Netgate SG-1000 microFirewall

Author Topic: Squid MIMT IPV6  (Read 170 times)

0 Members and 1 Guest are viewing this topic.

Offline Mgr

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Squid MIMT IPV6
« on: January 31, 2018, 01:16:47 am »
Доброго времени суток коллеги.

Такая интересная ситуация сложилась. При настройки Сквида и Сквид гварда с блеклистами, приходится включать SSL Interception.  Сертификат поставил, и ютубы открываются из под моего церта, но вот незадача, фейсбук и линкединне открываются, при этом выдавая дикую ошибку

Quote
The following error was encountered while trying to retrieve the URL: https://www.facebook.com/*


Connection to 2a03:2880:f128:83:face:b00c:0:25de failed.

The system returned: (65) No route to host

Конечно же стоит галочка по поводу использования исключительно IPV4 и в нетворке тоже соответствующие манипуляции произведены.

Очень странно, ну во всяком случае для меня, обращение по IPV6 к одним сайтам и IPV4  к другим. При этом заметил что такое происходит исключительно если включаю MITM.

По поводу системы, виртуалка на Hyper-V. PFsense последней версии.

Такие дела. Буду рад выслушать соображения достойнейшей публики.

Offline werter

  • Hero Member
  • *****
  • Posts: 5020
  • Karma: +239/-15
    • View Profile
Re: Squid MIMT IPV6
« Reply #1 on: January 31, 2018, 03:07:47 am »
Добрый.
Откл. или запретите IPv6.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1753
  • Karma: +222/-2
    • View Profile
Re: Squid MIMT IPV6
« Reply #2 on: January 31, 2018, 03:58:21 am »
Добрый.
Откл. или запретите IPv6.

Если будете отключать - дополнительно отключите IPv6 редактируя свойства каждого интерфейса

Offline Mgr

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Squid MIMT IPV6
« Reply #3 on: January 31, 2018, 04:51:41 am »
Добрый.
Откл. или запретите IPv6.

Скорей всего это уже сделано и плавующее правило в фаерволе настроено. Или вы имеете ввиду в rc.conf прописать? Опять остается вопрос открытым почему какие-то сайты проходят, при этом нслукапом оба сайта возвращают одно и то-же, ipv6 и ipv4 адреса.
« Last Edit: January 31, 2018, 05:01:07 am by Mgr »

Offline werter

  • Hero Member
  • *****
  • Posts: 5020
  • Karma: +239/-15
    • View Profile
Re: Squid MIMT IPV6
« Reply #4 on: January 31, 2018, 07:58:25 am »
Quote
Скорей всего это уже сделано и плавующее правило в фаерволе настроено.

Что значит "скорее всего" ? А проверить ?

Зы. Сквид в транспаренте?

Offline Mgr

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Squid MIMT IPV6
« Reply #5 on: January 31, 2018, 09:34:36 pm »
"Скорей всего" значит, галочка у сквида использовать ipv4 стоит, в конфиге тоже визуально наблюдаю. У интерфейса напротив ipv6 стоит none. Галочка напротив блокировки трафика ipv6 убрана. Поэтому и задавал уточняющий вопрос, возможно люди имели ввиду прописать фряхе директиву.

И опять упускается момент что какие-то сайты работают, какие-то нет.
« Last Edit: February 01, 2018, 12:14:44 am by Mgr »

Offline werter

  • Hero Member
  • *****
  • Posts: 5020
  • Karma: +239/-15
    • View Profile
Re: Squid MIMT IPV6
« Reply #6 on: February 01, 2018, 02:10:21 am »
Добрый.
Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.


Offline Mgr

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Squid MIMT IPV6
« Reply #7 on: February 02, 2018, 04:51:34 am »
Добрый.
Кто у вас локальным dns работает ? Если это не пф, то так и будет - имена в ipv6 будут разрешаться.

У себя решил принудительным "заворачиванием" всех днс-запросов на лок. адрес. пф. И сбросом днс-кеша на клиентах после.

Спасибо, это решение да, все заработало, хотя по началу вместо фб начал моросить мэил ру, но сейчас на данный момент ошибки но роут то хост с ip6 нет.

Очень интересно почему такая выборочное обращение именно определенных сайтов. Я читал докуминтацию сквида и там прямо пишут что предпочтительно ipv6 и прелагают опцию о запрете днс запросов, но даже при включении этой опции она отрабатывает не совсем коректно, и вот вопрос, связано ли это с ПФсенсом, или таки дело в самом сквиде.

Надо будет потестить связку всего это под центой и без ПФ.