Mikrotik. Тестування і налаштування IPv6.

 

Перевірити Ваше IPv6 підключення можна за цим посиланням   https://test-ipv6.com/

Налаштовувати IPv6 на Mikrotik зручніше через додаток Winbox. Необхідні вимоги:

  1. Ваш  провайдер повинен надає IPv6:
  2. Впевніться що MAC-адреса інтерфейсу, підключеного до провайдера збігається з DUID.
    1. Подивитися MAC-адреси: /interface ethernet print
    2. Подивитися DUID можна в DHCPv6 Client, він починається з «00030001» і далі йде MAC-адреса. Тобто якщо MAC-адреса порту «AA: 22: 33: 44: 55: 66» то DUID повинен бути «00030001AA2233445566»

 

Включаємо IPv6.

Відкриваємо System → Packages. Якщо пакет ІРv6 є в списку - включаємо його і перезавантажуємо роутер. Якщо немає - скачуємо з сайту, перетягуємо в список пакетів, включаємо, перезавантажуємо роутер.

 

Налаштовуємо IPv6

  1. Налаштовуємо DHCPv6 клієнт. Відкриваємо IPv6 → DHCP Client і створюємо новий запис:
    1. Interface - інтерфейс, через який підключений провайдер.
    2. Pool Name – будь-яке  зрозуміле Вам ім'я, наприклад ipv6-pool.
    3. Pool Prefix - 64
    4. Use Peer DNS – вмикаємо  якщо ми  збираємося використовувати DNS провайдера.
    5. Add Default Route – включаємо.

wcVplKIX1UkAgAAAABJRU5ErkJggg==

  1. Налаштовуємо IPv6 адресу. Відкриваємо IPv6 → Addresses і створюємо новий запис:
    1. Address - :: / 64.
    2. From Pool - ім'я пулу ipv6 адрес з попереднього пункту, у нашому випадку ipv6-pool.
    3. Interface - інтерфейс, який дивиться у домашню локальну мережу, у мене це міст bridge.
    4. EUI64 – включаємо.
    5. Advertise – включаємо.

 

BObktCzsq6vBj37wAMaOHoGs7CzaJ0lZ7kJeCNm2EBACQkAICAEhIARiBEwmA+rq6lFTvYf+56UoLS3FfwMdTmCO8R9b0AAAAABJRU5ErkJggg==

 

Після цього адреса :: / 64 на інтерфейсі bridge повинна  змінитися на отриману адресу з пулу. Якщо цього не відбулося, то слід перезапустити dhcpv6 client.

Тепер комп'ютери з внутрішньої мережі будуть отримувати адреси IPv6 і маршрути.

 

Базові налаштування Firewallv6.

Відкриваємо IPv6 → Firewall. Базові правила:

> /ipv6 firewall filter

> add chain=input action=drop connection-state=invalid

> add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER

> add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local

> add chain=input action=accept protocol=icmpv6 limit=50,5

> add chain=forward action=accept protocol=icmpv6 limit=50,5

> add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546

> add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER

> add chain=input action=drop

Де YOUR-PROVIDER - ім'я інтерфейсу провайдера.

 

Пояснення рядків:

2 рядок: блокувати всі «неправильні» з'єднання.

     2) 3-4 рядки: пропускати вже встановлені з'єднання.

   3) 5-6 рядки: пропускати ICMP-пакети, але обмежити ліміт.

    4) 7 рядок: дозволити з'єднання від вашого провайдера за протоколом UDP на порт 546 - без цього правила ви не отримаєте адресу IPv6 по DHCPv6 від провайдера

      5) 8 рядок: пропускати все з Вашої локальної мережі в Інтернет.

      6) 9-10 рядки: заблокувати все інше.

Якщо все зроблено вірно, то IPv6 DNS Google 2001: 4860: 4860 :: 8888 буде пінгуватися.

 

AGIc0ZzOHT7eAAAAAElFTkSuQmCC

 

Тестування на сайті https://test-ipv6.com/ покаже наступне:

 

bE3fr9F54arE2A62ChAAQpQgAIUoIC1BayStFk7KN6PAhSgAAUoQAEKSE2ASZvURpTxUIACFKAABSggSQEmbZIcVgZFAQpQgAIUoIDUBJi0SW1EGQ8FKEABClCAApIUYNImyWFlUBSgAAUoQAEKSE2ASZvURpTxUIACFKAABSggSQEmbZIcVgZFAQpQgAIUoIDUBJi0SW1EGQ8FKEABClCAApIU+ArYHY04lbTUHQAAAABJRU5ErkJggg==

 

==========================================================================

Проверьте ваше IPv6 подключение https://test-ipv6.com/

Настраивать удобнее через приложение Winbox
  • Ваш провайдер должен предоставлять IPv6
  • Необходимо удостовериться что MAC-адрес интерфейса, подключенного к провайдеру совпадает с DUID

Посмотреть MAC-адреса:

> /interface ethernet print

Посмотреть DUID можно в DHCPv6 Client, он начинается с «00030001» и далее идет MAC-адрес. Т.е. если MAC-адрес порта «AA:22:33:44:55:66» то DUID должен быть «00030001AA2233445566»

Открываем System → Packages. Если пакет ipv6 есть в списке - включаем его и перезагружаем роутер. Если нет - качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.

Открываем IPv6 → DHCP Client и создаем новую запись:

  • Interface - интерфейс, через который подключен провайдер.
  • Pool Name - любое понятное вам имя, например ipv6-pool
  • Pool Prefix - 64
  • Use Peer DNS - включаем если собираемся использовать DNS провайдера
  • Add Default Route - включаем

Открываем IPv6 → Addresses и создаем новую запись:

  • Address - ::/64
  • From Pool - имя пула ipv6 адресов из предыдущего пункта, в нашем случае ipv6-pool
  • Interface - интерфейс, который смотрит в домашнюю локальную сеть, у меня это мост bridge
  • EUI64 - включаем
  • Advertise - включаем

После этого адрес ::/64 на интерфейсе bridge должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.

Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.

Открываем IPv6 → Firewall

Базовые правила:

> /ipv6 firewall filter
> add chain=input action=drop connection-state=invalid 
> add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER
> add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local 
> add chain=input action=accept protocol=icmpv6 limit=50,5 
> add chain=forward action=accept protocol=icmpv6 limit=50,5 
> add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 
> add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER
> add chain=input action=drop 
> add chain=forward action=drop

Где YOUR-PROVIDER - имя интерфейса провайдера

Объяснение строк:

2 строка: блокировать все «неправильные» соединения

3-4 строки: пропускать уже установленные соединения

5-6 строки: пропускать ICMP-пакеты, но ограничить лимит

7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера

8 строка: пропускать все из вашей локальной сети в Интернет

9-10 строки: заблокировать все остальное

Если все сделано правильно, то IPv6 DNS Google 2001:4860:4860::8888 будет пинговаться:

Тестирование на сайте https://test-ipv6.com/ покажет следующее:

Деталі статті

Ідентифікатор статті:
22
Категорія:
Переглядів:
130
Рейтинг (Кількість голосів):
(2)