Squid IPv6 always_direct

,
1

есть squid 3.5.28

dns_v4_first off
acl to_ipv4 dst ipv4
acl to_ipv6 dst ipv6

http_access allow to_ipv4 !all
http_access allow to_ipv6 !all

always_direct allow to_ipv6 C0NNECT
always_direct deny to_ipv6 !C0NNECT
never_direct allow to_ipv6 !C0NNECT
never_direct deny to_ipv6 C0NNECT

dns прописанный в конфиге отдает нормально и A и AAAA
но часть доменов где есть и IPv6 и IPv4 почемуто соединяется по IPv4
TCP_TUNNEL/200 HIER_DIRECT/update.jdownloader.org\136.243.5.58
TCP_TUNNEL/200 HIER_DIRECT/egress.yandex.net\87.250.251.42

хотя по старым логам
HIER_DIRECT/update.jdownloader.org\2a01:4f8:211:1e8d::2
HIER_DIRECT/egress.yandex.net\2a02:6b8::299

пытался добавить
tcp_outgoing_address 192.168.1.111 to_ipv4
tcp_outgoing_address 192.168.1.111 !to_ipv6

не помогло

2

удивительное рядом. не знаю помогло ли реально или временно “как надо” заработало. пока что в HIER_DIRECT только IPv6 адреса серверов как и задумывалось

стало
dns_nameservers ::1 fe80::111

было
dns_nameservers 127.0.0.1 ::1 192.168.1.111 fe80::111

3

да они издеваются ;)))
называется отключил IPv6 пока с роутером проблемы

p.s. fe80:: нужны. так что не могу отключить IPv6 “совсем”

dns_v4_first on

dns_nameservers 127.0.3.1 127.0.0.1

acl to_ipv4 dst ipv4
acl to_ipv6 dst ipv6

http_access deny to_ipv4 !all
http_access deny to_ipv6 !all

# я уже реально не знаю что ему "надо" .....
tcp_outgoing_address 192.168.1.111
tcp_outgoing_address 192.168.1.111 to_ipv6
tcp_outgoing_address 192.168.1.111 all

never_direct allow to_ipv6
always_direct deny to_ipv6

# здесь как раз ya.ru / yandex.ru / yandex.net / etc
always_direct allow proxy3direct C0NNECT
never_direct deny proxy3direct C0NNECT

это было

2025.04.10/00:08:56 192.168.1.111 TCP_TUNNEL/200 HIER_DIRECT/ya.ru\2a02:6b8::2:242 ya.ru:443 CONNECT 39195(ms) 39(byte)

2025.04.10/00:29:04 127.0.0.1 TCP_TUNNEL/200 HIER_DIRECT/yandex.ru\2a02:6b8:a::a yandex.ru:443 CONNECT 14996(ms) 39(byte

это стало

2025.04.10/00:38:12 127.0.0.1 TCP_TUNNEL/200 HIER_DIRECT/2ip.ru\188.40.167.82 2ip.ru:443 CONNECT 546(ms) 3940(byte)

2025.04.10/00:38:20 127.0.0.1 TCP_TUNNEL/200 FIRSTUP_PARENT/Warp\192.168.0.111 yandex.ru:443 CONNECT 349(ms) 6155(byte)

2025.04.10/00:38:23 127.0.0.1 TCP_TUNNEL/200 FIRSTUP_PARENT/Warp\192.168.0.111 ya.ru:443 CONNECT 362(ms) 6120(byte)

4

для разных тестов/скриптов

“C:\ProgramData\chocolatey\bin\dig.exe” @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6

dig @ns1.google.com TXT o-o.myaddr.l.google.com +short -6

dig @2606:4700:4700::1111 whoami.cloudflare ch txt -6 +short

curl
https://ipv6.2ip.io/
https://api6.ipify.org/
https://6.ident.me/
https://ipv6.icanhazip.com/

