Received transparent data from an unsuported socket family 10

family 10 -  AF_INET6, значит не установлен флаг - TRANS_NETFILTER_IPV6. Он устанавливается следующим кодом:

#ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
#include <linux/netfilter_ipv6/ip6_tables.h>
#if defined(IP6T_SO_ORIGINAL_DST)
#define TRANS_NETFILTER
#define TRANS_NETFILTER_IPV6
#endif
#endif /* defined(HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H) */

Т.е. тут три варианта, на момент компиляции система не может найти файл -  linux/netfilter_ipv6/ip6_tables.h или не определен defined - IP6T_SO_ORIGINAL_DST или AF_INET6 <> 10

Можете посмотреть?

Edited November 19, 2019 by Ivan Maslov

[TheBB]

угу, не буду "тянуть кота за хвост", а скажу сразу - "IP6T_SO_ORIGINAL_DST" появилось в ядре, начиная с 3.8 (можно глянуть, напр., тут)

[avn]

11 minutes ago, TheBB said:

угу, не буду "тянуть кота за хвост", а скажу сразу - "IP6T_SO_ORIGINAL_DST" появилось в ядре, начиная с 3.8 (можно глянуть, напр., тут)

Спасибо. Планируется ли переход на ядро 3.8?

[TheBB]

2 минуты назад, Ivan Maslov сказал:

Планируется ли переход на ядро 3.8?

Зачем? Лучше сразу на 4.9 (как в прошивках 3.хх)

Теперь сможете сами собрать или будем заниматься "фигурной резьбой" по коду (делать патч)?

[avn]

3 minutes ago, TheBB said:

Зачем? Лучше сразу на 4.9 (как в прошивках 3.хх)

Теперь сможете сами собрать или будем заниматься "фигурной резьбой" по коду (делать патч)?

Да я вчера собрал, просто toolchain долго собирался. Сегодня проверил - не работает. Да, посмотрел на роутере ядро 4.9-ndm-3. Но последовательность действий все равно не представляю. Надо заголовки ядра обновлять, а где их взять?

[TheBB]

Ничего обновлять не надо. Или "отрезать лишнее", или добавить недостающее (в том самом файлике) (что-то вроде)

#ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
#include <linux/netfilter_ipv6/ip6_tables.h>
/* #if defined(IP6T_SO_ORIGINAL_DST) */
#define TRANS_NETFILTER
#define TRANS_NETFILTER_IPV6
/* #endif */
#endif /* defined(HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H) */

#ifndef IP6T_SO_ORIGINAL_DST
#define IP6T_SO_ORIGINAL_DST	80
#endif

#ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
#include <linux/netfilter_ipv6/ip6_tables.h>
#if defined(IP6T_SO_ORIGINAL_DST)
#define TRANS_NETFILTER
#define TRANS_NETFILTER_IPV6
#endif
#endif /* defined(HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H) */

и не факт, что взлетит )))

[avn]

5 minutes ago, TheBB said:

Ничего обновлять не надо. Или "отрезать лишнее", или добавить недостающее (в том самом файлике) (что-то вроде)

#ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
#include <linux/netfilter_ipv6/ip6_tables.h>
/* #if defined(IP6T_SO_ORIGINAL_DST) */
#define TRANS_NETFILTER
#define TRANS_NETFILTER_IPV6
/* #endif */
#endif /* defined(HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H) */

#ifndef IP6T_SO_ORIGINAL_DST
#define IP6T_SO_ORIGINAL_DST	80
#endif

#ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
#include <linux/netfilter_ipv6/ip6_tables.h>
#if defined(IP6T_SO_ORIGINAL_DST)
#define TRANS_NETFILTER
#define TRANS_NETFILTER_IPV6
#endif
#endif /* defined(HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H) */

и не факт, что взлетит )))

Спасибо. Это все хорошо, а официально в будущем (например, следующая версия entware) собираться будет не правильно?

[TheBB]

2 часа назад, Ivan Maslov сказал:

Спасибо. Это все хорошо, а официально в будущем (например, следующая версия entware) собираться будет не правильно?

Не понял. Если про систему на "новом" (4.9) ядре, требуйте-настаивайте Если про пакет, зависит от того, взлетит или нет (пропатчить завсегда можно).

upd

собсна, пакет "на пробу" tor_0.4.1.6-1a_mipsel-3.4.ipk  и патч к нему

Скрытый текст

--- a/src/core/or/connection_edge.c
+++ b/src/core/or/connection_edge.c
@@ -128,6 +128,15 @@
 #include <linux/if.h>
 #endif
 
+#ifndef LINUX_VERSION_CODE
+#include <linux/version.h>
+#endif
+
+/* IP6T_SO_ORIGINAL_DST since Linux 3.8 */
+#if LINUX_VERSION_CODE < KERNEL_VERSION(3,8,0)
+#define IP6T_SO_ORIGINAL_DST	80
+#endif
+
 #ifdef HAVE_LINUX_NETFILTER_IPV6_IP6_TABLES_H
 #include <linux/netfilter_ipv6/ip6_tables.h>
 #if defined(IP6T_SO_ORIGINAL_DST)
--- a/src/lib/sandbox/sandbox.c
+++ b/src/lib/sandbox/sandbox.c
@@ -79,6 +79,15 @@
 #include <linux/netfilter_ipv6/ip6_tables.h>
 #endif
 
+#ifndef LINUX_VERSION_CODE
+#include <linux/version.h>
+#endif
+
+/* IP6T_SO_ORIGINAL_DST since Linux 3.8 */
+#if LINUX_VERSION_CODE < KERNEL_VERSION(3,8,0)
+#define IP6T_SO_ORIGINAL_DST	80
+#endif
+
 #if defined(HAVE_EXECINFO_H) && defined(HAVE_BACKTRACE) && \
   defined(HAVE_BACKTRACE_SYMBOLS_FD) && defined(HAVE_SIGACTION)
 #define USE_BACKTRACE

 

у меня ipv6 нету, от того - as is

Edited November 19, 2019 by TheBB
upd

[avn]

Большое спасибо. Пакет tor по ipv6 через ip6tables заработал. Хотелось бы видеть этот фикс для Tor на версии KeeneticOS >3.

[TheBB]

Как видите, ничего сложного. Можно было пойти и по первому пути (отрезать лишнее), патч получился бы другим, но... экспериментировать не будем )))

[Aleksandr]

В 19.11.2019 в 19:14, avn сказал:

Большое спасибо. Пакет tor по ipv6 через ip6tables заработал. Хотелось бы видеть этот фикс для Tor на версии KeeneticOS >3.

Добрый день

А не поделитесь, как вы заполняете unblock6?

Провайдер стал блокировать ipv6, хотелось бы через ip6tables часть адресов пустить через tor...

Спасибо

[Aleksandr]

Не с того начал, не изменилось ли в актуальной сборке opkg, фикс о котором написали выше, появился?

Пробую перенаправить выборочный ipv6 в тор, но результата не вижу, не подскажете что надо изменить?
 

ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2a03:42e0::214 -j REDIRECT --to-ports 9041
ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2620:1ec:21::14 -j REDIRECT --to-ports 9041

Спасибо

[avn]

17 часов назад, Aleksandr сказал:

Не с того начал, не изменилось ли в актуальной сборке opkg, фикс о котором написали выше, появился?

Пробую перенаправить выборочный ipv6 в тор, но результата не вижу, не подскажете что надо изменить?
 

ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2a03:42e0::214 -j REDIRECT --to-ports 9041
ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2620:1ec:21::14 -j REDIRECT --to-ports 9041

Спасибо

 

Актуальные конфиги для Tor во вложении.

У меня конфиги такие:

# iptables
ip6t PREROUTING -t nat -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-port 9151
ip6t PREROUTING -t nat -i br0 -p tcp -d fcc0::/10 -j REDIRECT --to-port 9151
ip6t OUTPUT     -t nat        -p tcp -d fcc0::/10 -j REDIRECT --to-port 9151

# torrc
TransPort [::]:9151
IPv6Exit 0
ExitPolicy reject6 *:*
GeoIPv6File /opt/share/tor/geoip6
VirtualAddrNetworkIPv6 [fcc0::]/10

Разрешение имен идет через собственный dnsmasq для домена onion

Домены, которые идут через Tor сожержаться в файле /opt/etc/unblock.txt и обрабатываются скриптами:

unblock_dnsmasq.sh
unblock_ipset.sh
unblock_update.sh

 

backup-Tor-202107-09.tar

[avn]

18 часов назад, Aleksandr сказал:

Не с того начал, не изменилось ли в актуальной сборке opkg, фикс о котором написали выше, появился?

Пробую перенаправить выборочный ipv6 в тор, но результата не вижу, не подскажете что надо изменить?
 

ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2a03:42e0::214 -j REDIRECT --to-ports 9041
ip6tables -t nat -A PREROUTING -i br0 -p tcp -s 2620:1ec:21::14 -j REDIRECT --to-ports 9041

Спасибо

torrc конфиг поправили?

Что выводят команды

netstat -ltnp | grep ':9041'
lsof -Pn +M | grep ':9041 (LISTEN' 
ip6tables-save 2>/dev/null | grep 9041

 

Думаю ошибка в этом:

ip6tables -t nat -A PREROUTING -i br0 -p tcp -s(!!!! тут надо -d) 2a03:42e0::214 -j REDIRECT --to-ports 9041

?

