Имеем роутер Микротик, настроенный на раздачу клиентам локальной сети IPv6 адресов. От провайдера (DOM.RU) роутер получает префикс /64 на pppoe интерфейс и адвертайзит его в сеть. С клиентами Windows и Linux всё работает отлично, они получают все необходимые настройки. В локальную сеть подключен второй роутер в режиме bridge. Все порты объединены в мост и равноценны.
А вот собственно вопрос. В отличие от остальных клиентов, роутер не получает глобальный IPv6 адрес на интерфейс типа 2a02::, только локальный fe80::. Как заставить бридж получить все необходимые адреса?
P.S. Попытки поплясать с бубном, настраивая DHCPv6 клиента в разных возможных вариантах, дабы он присваивал бриджу необходимые адреса, ни к чему не привели. Да очевидно и не могли привести, ибо на первом роутере сервер DHCPv6 отключен. Но другие клиенты каким то образом получают все настройки!
IPv6 в локальной сети и второй роутер
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Второй роутер тоже микротик?
Telegram: @thexvo
-
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Разумеется, hEX lite (RB750r2). Прошивка последняя на данный момент 6.48.1. Иначе я бы написал вопрос в другой форум соответствующего производителя роутеров )))
P.S. В качестве эксперимента проделал то же самое, установив ROS под виртуальной машиной Oracle Virtual Box. Результат тот же, интерфейс, смотрящий в локальную сеть, не получает глобальный IPv6 адрес.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
BorisB писал(а): ↑16 фев 2021, 15:33 Имеем роутер Микротик, настроенный на раздачу клиентам локальной сети IPv6 адресов. От провайдера (DOM.RU) роутер получает префикс /64 на pppoe интерфейс и адвертайзит его в сеть. С клиентами Windows и Linux всё работает отлично, они получают все необходимые настройки. В локальную сеть подключен второй роутер в режиме bridge. Все порты объединены в мост и равноценны.
А вот собственно вопрос. В отличие от остальных клиентов, роутер не получает глобальный IPv6 адрес на интерфейс типа 2a02::, только локальный fe80::. Как заставить бридж получить все необходимые адреса?
P.S. Попытки поплясать с бубном, настраивая DHCPv6 клиента в разных возможных вариантах, дабы он присваивал бриджу необходимые адреса, ни к чему не привели. Да очевидно и не могли привести, ибо на первом роутере сервер DHCPv6 отключен. Но другие клиенты каким то образом получают все настройки!
Я искал у себя провайдера который бы мог дать ipv6. В итоге только Ростелеком (Москва) ответил что у них на уровне тестов и пока что они не могут предоставить интернет по ipv6 ( лето 2020)
Да и вопрос такой: для чего вам ipv6??? Далеко не все в России перешли на ipv6 же.... Как у Вас дела с инетом теперь обстоят, с открытием сайтов? Вопрос номер 2 и главный: ip адреса вы в локалку отдали, а как Вы решаете вопрос безопасности ( все клиенты имею глобальные адреса и соответственно нет никакого Nat) ??? Или у Вас это всё чисто из спортивного интереса, посмотреть как работает ipv6???
Теперь по поводу dhcpv6.
Я честно говоря в микротиках его не настраивал и не настраивал в боевых условиях... только на стенде на Cisco.
Вы же в курсе что такое SLAAC, что такое локальный адрес канала ( указанный Вами fe80::) ??
dhcpv6 разительно отличается от dhcpv4. Там варианты с отслеживанием состояния и без отслеживания. В ipv6 сети можно вообще получать параметры через протокол icmp --это назывется SLAAC.
Я думаю надо разобраться с мат частью по ipv6 в Микротиках для начала........Вики почитать!
-
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Провайдер Дом.Ру. Работает в куче городов РФ и во многих выдаёт IPv6 уже несколько лет. Но выдаёт он префикс и только при подключении через PPPoE. Непосредственно на WAN Ethernet получить ни префикс, ни тем более фиксированный адрес с привязкой к DNS имени пока нельзя. Если интересно, как у меня настроено, могу прислать скриншоты панелей WinBox с пояснениями и инструкцию, по которой всё это сделал (но там префикс берётся у стороннего туннельного брокера и соответственно немного другие настройки).Я искал у себя провайдера который бы мог дать ipv6. В итоге только Ростелеком (Москва) ответил что у них на уровне тестов и пока что они не могут предоставить интернет по ipv6 (лето 2020)
В первую очередь - разобраться, как оно работает и потренироваться с настройками. Хотя бы в основных моментах. Когда нибудь пригодится на практике, я так подозреваю. Кстати, в последних версиях ROS функция IP/Cloud (DDNS) привязывает к доменному имени Микротика его глобальный IPv6 адрес, смотрящий в Сеть, который априори является белым и к примеру позволяет получить удалённый доступ к роутеру, за какими бы провайдерскими натами он там не прятался с точки зрения IPv4. Пробовал, замечательно работает. Кстати подключался я удалённо с локальной сети, подключенной к провайдеру МТС по сотовому модему. Вот кстати ещё один поставщик 6-й версии IP, в Москве то МТС точно есть, но подробностей настройки не знаю. Там стоял уже преднастроенный брендированный модем от МТС, даже непонятно с какой начинкой внутри.Да и вопрос такой: для чего вам ipv6???
