Squid MIMT IPV6

Mgr

Доброго времени суток коллеги.

Такая интересная ситуация сложилась. При настройки Сквида и Сквид гварда с блеклистами, приходится включать SSL Interception. Сертификат поставил, и ютубы открываются из под моего церта, но вот незадача, фейсбук и линкединне открываются, при этом выдавая дикую ошибку

The following error was encountered while trying to retrieve the URL: https://www.facebook.com/*

Connection to 2a03:2880:f128:83:face:b00c:0:25de failed.

The system returned: (65) No route to host

Конечно же стоит галочка по поводу использования исключительно IPV4 и в нетворке тоже соответствующие манипуляции произведены.

Очень странно, ну во всяком случае для меня, обращение по IPV6 к одним сайтам и IPV4 к другим. При этом заметил что такое происходит исключительно если включаю MITM.

По поводу системы, виртуалка на Hyper-V. PFsense последней версии.

Такие дела. Буду рад выслушать соображения достойнейшей публики.

werter

Добрый.
Откл. или запретите IPv6.

pigbrother

@werter:

Добрый.
Откл. или запретите IPv6.

Если будете отключать - дополнительно отключите IPv6 редактируя свойства каждого интерфейса

Mgr

@werter:

Добрый.
Откл. или запретите IPv6.

Скорей всего это уже сделано и плавующее правило в фаерволе настроено. Или вы имеете ввиду в rc.conf прописать? Опять остается вопрос открытым почему какие-то сайты проходят, при этом нслукапом оба сайта возвращают одно и то-же, ipv6 и ipv4 адреса.

werter

Скорей всего это уже сделано и плавующее правило в фаерволе настроено.

Что значит "скорее всего" ? А проверить ?

Зы. Сквид в транспаренте?

Mgr

"Скорей всего" значит, галочка у сквида использовать ipv4 стоит, в конфиге тоже визуально наблюдаю. У интерфейса напротив ipv6 стоит none. Галочка напротив блокировки трафика ipv6 убрана. Поэтому и задавал уточняющий вопрос, возможно люди имели ввиду прописать фряхе директиву.

И опять упускается момент что какие-то сайты работают, какие-то нет.

pfsense1.jpg_thumb

pfsense2.jpg_thumb

pfsense3.jpg_thumb

werter

Добрый.
Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.

![Firewall_ NAT_ Port Forward.png](/public/imported_attachments/1/Firewall_ NAT_ Port Forward.png)
![Firewall_ NAT_ Port Forward.png_thumb](/public/imported_attachments/1/Firewall_ NAT_ Port Forward.png_thumb)
![Firewall_ Rules_ LAN.png_thumb](/public/imported_attachments/1/Firewall_ Rules_ LAN.png_thumb)
![Firewall_ Rules_ LAN.png](/public/imported_attachments/1/Firewall_ Rules_ LAN.png)

Mgr

@werter:

Добрый.
Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.

Спасибо, это решение да, все заработало, хотя по началу вместо фб начал моросить мэил ру, но сейчас на данный момент ошибки но роут то хост с ip6 нет.

Очень интересно почему такая выборочное обращение именно определенных сайтов. Я читал докуминтацию сквида и там прямо пишут что предпочтительно ipv6 и прелагают опцию о запрете днс запросов, но даже при включении этой опции она отрабатывает не совсем коректно, и вот вопрос, связано ли это с ПФсенсом, или таки дело в самом сквиде.

Надо будет потестить связку всего это под центой и без ПФ.