Edited August 30, 2021 by avn

[Aleksandr]

Переделал на -d, понаблюдаю, т.к. тот же rutracker.org открывается через ipv4, через некоторое время может не открыться (а когда не открывает, грешу на то, что он блокируется через ipv6, т.к. при подключении к роутеру, через vpn сайт доступен)

по командам: вторая команда выдает ошибку

lsof -Pn +M | grep ':9041 (LISTEN' 

нет опечатки? или какой то пакет надо дополнительно установить?

по третьей вижу дублируются записи (уже исправлено на -d): 

Скрытый текст

-A PREROUTING -d 2a03:42e0::214/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2620:1ec:21::14/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2a03:42e0::214/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2620:1ec:21::14/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

torr используется и для ipv4 адресов (основное), конфигурация torr_opkg

Скрытый текст

PidFile /opt/var/run/tor.pid

ExcludeExitNodes {RU},{UA},{AM},{KG},{BY}

StrictNodes 1

TransPort 0.0.0.0:9141

TransPort [::]:9141

ExitRelay 0

ExitPolicy reject *:*

ExitPolicy reject6 *:*

GeoIPFile /opt/share/tor/geoip

GeoIPv6File /opt/share/tor/geoip6

DataDirectory /opt/var/lib/tor

 

VirtualAddrNetwork 10.254.0.0/16

VirtualAddrNetworkIPv6 [fc00::]/7

DNSPort 127.0.0.1:53

AutomapHostsOnResolve 1

ClientUseIPv4 1

ClientUseIPv6 1

ip6tables:

Скрытый текст

[ "$type" != "ip6tables" ] && exit 0

ip6tables -t nat -A PREROUTING -i br0 -p tcp -d 2a03:42e0::214 -j REDIRECT --to- ports 9041

ip6tables -t nat -A PREROUTING -i br0 -p tcp -d 2620:1ec:21::14 -j REDIRECT --to -ports 9041

понимаю что дубли идут, что добавление срабатывает несколько раз... понимания как поправить условие срабатывания пока нет

Спасибо за помощь!

[avn]

2 минуты назад, Aleksandr сказал:

Переделал на -d, понаблюдаю, т.к. тот же rutracker.org открывается через ipv4, через некоторое время может не открыться (а когда не открывает, грешу на то, что он блокируется через ipv6, т.к. при подключении к роутеру, через vpn сайт доступен)

по командам: вторая команда выдает ошибку

lsof -Pn +M | grep ':9041 (LISTEN' 

нет опечатки? или какой то пакет надо дополнительно установить?

по третьей вижу дублируются записи (уже исправлено на -d): 

  Скрыть содержимое

-A PREROUTING -d 2a03:42e0::214/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2620:1ec:21::14/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2a03:42e0::214/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

-A PREROUTING -d 2620:1ec:21::14/128 -i br0 -p tcp -j REDIRECT --to-ports 9041

torr используется и для ipv4 адресов (основное), конфигурация torr_opkg

  Скрыть содержимое

PidFile /opt/var/run/tor.pid

ExcludeExitNodes {RU},{UA},{AM},{KG},{BY}

StrictNodes 1

TransPort 0.0.0.0:9141

TransPort [::]:9141

ExitRelay 0

ExitPolicy reject *:*

ExitPolicy reject6 *:*

GeoIPFile /opt/share/tor/geoip

GeoIPv6File /opt/share/tor/geoip6

DataDirectory /opt/var/lib/tor

 

VirtualAddrNetwork 10.254.0.0/16

VirtualAddrNetworkIPv6 [fc00::]/7

DNSPort 127.0.0.1:53

AutomapHostsOnResolve 1

ClientUseIPv4 1

ClientUseIPv6 1

ip6tables:

  Скрыть содержимое

[ "$type" != "ip6tables" ] && exit 0

ip6tables -t nat -A PREROUTING -i br0 -p tcp -d 2a03:42e0::214 -j REDIRECT --to- ports 9041

ip6tables -t nat -A PREROUTING -i br0 -p tcp -d 2620:1ec:21::14 -j REDIRECT --to -ports 9041

понимаю что дубли идут, что добавление срабатывает несколько раз... понимания как поправить условие срабатывания пока нет

Спасибо за помощь!

У Вас в конфиге tor порт 9141, a iptables использует порт 9041

[Aleksandr]

2 минуты назад, avn сказал:

У Вас в конфиге tor порт 9141, a iptables использует порт 9041

Действительно... Видимо вчера при очередном копировании не поправил. Спасибо

Остальное на ваш взгляд ок?

Не подскажите, как лучше обеспечить однократное добавление правила?

