IPv6 в локальной сети и второй роутер

[BorisB]

Имеем роутер Микротик, настроенный на раздачу клиентам локальной сети IPv6 адресов. От провайдера (DOM.RU) роутер получает префикс /64 на pppoe интерфейс и адвертайзит его в сеть. С клиентами Windows и Linux всё работает отлично, они получают все необходимые настройки. В локальную сеть подключен второй роутер в режиме bridge. Все порты объединены в мост и равноценны.

А вот собственно вопрос. В отличие от остальных клиентов, роутер не получает глобальный IPv6 адрес на интерфейс типа 2a02::, только локальный fe80::. Как заставить бридж получить все необходимые адреса?

P.S. Попытки поплясать с бубном, настраивая DHCPv6 клиента в разных возможных вариантах, дабы он присваивал бриджу необходимые адреса, ни к чему не привели. Да очевидно и не могли привести, ибо на первом роутере сервер DHCPv6 отключен. Но другие клиенты каким то образом получают все настройки!

[xvo]

Второй роутер тоже микротик?

[BorisB]

Второй роутер тоже микротик?

Разумеется, hEX lite (RB750r2). Прошивка последняя на данный момент 6.48.1. Иначе я бы написал вопрос в другой форум соответствующего производителя роутеров )))

P.S. В качестве эксперимента проделал то же самое, установив ROS под виртуальной машиной Oracle Virtual Box. Результат тот же, интерфейс, смотрящий в локальную сеть, не получает глобальный IPv6 адрес.

[imaoskol]

Имеем роутер Микротик, настроенный на раздачу клиентам локальной сети IPv6 адресов. От провайдера (DOM.RU) роутер получает префикс /64 на pppoe интерфейс и адвертайзит его в сеть. С клиентами Windows и Linux всё работает отлично, они получают все необходимые настройки. В локальную сеть подключен второй роутер в режиме bridge. Все порты объединены в мост и равноценны.

А вот собственно вопрос. В отличие от остальных клиентов, роутер не получает глобальный IPv6 адрес на интерфейс типа 2a02::, только локальный fe80::. Как заставить бридж получить все необходимые адреса?

P.S. Попытки поплясать с бубном, настраивая DHCPv6 клиента в разных возможных вариантах, дабы он присваивал бриджу необходимые адреса, ни к чему не привели. Да очевидно и не могли привести, ибо на первом роутере сервер DHCPv6 отключен. Но другие клиенты каким то образом получают все настройки!

Я искал у себя провайдера который бы мог дать ipv6. В итоге только Ростелеком (Москва) ответил что у них на уровне тестов и пока что они не могут предоставить интернет по ipv6 ( лето 2020)
Да и вопрос такой: для чего вам ipv6??? Далеко не все в России перешли на ipv6 же.... Как у Вас дела с инетом теперь обстоят, с открытием сайтов? Вопрос номер 2 и главный: ip адреса вы в локалку отдали, а как Вы решаете вопрос безопасности ( все клиенты имею глобальные адреса и соответственно нет никакого Nat) ??? Или у Вас это всё чисто из спортивного интереса, посмотреть как работает ipv6???

Теперь по поводу dhcpv6.
Я честно говоря в микротиках его не настраивал и не настраивал в боевых условиях... только на стенде на Cisco.
Вы же в курсе что такое SLAAC, что такое локальный адрес канала ( указанный Вами fe80::) ??
dhcpv6 разительно отличается от dhcpv4. Там варианты с отслеживанием состояния и без отслеживания. В ipv6 сети можно вообще получать параметры через протокол icmp --это назывется SLAAC.
Я думаю надо разобраться с мат частью по ipv6 в Микротиках для начала........Вики почитать!

[BorisB]

Я искал у себя провайдера который бы мог дать ipv6. В итоге только Ростелеком (Москва) ответил что у них на уровне тестов и пока что они не могут предоставить интернет по ipv6 (лето 2020)

Провайдер Дом.Ру. Работает в куче городов РФ и во многих выдаёт IPv6 уже несколько лет. Но выдаёт он префикс и только при подключении через PPPoE. Непосредственно на WAN Ethernet получить ни префикс, ни тем более фиксированный адрес с привязкой к DNS имени пока нельзя. Если интересно, как у меня настроено, могу прислать скриншоты панелей WinBox с пояснениями и инструкцию, по которой всё это сделал (но там префикс берётся у стороннего туннельного брокера и соответственно немного другие настройки).

Да и вопрос такой: для чего вам ipv6???

В первую очередь - разобраться, как оно работает и потренироваться с настройками. Хотя бы в основных моментах. Когда нибудь пригодится на практике, я так подозреваю. Кстати, в последних версиях ROS функция IP/Cloud (DDNS) привязывает к доменному имени Микротика его глобальный IPv6 адрес, смотрящий в Сеть, который априори является белым и к примеру позволяет получить удалённый доступ к роутеру, за какими бы провайдерскими натами он там не прятался с точки зрения IPv4. Пробовал, замечательно работает. Кстати подключался я удалённо с локальной сети, подключенной к провайдеру МТС по сотовому модему. Вот кстати ещё один поставщик 6-й версии IP, в Москве то МТС точно есть, но подробностей настройки не знаю. Там стоял уже преднастроенный брендированный модем от МТС, даже непонятно с какой начинкой внутри.

Как у Вас дела с инетом теперь обстоят, с открытием сайтов?

