Как запретить IPv6 для отдельных сайтов

[BorisB]

Поднял я 6to4 tunnel через Hurricane Electric, всё отлично работает, по секрету скажу - даже Ютуб ожил без танцев с бубном, как в старые добрые времена. Но, как быстро обнаружилось, в этой бочке мёда спрятался дьяволёнок с ложкой дёгтя, а именно: через IPv6 доступно достаточно много отечественных ресурсов, которые к установленному через буржуйского супостата соединению относятся крайне подозрительно. Начинают назойливо мучать капчей, теряют геолокацию, самопроизвольно вышибают из личного кабинета - в общем ведут себя достаточно неадекватно.

Решение проблемы напрашивается простое - принудительно подключаться к таким ресурсам через IPv4 с адресом местного провайдера и будет счастье. Но если ресурс доступен через IPv6, то по умолчанию именно это соединение оказывается в приоритете. Хотелось бы услышать от знатоков совет, как грамотно настроить роутер? Можно попробовать прописать URL регулярно посещаемых "капризных" ресурсов в DNS static с IPv4 адресами, но что то мне подсказывает - это не самое изящное и уж точно не универсальное решение. Хотелось бы скажем одним махом сделать приоритетным подключение через IPv4 для всего домена *.ru

[svetogor82]

берете список ip адресов домена ru и маркируете его что бы он ходил через локального провайдера к примеру можете воспользоваться https://mikrotikconfig.com/firewall/#address

[podarok66]

Так вроде как приоритетность ipv4 vs ipv6 определяется на клиентском устройстве. При чем тут роутер?

[BorisB]

Так вроде как приоритетность ipv4 vs ipv6 определяется на клиентском устройстве.

Всё именно так и есть. В моей конфигурации локалки единственным DNS сервером для рабочих станций является роутер, подключенный к локальному провайдеру по IPv4 и к HE по IPv6 (через тоннель) и только он! Упрощённо говоря, браузер (клиентское устройство) в первую очередь запрашивает IPv6 адрес у DNS сервера и, если он есть, получает его. После чего устанавливается соединение по IPv6 (через HE). А если у сайта IPv6 нет, то браузер получает от DNS сервера IPv4 адрес, и соединение соответственно устанавливается через локального провайдера.

Мой вопрос в том и заключается, можно ли как то заставить DNS сервер Микротика избирательно (согласно списку доменов) выдавать клиентскому устройству только IPv4 адрес сайта, даже если у этого сайта есть IPv6 адрес.

[xvo]

Теоретически напрашивается использование своего DNS сервера, который для зоны .ru не будет сообщать клиентам AAAA записи.

Я просто использую по-умолчанию брокера в РФ, а то, что не работает через него (обычно, кстати, потому что блочат с той стороны, а не с этой) отправляю через HE плюс-минус таким же образом, как это сделано для IPv4.

[sekoles]

Поднял я 6to4 tunnel через Hurricane Electric, всё отлично работает, по секрету скажу - даже Ютуб ожил без танцев с бубном, как в старые добрые времена.

Добрый день! У меня все попытки прокинуть трафик через 6to4 tunnel были не успешны. Тест ipv6-test.com фейлится. Можете отписать как настраивали туннель? Можно в ЛС
MikroTik hAP ax³/C53UiG+5HPaxD2HPaxD/ROS 7.16.1

[mnht8]

Поднял я 6to4 tunnel через Hurricane Electric, всё отлично работает, по секрету скажу - даже Ютуб ожил без танцев с бубном, как в старые добрые времена.

Добрый день! У меня все попытки прокинуть трафик через 6to4 tunnel были не успешны. Тест ipv6-test.com фейлится. Можете отписать как настраивали туннель? Можно в ЛС
MikroTik hAP ax³/C53UiG+5HPaxD2HPaxD/ROS 7.16.1

Могу завтра отписаться. А вы через что настраивали этот туннель?

[BorisB]

Добрый день! У меня все попытки прокинуть трафик через 6to4 tunnel были не успешны.

Да как то совсем просто получилось. Впрочем есть нюансы, касающиеся HE, очевидно появившиеся позже, которые в Интернетах на кириллице пока не описаны. Пришлось чуток поплясать с бубном и догадаться самому.

Для начала регистрируемся на сайте Hurricane Electric. И вот он, первый нюанс - используя общедоступный E-Mail типа mail@yandex.ru и даже mail@gmail.com, завести личный кабинет не получится! Нужен какой нибудь частный адрес, от Вашего местного провайдера к примеру. После регистрации в своём профиле адрес можно будет заменить на любой другой удобный, в т.ч. и "запрещённый" к использованию.

Таки зарегистрировались, создали "Create Regular Tunnel", бесплатно можно создать не больше двух тоннелей (раньше было больше). И вот второй нюанс - создать тоннель Routed/48 получится только спустя сутки после создания Routed/64. А использовать надо именно Routed/48, потому что на Routed/64 многие сайты реагируют как на публичный VPN сервис, хотя Микротик заточен как раз на /64. Но обойти это не сложно, достаточно в адрес добавить недостающую (любую на Ваш вкус, в моём примере ABCD) шестнадцатеричную цифру и использовать в настройках адрес с префиксом /64.
Было выдано: 2001:870:8321::/48
Заменяем на: 2001:870:8321:ABCD::/64

В закладке Example Configuration личного кабинета выбираем "Mikrotik" и получаем почти готовый пример конфигурации из командной строки, который надо немного подправить, учитывая и вышесказанное мной по поводу /48 ---> /64. После чего у меня всё заработало, тесты на IPv6 сайтах проходят.

[BorisB]

Так вроде как приоритетность ipv4 vs ipv6 определяется на клиентском устройстве. При чем тут роутер?

Пока так и вышел из положения. Но для этого подходит только браузер Firefox, в его настройках есть соответствующая опция - выставить приоритет IPv4. Но это не универсальное решение и касается только одного конкретного браузера на одной рабочей станции. Если речь идёт о локальной сети, то придётся ставить "лиса" на каждую и настраивать, а кто то его (к примеру я в их числе) терпеть не может

[BorisB]

берете список ip адресов домена ru и маркируете его что бы он ходил через локального провайдера к примеру можете воспользоваться https://mikrotikconfig.com/firewall/#address

Совет интересный, ссылка на ресурс замечательная, ещё пригодится. Но идею с маркировкой я не понял. В ROS ведь два отдельных фаирвола, для iPv4 cвой, а для IPv6 свой. Возможно я полный профан в настройке Mangle и это истинная правда, но всё таки... Разве можно создавать общие правила, действующие и "тут" и "там"?