Как добавить дополнительный ipv6 маршрут routeros?

Question

[alexdora]

Есть 2 интерфейса

ether1 и wg1

ether1 - выход в интернет и там провайдер раздает ipv6. Я успешно словил адрес и выдаю из pool внутренним клиентам

wg1 - интерфейс Wireguard, там прописал 2001:db8::1/64 и на той стороне адрес 2001:db8::2/64. На второй стороне включил FORWARD (ч.к настроил его как нат).

При попытке ping с микротика используя интерфейс %wg внешнего ресурса ipv6 - все работает. Т.е маршрутизация настроена верно.

Мне надо чтобы некоторые сети ipv6 с клиентов моей локальной сети ходили через туннель. Добавил тестовый маршрут

2606:4700:4400::/64 %wg

Как только я его добавляю на микротик, с локальной сети пинги на эти адреса сразу анричибл (при этом сам микротик при пинге этого этого же адреса через интерфейс нормально пингует. Что я делаю не так?

Пс: 2001:db8::1/64 и ::2 с локальной сети тоже не пингуются. Фаерволл открыт. Добавлял 2001:db8::1/64 на интерфейс bridge дополнительно….ну 1 пингуется, удаленный хост нет. Роутер ос нормально добавил сам маршрут на подсеть 2001:db8::/64 сам

Answer 1

[Conteo]

Сорснат прописан?
/ipv6/firewall/nat add chain=srcnat action=masquerade out-interface=wg1
или
/ipv6/firewall/nat add chain=srcnat action=src-nat to-address=2001:db8::2/128

Comments

[alexdora]

Нет, но я прописал. Там же маскарад не нужен т.к WG делает Site2Site, т.е в любом случае машины в локалке получают свой IP. Чуть выше ответ и там комментарии есть, я скидывал роут и прочее

Прописал и это не решило проблемы.

[alexdora]

На пинг с локальной машины вот так идет:

ping6 2001:db8::2
PING6(56=40+8+8 bytes) 2001:db8::e805:46:e493:ca5a --> 2001:db8::2

Т.е отсюда видно что локальная машина получила свой какой-то адрес. НО увы пинг не проходит от локальной машины

Answer 2

[Дмитрий]

Как ведет себя trace при этом?
Попробуйте также указать маршрут не через интерфейс wg а через IP явно

Comments

[alexdora]

Когда ставишь в маршрут ip адрес ::2 как шлюз, он сразу присваивает маршруту inactive. Тоже это пробовал.

По поводу трейса, через провайдера окей, но при включении маршрута он просто бесконечные звезды пишет. Т.е там ему якобы никто не отвечает

С самого роутера трейс работает как надо и идет через туннель без выбора интерфейса и показывает все точки до конечного узла в том числе ::2

[Дмитрий]

А какой адрес у локального шлюза? Не пересекаются ли маски?

[alexdora]

[alexdora]

Вроде как бэ нет

[alexdora]

Единственное что я заметил, что я поставил 2001:db8::1/64 для интерфейса bridge в Advertise. И он пингуется и даже выдан адрес для локальной машины с которой пинг идет.

ping6 2001:db8::
PING6(56=40+8+8 bytes) 2001:db8::e805:46:e493:ca5a --> 2001:db8::
16 bytes from 2001:db8::1, icmp_seq=0 hlim=62 time=12.051 ms
16 bytes from 2001:db8::1, icmp_seq=1 hlim=62 time=10.847 ms
16 bytes from 2001:db8::1, icmp_seq=2 hlim=62 time=9.768 ms
16 bytes from 2001:db8::1, icmp_seq=3 hlim=62 time=10.335 ms

Удивляет только время, которое не ±1мс, а как раз задержка в туннеле
Но я если честно логики не особо понимаю в данном случае

[Дмитрий]

alexdora, на удаленном конце WG указан маршрут до локальной сетки через WG? Может быть что его и не хватает.
Плюс бридж с адресацией WG избыточен

[alexdora]

Дмитрий, DAC+ там на бридж маршрут, это маршрут созданный самим RouterOS

[alexdora]

Дмитрий, Да, посмотрел на удаленке и там прописан маршрут до локалки через интерфейс WG.

[Conteo]

Что вы пытаетесь сделать? Выйти наружу через другой конец тоннеля или достучаться до клиентов из 64 подсети на той стороны туннеля?

[alexdora]

Conteo, Я хочу чтоб маршруты которые я указал в ROuterOS улетали в туннель (маршруты внешние ipv6)

[Conteo]

alexdora, Маршруты по туннелям не летают. На вопрос выше вы не ответили.

[Дмитрий]

alexdora, Хочется увидеть трейс до нужной сети за WG - есть ненулевая вероятность что ipv6 не умеет в НАТ и одного форвардинга не хватает, т.к. ответные пакеты идут по глобальному роутингу к вашему провайдеру, который вам предоставил ipv6 и эти пакеты отбрасываются как некорректные, т.к .пришли не стой стороны