Видимых изменений никаких, ни в плане скорости, ни в плане доступности. Однако согласно содержимому окошка IPv6/Firewall/Connections, при посещении сайтов соединений по протоколу v6 возникает масса! Замечал v6 сиды при скачивании торрентов, хотя их совсем немного. Скоростные тесты показывают, что по IPv6 соединение с сайтами (особенно зарубежными) как правило быстрее, хотя бывает и наоборот.

Вопрос номер 2 и главный: ip адреса вы в локалку отдали, а как Вы решаете вопрос безопасности ( все клиенты имею глобальные адреса и соответственно нет никакого Nat) ???

Зато есть Firewall. Причём, если активировать в ROS пакет IPv6, а затем сбросить роутер к заводской конфигурации по умолчанию, то он сам пропишет в файрвол v6 кучу правил по умолчанию. Тут даже инструкций по настройке не потребовалось, хотя в Сети они есть, если поискать. Кстати, файрвол по умолчанию не даст удалённо подключиться к WinBox или HTTP панели роутера, надо ручками дописать правила и открыть порты на вход.
Клиенты Windows к тому же генерируют два глобальных адреса с учётом выданного провайдером префикса - SLAAC и некий временный, с него и работают, который периодически меняется (при перезагрузке клиента обязательно сменится случайным образом, проверял).

Вы же в курсе что такое SLAAC, что такое локальный адрес канала ( указанный Вами fe80::) ??

В моём варианте настройки глобальных адресов по SLAAC не используется. И не должны использоваться, ведь это адрес, сгенерированный с использованием MAC адреса интерфейса. А локальные, да, их ведь клиенты по SLAAC и генерят сами собой. Так вот в чём и состоит мой вопрос данной темы, как заставить подключенный в качестве клиента Микротик (точнее ROS) сгенерировать глобальный адрес на интерфейсе, смотрящем в локальную сеть, причём для эксперимента хотя бы пусть и SLAAC (хотя это снижает конфиденциальность).

[podarok66]

айрвол по умолчанию не даст удалённо подключиться к WinBox или HTTP панели роутера, надо ручками дописать правила и открыть порты на вход.

А вот с этого момента поподробнее. Какие правила прописали. Я с этим фаером никак разобраться не могу. И не вижу ососбых попыток ни у кого в сети. Основная масса комментаторов рассуждает о дефолтных правилах и ни слова о том минимуме, который нужен для фильтрации в локалке.
Кстати, обнаружил такую интересную штуку. У меня дома для детей настроена резка Youtube, после включения ipv6 на всех компах обнаружил, что Youtube мои ребятки опять свободно смотрят. Отключил у них на компах ipv6 - фильтрация опять стала работать как хотелось бы.
Так что если заводим в локалку ipv6, то вопросы с фаерволом становятся достаточно интересными и животрепещущими

[BorisB]

У меня дома для детей настроена резка Youtube, после включения ipv6 на всех компах обнаружил, что Youtube мои ребятки опять свободно смотрят.

Относительно моей темы конечно оффтоп полный, но постараюсь коротко подсказать. Если использовать способ блокировки ресурсов, описанный вот ЗДЕСЬ, то он будет работать как в IPv4, так и в IPv6. Разумеется создать одни и те же списки адресов и прописать правила forward drop придётся в обеих фаирволах. С тем различием, что если в IPv6 Вы захотите заблокировать выход с конкретного хоста, а не из локалки вообще, то придётся банить его не по IP (как написано в статье по ссылке), а по MAC адресу в закладке правила Advanced/Src. MAC Adress. Блокировка будет работать, даже если кроме этого правила фильтрации в файрволе IPv6 больше ничего не прописано вообще. Если же туда прописана так называемая стандартная рекомендуемая конфигурация (а это крайне желательно, тем более что она прописывается сама при сбросе роутера в заводские установки при активированном пакете IPv6), то надо поднять правило вверх.

[podarok66]

Относительно моей темы конечно оффтоп полный

А что у меня по вашему случаю? Да ничего, собственно

То же, что и вы описывали... Я не парюсь по этому поводу, на головной можно зайти, а там я уж как-нибудь просочусь.

[BorisB]

Да это понятно, в практической ситуации пока не нужно. Но хочется понять, чего же не хватает в ROS, что бы получить на смотрящий в локалку интерфейс второго роутера все те параметры, которые без проблем и каких либо дополнительных настроек получает клиент Windows, причём без всякого DHCPv6 сервера! Очевидно, что происходит это с помощью ICMPv6 протокола. Выходит в ROS попросту пока нет соответствующего механизма? Кстати, прошивал эту подопытную коробку ROS 7.1 beta4. Ничего нового в разделе IPv6 не обнаружил и ведёт она себя абсолютно аналогично, делегированный провайдером глобальный префикс и адреса DNSv6 от основного роутера не получает.

P.S. Глобальный адрес на интерфейс получить таки можно, прописав делегированный префикс вручную в IPv6/Pool и включив механизм EUI64. Но в моём случае после перезагрузки основного роутера провайдер выдаст другой префикс, клиенты Windows его без проблем получат и сгенерят другие правильные глобальные адреса, а вот в ROS всё разумеется тут же развалится.

[podarok66]

Да у меня вообще впечатление, что ipv6 при всех своих преимуществах чрезвычайно "нефальтикультяпистый", что ли. Это как стихи Ломоносова. Вот и муж сей умён зело, и стихосложение всем правилам отвечает, и словарный запас неплохой, а вот нет души в строках. Так и у ipv6, и нужен протокол, и вроде как решение рабочее, и основные игроки сети всячески одобряют и подталкивают, а вот не складывается картина во что-то целостное. Что-то сделанное гиком для таких же гиков... Нет желания взять и юзать только его.