Видимых изменений никаких, ни в плане скорости, ни в плане доступности. Однако согласно содержимому окошка IPv6/Firewall/Connections, при посещении сайтов соединений по протоколу v6 возникает масса! Замечал v6 сиды при скачивании торрентов, хотя их совсем немного. Скоростные тесты показывают, что по IPv6 соединение с сайтами (особенно зарубежными) как правило быстрее, хотя бывает и наоборот.Как у Вас дела с инетом теперь обстоят, с открытием сайтов?
Зато есть Firewall. Причём, если активировать в ROS пакет IPv6, а затем сбросить роутер к заводской конфигурации по умолчанию, то он сам пропишет в файрвол v6 кучу правил по умолчанию. Тут даже инструкций по настройке не потребовалось, хотя в Сети они есть, если поискать. Кстати, файрвол по умолчанию не даст удалённо подключиться к WinBox или HTTP панели роутера, надо ручками дописать правила и открыть порты на вход.Вопрос номер 2 и главный: ip адреса вы в локалку отдали, а как Вы решаете вопрос безопасности ( все клиенты имею глобальные адреса и соответственно нет никакого Nat) ???
Клиенты Windows к тому же генерируют два глобальных адреса с учётом выданного провайдером префикса - SLAAC и некий временный, с него и работают, который периодически меняется (при перезагрузке клиента обязательно сменится случайным образом, проверял).
В моём варианте настройки глобальных адресов по SLAAC не используется. И не должны использоваться, ведь это адрес, сгенерированный с использованием MAC адреса интерфейса. А локальные, да, их ведь клиенты по SLAAC и генерят сами собой. Так вот в чём и состоит мой вопрос данной темы, как заставить подключенный в качестве клиента Микротик (точнее ROS) сгенерировать глобальный адрес на интерфейсе, смотрящем в локальную сеть, причём для эксперимента хотя бы пусть и SLAAC (хотя это снижает конфиденциальность).Вы же в курсе что такое SLAAC, что такое локальный адрес канала ( указанный Вами fe80::) ??
- podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А вот с этого момента поподробнее. Какие правила прописали. Я с этим фаером никак разобраться не могу. И не вижу ососбых попыток ни у кого в сети. Основная масса комментаторов рассуждает о дефолтных правилах и ни слова о том минимуме, который нужен для фильтрации в локалке.
Кстати, обнаружил такую интересную штуку. У меня дома для детей настроена резка Youtube, после включения ipv6 на всех компах обнаружил, что Youtube мои ребятки опять свободно смотрят. Отключил у них на компах ipv6 - фильтрация опять стала работать как хотелось бы.
Так что если заводим в локалку ipv6, то вопросы с фаерволом становятся достаточно интересными и животрепещущими
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Относительно моей темы конечно оффтоп полный, но постараюсь коротко подсказать. Если использовать способ блокировки ресурсов, описанный вот ЗДЕСЬ, то он будет работать как в IPv4, так и в IPv6. Разумеется создать одни и те же списки адресов и прописать правила forward drop придётся в обеих фаирволах. С тем различием, что если в IPv6 Вы захотите заблокировать выход с конкретного хоста, а не из локалки вообще, то придётся банить его не по IP (как написано в статье по ссылке), а по MAC адресу в закладке правила Advanced/Src. MAC Adress. Блокировка будет работать, даже если кроме этого правила фильтрации в файрволе IPv6 больше ничего не прописано вообще. Если же туда прописана так называемая стандартная рекомендуемая конфигурация (а это крайне желательно, тем более что она прописывается сама при сбросе роутера в заводские установки при активированном пакете IPv6), то надо поднять правило вверх.
- podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А что у меня по вашему случаю? Да ничего, собственно
То же, что и вы описывали... Я не парюсь по этому поводу, на головной можно зайти, а там я уж как-нибудь просочусь.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Да это понятно, в практической ситуации пока не нужно. Но хочется понять, чего же не хватает в ROS, что бы получить на смотрящий в локалку интерфейс второго роутера все те параметры, которые без проблем и каких либо дополнительных настроек получает клиент Windows, причём без всякого DHCPv6 сервера! Очевидно, что происходит это с помощью ICMPv6 протокола. Выходит в ROS попросту пока нет соответствующего механизма? Кстати, прошивал эту подопытную коробку ROS 7.1 beta4. Ничего нового в разделе IPv6 не обнаружил и ведёт она себя абсолютно аналогично, делегированный провайдером глобальный префикс и адреса DNSv6 от основного роутера не получает.
P.S. Глобальный адрес на интерфейс получить таки можно, прописав делегированный префикс вручную в IPv6/Pool и включив механизм EUI64. Но в моём случае после перезагрузки основного роутера провайдер выдаст другой префикс, клиенты Windows его без проблем получат и сгенерят другие правильные глобальные адреса, а вот в ROS всё разумеется тут же развалится.
P.S. Глобальный адрес на интерфейс получить таки можно, прописав делегированный префикс вручную в IPv6/Pool и включив механизм EUI64. Но в моём случае после перезагрузки основного роутера провайдер выдаст другой префикс, клиенты Windows его без проблем получат и сгенерят другие правильные глобальные адреса, а вот в ROS всё разумеется тут же развалится.
- podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да у меня вообще впечатление, что ipv6 при всех своих преимуществах чрезвычайно "нефальтикультяпистый", что ли. Это как стихи Ломоносова. Вот и муж сей умён зело, и стихосложение всем правилам отвечает, и словарный запас неплохой, а вот нет души в строках. Так и у ipv6, и нужен протокол, и вроде как решение рабочее, и основные игроки сети всячески одобряют и подталкивают, а вот не складывается картина во что-то целостное. Что-то сделанное гиком для таких же гиков... Нет желания взять и юзать только его.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...