[avn]

5 минут назад, Aleksandr сказал:

Действительно... Видимо вчера при очередном копировании не поправил. Спасибо

Остальное на ваш взгляд ок?

Не подскажите, как лучше обеспечить однократное добавление правила?

ip6t() {
	if ! ip6tables -C "$@" &>/dev/null; then
		ip6tables -A "$@"
	fi
}

ip6t PREROUTING -t nat -i br0 -p tcp -d fcc0::/10 -j REDIRECT --to-port 9151

 

[Aleksandr]

переделал по вашим примерам, ipset unblock и unblock6 заполняются, правила не дублируются и доступны
 

Скрытый текст

~ # ip6tables-save 2>/dev/null | grep 9141

-A PREROUTING -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-ports 9141

-A PREROUTING -d fcc0::/10 -i br0 -p tcp -j REDIRECT --to-ports 9141

-A OUTPUT -d fcc0::/10 -p tcp -j REDIRECT --to-ports 9141

в ipset --list вижу адреса
 

Скрытый текст

Name: unblock6

Type: hash:net

Revision: 6

Header: family inet6 hashsize 1024 maxelem 65536

Size in memory: 1396

References: 1

Members:

2620:1ec:21::14

2606:4700:10::6814:2a17

2a03:3f40:2:218::10

Но судя по https://rutracker.org/myip подключение идет по ipv4, показывает тот же адрес что и https://check.torproject.org/

При этом, несмотря, на то, что https://2ip.me/ включен в маршрутизацию в tor, сайт показывает не подмененный ipv4 и ipv6. Почему тут виден реальный ipv4 не понимаю, у вас в 2ip.me два адреса подменены и v4 и v6?

 

[avn]

11 час назад, Aleksandr сказал:

переделал по вашим примерам, ipset unblock и unblock6 заполняются, правила не дублируются и доступны
 

  Скрыть содержимое

~ # ip6tables-save 2>/dev/null | grep 9141

-A PREROUTING -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-ports 9141

-A PREROUTING -d fcc0::/10 -i br0 -p tcp -j REDIRECT --to-ports 9141

-A OUTPUT -d fcc0::/10 -p tcp -j REDIRECT --to-ports 9141

в ipset --list вижу адреса
 

  Скрыть содержимое

Name: unblock6

Type: hash:net

Revision: 6

Header: family inet6 hashsize 1024 maxelem 65536

Size in memory: 1396

References: 1

Members:

2620:1ec:21::14

2606:4700:10::6814:2a17

2a03:3f40:2:218::10

Но судя по https://rutracker.org/myip подключение идет по ipv4, показывает тот же адрес что и https://check.torproject.org/

При этом, несмотря, на то, что https://2ip.me/ включен в маршрутизацию в tor, сайт показывает не подмененный ipv4 и ipv6. Почему тут виден реальный ipv4 не понимаю, у вас в 2ip.me два адреса подменены и v4 и v6?

 

Они ip определяют через другой сайт ipv6.2ip.com.ua Добавить его в список, обновите правила unblock_update.sh и обновите страницу 2ip.me через ctrl+f5

 

Edited August 31, 2021 by avn

[Aleksandr]

1 час назад, avn сказал:

Они ip определяют через другой сайт ipv6.2ip.com.ua Добавить его в список, обновите правила unblock_update.sh и обновите страницу 2ip.me через ctrl+f5

C 2ip.me и ipv6.2ip.com.ua ситуация не поменялась, показывает мои реальные адреса

Добавил еще myip.ru в маршрутизацию, вместо моего реального ipv6 стал показывать замененный адрес ipv4. Т.е. подключение стало идти по ipv4

Может на текущем этапе это будет мне достаточно, т.к. выборочные мной сайты будут открываться по протоколу ipv4

Но на будущее все же хотелось понять, что не хватает для подмены Ipv6 адреса (допускаю что все настроено верно, он на самом деле и пытается подбочениться, но ipv4 открывается быстрее)..

Вы на 2ip.me видите, что у вас происходит смена IP?

[avn]

Да, вижу. ctrl+f5 нажмите. Помогает.

Edited August 31, 2021 by avn

[Aleksandr]

ctrl+f5 пробовал еще вчера, не в этом дело...

Попробовал различными браузерами, сайт 2ip.me показывает разную информацию, на том же устройстве. IE показывает только подменный ipv4, а вот chrome и yandex, firefox, показывает реальный и локальный адрес, при чем в chrome есть еще и информация о ipv6 не подмененным. Причем яндекс, еще показывает локальный адрес, чего нет к примеру в chorme:

Your local IP address:

192.168.1.50

Т.е. правило на роутере видимо отрабатывает (оно же не зависит от браузера), но сайт определяет реальный IP..., за исключением IE11