Mikrotik. Тестування і налаштування IPv6.
Перевірити Ваше IPv6 підключення можна за цим посиланням https://test-ipv6.com/
Налаштовувати IPv6 на Mikrotik зручніше через додаток Winbox. Необхідні вимоги:
- Ваш провайдер повинен надає IPv6:
- Впевніться що MAC-адреса інтерфейсу, підключеного до провайдера збігається з DUID.
- Подивитися MAC-адреси: /interface ethernet print
- Подивитися DUID можна в DHCPv6 Client, він починається з «00030001» і далі йде MAC-адреса. Тобто якщо MAC-адреса порту «AA: 22: 33: 44: 55: 66» то DUID повинен бути «00030001AA2233445566»
Включаємо IPv6.
Відкриваємо System → Packages. Якщо пакет ІРv6 є в списку - включаємо його і перезавантажуємо роутер. Якщо немає - скачуємо з сайту, перетягуємо в список пакетів, включаємо, перезавантажуємо роутер.
Налаштовуємо IPv6
- Налаштовуємо DHCPv6 клієнт. Відкриваємо IPv6 → DHCP Client і створюємо новий запис:
- Interface - інтерфейс, через який підключений провайдер.
- Pool Name – будь-яке зрозуміле Вам ім'я, наприклад ipv6-pool.
- Pool Prefix - 64
- Use Peer DNS – вмикаємо якщо ми збираємося використовувати DNS провайдера.
- Add Default Route – включаємо.
- Налаштовуємо IPv6 адресу. Відкриваємо IPv6 → Addresses і створюємо новий запис:
- Address - :: / 64.
- From Pool - ім'я пулу ipv6 адрес з попереднього пункту, у нашому випадку ipv6-pool.
- Interface - інтерфейс, який дивиться у домашню локальну мережу, у мене це міст bridge.
- EUI64 – включаємо.
- Advertise – включаємо.
Після цього адреса :: / 64 на інтерфейсі bridge повинна змінитися на отриману адресу з пулу. Якщо цього не відбулося, то слід перезапустити dhcpv6 client.
Тепер комп'ютери з внутрішньої мережі будуть отримувати адреси IPv6 і маршрути.
Базові налаштування Firewallv6.
Відкриваємо IPv6 → Firewall. Базові правила:
> /ipv6 firewall filter
> add chain=input action=drop connection-state=invalid
> add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER
> add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local
> add chain=input action=accept protocol=icmpv6 limit=50,5
> add chain=forward action=accept protocol=icmpv6 limit=50,5
> add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546
> add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER
> add chain=input action=drop
Де YOUR-PROVIDER - ім'я інтерфейсу провайдера.
Пояснення рядків:
2 рядок: блокувати всі «неправильні» з'єднання.
2) 3-4 рядки: пропускати вже встановлені з'єднання.
3) 5-6 рядки: пропускати ICMP-пакети, але обмежити ліміт.
4) 7 рядок: дозволити з'єднання від вашого провайдера за протоколом UDP на порт 546 - без цього правила ви не отримаєте адресу IPv6 по DHCPv6 від провайдера
5) 8 рядок: пропускати все з Вашої локальної мережі в Інтернет.
6) 9-10 рядки: заблокувати все інше.
Якщо все зроблено вірно, то IPv6 DNS Google 2001: 4860: 4860 :: 8888 буде пінгуватися.
Тестування на сайті https://test-ipv6.com/ покаже наступне:
==========================================================================
Проверьте ваше IPv6 подключение https://test-ipv6.com/
Mikrotik: включаем IPv6
Требования
-
Ваш провайдер должен предоставлять IPv6
-
Необходимо удостовериться что MAC-адрес интерфейса, подключенного к провайдеру совпадает с DUID
Посмотреть MAC-адреса:
> /interface ethernet print
Посмотреть DUID можно в DHCPv6 Client, он начинается с «00030001» и далее идет MAC-адрес. Т.е. если MAC-адрес порта «AA:22:33:44:55:66» то DUID должен быть «00030001AA2233445566»
Включаем
Открываем System → Packages. Если пакет ipv6 есть в списке - включаем его и перезагружаем роутер. Если нет - качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.
Настраиваем
Настраиваем DHCPv6 клиент
Открываем IPv6 → DHCP Client и создаем новую запись:
-
Interface - интерфейс, через который подключен провайдер.
-
Pool Name - любое понятное вам имя, например ipv6-pool
-
Pool Prefix - 64
-
Use Peer DNS - включаем если собираемся использовать DNS провайдера
-
Add Default Route - включаем
Настраиваем IPv6 адрес
Открываем IPv6 → Addresses и создаем новую запись:
-
Address - ::/64
-
From Pool - имя пула ipv6 адресов из предыдущего пункта, в нашем случае ipv6-pool
-
Interface - интерфейс, который смотрит в домашнюю локальную сеть, у меня это мост bridge
-
EUI64 - включаем
-
Advertise - включаем
После этого адрес ::/64 на интерфейсе bridge должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.
Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.
Базовая настройка Firewallv6
Открываем IPv6 → Firewall
Базовые правила:
> /ipv6 firewall filter > add chain=input action=drop connection-state=invalid > add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER > add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local > add chain=input action=accept protocol=icmpv6 limit=50,5 > add chain=forward action=accept protocol=icmpv6 limit=50,5 > add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 > add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER > add chain=input action=drop > add chain=forward action=drop
Где YOUR-PROVIDER - имя интерфейса провайдера
Объяснение строк:
2 строка: блокировать все «неправильные» соединения
3-4 строки: пропускать уже установленные соединения
5-6 строки: пропускать ICMP-пакеты, но ограничить лимит
7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера
8 строка: пропускать все из вашей локальной сети в Интернет
9-10 строки: заблокировать все остальное
Если все сделано правильно, то IPv6 DNS Google 2001:4860:4860::8888 будет пинговаться:
Тестирование на сайте https://test-ipv6.com/ покажет следующее:
