Squid MIMT IPV6



  • Доброго времени суток коллеги.

    Такая интересная ситуация сложилась. При настройки Сквида и Сквид гварда с блеклистами, приходится включать SSL Interception.  Сертификат поставил, и ютубы открываются из под моего церта, но вот незадача, фейсбук и линкединне открываются, при этом выдавая дикую ошибку

    The following error was encountered while trying to retrieve the URL: https://www.facebook.com/*

    Connection to 2a03:2880:f128:83:face:b00c:0:25de failed.

    The system returned: (65) No route to host

    Конечно же стоит галочка по поводу использования исключительно IPV4 и в нетворке тоже соответствующие манипуляции произведены.

    Очень странно, ну во всяком случае для меня, обращение по IPV6 к одним сайтам и IPV4  к другим. При этом заметил что такое происходит исключительно если включаю MITM.

    По поводу системы, виртуалка на Hyper-V. PFsense последней версии.

    Такие дела. Буду рад выслушать соображения достойнейшей публики.



  • Добрый.
    Откл. или запретите IPv6.



  • @werter:

    Добрый.
    Откл. или запретите IPv6.

    Если будете отключать - дополнительно отключите IPv6 редактируя свойства каждого интерфейса



  • @werter:

    Добрый.
    Откл. или запретите IPv6.

    Скорей всего это уже сделано и плавующее правило в фаерволе настроено. Или вы имеете ввиду в rc.conf прописать? Опять остается вопрос открытым почему какие-то сайты проходят, при этом нслукапом оба сайта возвращают одно и то-же, ipv6 и ipv4 адреса.



  • Скорей всего это уже сделано и плавующее правило в фаерволе настроено.

    Что значит "скорее всего" ? А проверить ?

    Зы. Сквид в транспаренте?



  • "Скорей всего" значит, галочка у сквида использовать ipv4 стоит, в конфиге тоже визуально наблюдаю. У интерфейса напротив ipv6 стоит none. Галочка напротив блокировки трафика ipv6 убрана. Поэтому и задавал уточняющий вопрос, возможно люди имели ввиду прописать фряхе директиву.

    И опять упускается момент что какие-то сайты работают, какие-то нет.








  • Добрый.
    Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

    У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.

    ![Firewall_ NAT_ Port Forward.png](/public/imported_attachments/1/Firewall_ NAT_ Port Forward.png)
    ![Firewall_ NAT_ Port Forward.png_thumb](/public/imported_attachments/1/Firewall_ NAT_ Port Forward.png_thumb)
    ![Firewall_ Rules_ LAN.png_thumb](/public/imported_attachments/1/Firewall_ Rules_ LAN.png_thumb)
    ![Firewall_ Rules_ LAN.png](/public/imported_attachments/1/Firewall_ Rules_ LAN.png)



  • @werter:

    Добрый.
    Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

    У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.

    Спасибо, это решение да, все заработало, хотя по началу вместо фб начал моросить мэил ру, но сейчас на данный момент ошибки но роут то хост с ip6 нет.

    Очень интересно почему такая выборочное обращение именно определенных сайтов. Я читал докуминтацию сквида и там прямо пишут что предпочтительно ipv6 и прелагают опцию о запрете днс запросов, но даже при включении этой опции она отрабатывает не совсем коректно, и вот вопрос, связано ли это с ПФсенсом, или таки дело в самом сквиде.

    Надо будет потестить связку всего это под центой и без ПФ.