Как статичести настроить ipv6 на mikrotik?

Question

[Иван Тищенко]

Есть 2011UiAS-2HnD (ROS 6.23.3):
gate-ciat - основной шлюз
ether2-ether5, wlan - bridge-local

Провайдер предоставляет IPv6, но не имеет DHCP. (2a00:16:15::/64 - подсеть, 2a00:16:15::1- шлюз)

[Tihon@CIAT GATE] /ipv6>> address print 
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local 
 #    ADDRESS   FROM-POOL              INTERFACE                             ADVERTISE
 0 DL fe80::e38/64                       bridge-local           no       
 1 DL fe80::e37/64                       gate-ciat                no       
 2 DL fe80::0c/64                         gate-ukrtel              no       
 3 DL fe80::f0:1/64                       <pptp-Gusar>         no       
 4  G 2a00:16:15:0:1::/64               ether2-master-local          yes      
 5  G 2a00:16:15::2/64                  gate-ciat


[Tihon@CIAT GATE] /ipv6>> firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=drop protocol=tcp in-interface=gate-ciat dst-port=53
 log=no log-prefix="" 

 1    chain=input action=drop protocol=udp in-interface=gate-ciat dst-port=53 
log=no log-prefix="" 

 2    ;;; Allow limited ICMP
      chain=input action=accept protocol=icmpv6 limit=50/5s,5 log=no 
log-prefix="" 

 3    ;;; Allow established connections
      chain=input action=accept connection-state=!invalid log=no 
log-prefix="" 

 4    ;;; Allow UDP
      chain=input action=accept protocol=udp connection-state=!invalid 
log=no log-prefix="" 

 5    chain=input action=drop in-interface=gate-ciat log=no log-prefix="" 

 6    ;;; Allow any to internet
      chain=forward action=accept connection-state=established,related 
log=no log-prefix="" 

 7    chain=forward action=drop log=no log-prefix=""

[Tihon@CIAT GATE] /ipv6>> nd print 
Flags: X - disabled, I - invalid, * - default 
 0  * interface=all ra-interval=3m20s-10m ra-delay=3s mtu=unspecified 
reachable-time=1m retransmit-interval=unspecified ra-lifetime=30m hop-limit=64

[Tihon@CIAT GATE] /ipv6>> route print    
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, 
o - ospf, b - bgp, U - unreachable 
 #      DST-ADDRESS              GATEWAY                  DISTANCE
 0 A S  ::/0                     2a00:16:15::1                  1
 1 ADC  2a00:16:15::/64         bridge-local                    0
                                 gate-ciat

При этом все устройства за маршрутизатором видят лишь 2a00:16:15::/16, кроме 2a00:16:15::1.
Как настроить маршрутизацию для локальной сети, чтобы устройства получали маршрут в мир и принимать входящие соединения из мира?

На данный момент маршрут с компьютера за маршрутизатором выглядит так:
2a00:16:15::/64 dev enp1s0f0 proto ra metric 100

Answer 1

[Mystray]

А зачем вы вашу сеть вывесили сразу на два разных интерфейса? У вас ND Proxy используется?
К тому же, провайдеры как правило, выдают одну сеть для внутренних нужд клиента, и одну - для связи с роутером провайдера. Иногда внешняя сеть выдается автоматически посредством dhcpv6 и/или RA, если не указана явно.

Comments

[Иван Тищенко]

На интерфейсе уже имеется два IPv4. Потому ether2-ether5 с wan объединить - не получится. Внешняя сеть - автоматически не выдается. Провайдер в качестве конфигурации выдал лишь письмо с содержанием: 2a00:16:15::/64 - подсеть, 2a00:16:15::1- шлюз. Подскажите как нужно настроить mikrotik (в нем на текущий момент нет поддержки ND Proxy)?

[Mystray]

Если подключаться напрямую к кабелю провайдера и повесить себе адрес из a00:16:15::/64, то хост 2a00:16:15::1 в Neighbours становится видным? пингуется?

[Иван Тищенко]

Mystray: с маршрутизатора - пингуется, с локальных машин - нет.

[Mystray]

Tihon_V: Судя по всему вам затерминировали сеть на провайдерском маршрутизаторе.
С клиентских машин он и не будет пинговаться - он получается в другом L2-сегменте, тут либо делать бридж, и ограничивать его по протоколу, либо хитро натить, либо городить какие-нибудь ndpproxy на вашем роутере. Ну или еще какие костыли выдумывать.
Лучше же (что более правильно) попросить вторую /64 сеть, которая будет маршрутизироваться на ваш роутер, а уже он будет ее терминировать в локалку и анонсить/раздавать по дхцп.

[Иван Тищенко]

Спасибо. Так и решил с провайдером данный вопрос.

Answer 2

[Клёвый Админ]

Если я ничего не путаю, то достаточно добавить вот такие две записи:

одна - статический адрес на интерфейсе смотрящем в локальную сеть, со свойством публикации себя как роутера, вторая - раздача адресов в локальную сеть (думаю в контексте понятно что есть что).

Comments

[Иван Тищенко]

ND Prefix - указывается динамически при публикации адреса.

[Tihon@CIAT GATE] > ipv6 nd prefix print 
Flags: X - disabled, I - invalid, D - dynamic 
 0  D prefix=2a00:1688:5::/64 interface=bridge-local on-link=yes autonomous=yes valid-lifetime=4w2d preferred-lifetime=1w

ether2-master-local - уже так опубликован. Пакеты ходят лишь к шлюзу.

[Клёвый Админ]

Tihon_V: а что в разделе /ipv6 nd print? Похоже роутер себя не публикует в сеть корректно.

[Иван Тищенко]

Евгений Быченко:

[Tihon@CIAT GATE] > /ipv6 nd print 
Flags: X - disabled, I - invalid, * - default 
 0  * interface=ether2-master-local ra-interval=3m20s-10m ra-delay=6s 
      mtu=unspecified reachable-time=1m retransmit-interval=unspecified 
      ra-lifetime=30m hop-limit=64 advertise-mac-address=yes 
      advertise-dns=yes managed-address-configuration=no 
      other-configuration=no

[Клёвый Админ]

Tihon_V: выглядит как всё ок, свичи пропускают ipv6? если напрямую воткнуть ноут в МК что карта получяет?

[Иван Тищенко]

inet6 2a00:1688:6:0:a6db:30ff:fe4f:3025 prefixlen 64 scopeid 0x0
[Tihon@acer ~]$ ip -f inet6 route
2a00:1688:6::/64 dev wlp2s0 proto ra metric 600
fe80::/64 dev wlp2s0 proto kernel metric 256
default via fe80::20c:42ff:fe8b:e38 dev wlp2s0 proto static metric 600

[Клёвый Админ]

Tihon_V: погодите, а что по вашему не так? У вас default через LL адрес роутера - это нормально для ipv6 (рекомендуемая конфигурация использовать link-local адрес роутера в качестве dgw).

https://learningnetwork.cisco.com/thread/67929
"The use of the link-local for the default gateway is recommeded."

[Иван Тищенко]

Евгений Быченко: Спасибо, разобрался.