5

@nicolasDmit

не знаю как у других. у меня на https://packages.diladele.com/squid/4.14/squid.msi
(хотя мой версии 3.5.28)
2+ прокси (только http/https. privoxy как раз стоит для http->socks5 VPN)
всё что RU IPv4 напрямую. остальное через opera-proxy и privoxy (vpn)

cache_peer 127.0.0.1 parent 8118 0 no-query no-digest no-netdb-exchange connect-fail-limit=10 max-conn=256 name=Privoxy proxy-only

cache_peer 192.168.1.111 parent 18080 0 no-query no-digest no-netdb-exchange connect-fail-limit=10 max-conn=256 name=Opera proxy-only

acl CONNECT method CONNECT
acl C0NNECT method CONNECT

acl RU1_IP dst “/etc/squid/_RU.txt”

always_direct allow RU1_IP
never_direct deny RU1_IP

cache_peer_access Opera allow C0NNECT
cache_peer_access Privoxy allow !C0NNECT

never_direct allow all
always_direct deny all

_ru.txt список “рф” чтото вроде

https://github.com/herrbischoff/country-ip-blocks/raw/master/ipv4/ru.cidr
или
curl "https://stat.ripe.net/data/country-resource-list/data.json?resource=RU" | jq-windows-amd64.exe -r ".data.resources.ipv4 | .[]" > ru.txt

но как минимум все забаненые РФ ресурсы тоже будут ломится через РКН бан
так что надо добавлять еще что то вроде
(перед RU IP)

acl proxy8PKH dstdomain “/etc/squid/_8_PKH.LST”

cache_peer_access Opera allow proxy8PKH C0NNECT
cache_peer_access Privoxy allow proxy8PKH !C0NNECT

never_direct allow proxy8PKH
always_direct deny proxy8PKH

PKH листы разные
пример

curl --etag-compare ETAG_etag_antizapret.txt --etag-save ETAG_etag_antizapret.txt^
–output PKH2.txt https://p.thenewone.lol:8443/domains-export.txt

curl --etag-compare ETAG_etag_bolvan.txt --etag-save ETAG_etag_bolvan.txt^
–output PKH4.txt https://raw.githubusercontent.com/bol-van/rulist/main/reestr_hostname_resolvable.txt

curl --etag-compare ETAG_etag_PKH8.txt --etag-save ETAG_etag_PKH8.txt^
–output PKH8.txt https://raw.githubusercontent.com/1andrevich/Re-filter-lists/refs/heads/main/domains_all.lst

6

@KDS
как временный вариант.

всё что ресолвит ДНС и совпадает с DST (CIDR)
попадает или в любые http прокси (warp/etc)
или Privoxy - Home Page

forward-socks5 		/ 		127.0.0.1:9090 .
forward-socks5 		:443 		127.0.0.1:9090 .
forward-socks5 		:80 		127.0.0.1:9090 .

forward-socks5 		.ru/		127.0.0.1:9090 .
forward			.ru:443 	.
forward-socks5 		.ru:80 		127.0.0.1:9090 .

#      To chain Privoxy and Tor, both running on the same system, you
#      would use something like:
#        forward-socks5t   /               127.0.0.1:9050 .

squid.conf


cache_peer 127.0.0.1 parent 8118 0 name=Privoxy no-query no-digest no-netdb-exchange connect-fail-limit=10 max-conn=256 proxy-only

#acl PKH_IP dst "/etc/squid/_cloudflare_IPv4.txt"
#acl PKH_IP dst "/etc/squid/_cloudflare_IPv6.txt"
acl PKH_IP dst "/etc/squid/_cloudflare_AS13335.txt"

cache_peer_access Privoxy allow PKH_IP

never_direct allow PKH_IP
always_direct deny PKH_IP

always_direct allow all
never_direct deny all

prefer_direct on
balance_on_multiple_ip on
dns_v4_first on

# нужны dnscrypt / Technitum / dnsproxy(adguard) / etc
# для DoT/DoH//dnscrypt
# squid только UDP умеет.
dns_nameservers 127.0.3.1 127.0.0.1