DHCPv6 aneb jak snadno přijít o rozum

[travel21]

Ahoj všem,
vím že se to tady už okrajově řešilo, ale nějak z toho nejsem moudrý.

Je někdo, komu funguje DHCPv6 na mikrotiku? Já to zkouším už tři noci a jsem zralej na bohnice. Zatím je mi úplně jedno jestli přiděluje správně DNS nebo TIME atp. Zkrátka chtěl jsem mít kontrolu nad sítí tak jsem nechal povolen Advertisement a na lokální rozhraní jsem na zkoušku nastavil local unicast address fdab:c:d:9243::/64. Nastavil pool povolil DHCP v ND jsem zrušil Autonomous a povolil Managed Address Configuration. Ano linuxové stroje v mé síti správně nepožily autokonfiguraci což jsem chtěl a mají pouze link local address fe80xxxxx, až potud dobré ale to je všechno. V binding se mi žádné DUID neukazuje, takže to zřejmě nefunguje. Pro jistotu přikládám konfiguraci. V debianu stačí naistalovat quaggu a Isc-dhcp-server a všechno funguje do 10min. Proto nechápu proč je s tím v MK je takový problém. Nebo dělám někde chybu?

Address:

Kód: Vybrat vše

 #    ADDRESS                     FROM-POOL       INTERFACE         ADVERTISE
 0  G fdab:c:d:9243::/64                           bridge1              yes     
 1 DL fe80::4e5e:cff:fe70:c47e/64                  bridge1              no       
 2 DL fe80::4e5e:cff:fe70:c482/64                  ether5-gateway       no
 3 DL fe80::4e5e:cff:fe70:c480/64                  ether3               no


Pool:

Kód: Vybrat vše

 #   NAME           PREFIX                    PREFIX-LENGTH
 0   ipv6-pool   fdab:c:d:9243::/64                64


DHCPv6 server:

Kód: Vybrat vše

name="ipv6-server"
interface=bridge1
address-pool=ipv6-pool
lease-time=3d
authoritative=after-2sec-delay
binding-script=""
duid="000300014c5e0c70c47e"


ND:

Kód: Vybrat vše

interface=bridge1
ra-interval=3m20s-10m
ra-delay=3s mtu=unspecified
reachable-time=unspecified
retransmit-interval=unspecified
ra-lifetime=30m
hop-limit=unspecified
advertise-mac-address=yes
advertise-dns=yes
managed-address-configuration=yes
other-configuration=no


ND/Prefix

Kód: Vybrat vše

prefix=fdab:c:d:9243::/64
interface=bridge1
on-link=yes
autonomous=no
valid-lifetime=4w2d
preferred-lifetime=1w


Pokud by někdo věděl budu velmi vděčný. Vím že mohu použít autokonfiguraci ale ta neřeší vše, takže k ničemu.

Předem děkuji
Používám routerOS 6.33 na RB951Ui-2HnD

[TTcko]

IPv6 není IPv4 ..

máš to celý blbě

- globálni adresa cos dal na bridge1 není adresa ale prefix
- nemůžeš z rozsahu /64 chtít přidělovat /64 prefixy
- autokonfigurace je dobrá cesta, co neřeší?

[ludvik]

- autokonfigurace je dobrá cesta, co neřeší?

Třeba to, že vlastně naprosto netušíš, komu co přiděluješ ...

[travel21]

:-)

IPv6 není IPv4 ..

máš to celý blbě

- globálni adresa cos dal na bridge1 není adresa ale prefix
- nemůžeš z rozsahu /64 chtít přidělovat /64 prefixy
- autokonfigurace je dobrá cesta, co neřeší?

Aha, díky za upozornění, mám v tom pořád trochu hokej.

ipv6 kalkulačka mi ukazuje toto.

Adresa sítě - fdab:c:d:9243::/64
První adresa v síti - fdab:c:d:9243::

To je pro mě trochu zmatené. U ipv4 byla síť třeba 10.10.0.0/28 a první adresa 10.10.0.1/28

Takže oprava spočívá pouze v opravě globální adresy rozhraní bridge1 např. na fdab:c:d:9243::1/64?

Jinak s tou autokonfigurací je důvod právě to, že každý dostane dostane IP dle RA packetu a může brouzdat. Samozřejmě si ještě musí třeba ručně nastavit DNS a GW ale může. Když to ale chci nějak kontrolovat tak pak je DHCP dobré ale s vypnutou autokonfigurací. Na nějaké hotspoty nebo domácí síť ale nezpochybňuji výhody autokonfigu. Stejně ale neřeší vše, nebo už ano?

[Majklik]

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:c:d:9243:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

[travel21]

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:c:d:9243:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

Ok pak ale tedy nechápu proč se v pool nastavuje prefix a délka prefixu když ho koncová stanice vidí právě z RA. Pokud nejde nastavit MK tak abych třeba klientovi přidělil adresu na základě DUID třeba fdab:c:d:9243::10/64 tak je to úplně k ho...

Jestli to teda chápu dobře tak prefix v pool zařídí, že DHCP pošle na hosta prefix třeba fdab:c:d:9243:0000:0000:0000::/64 a zbytek se vygeneruje z čeho a kde? Na koncové stanici?

[Bach]

Majklik to píše správně.
Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

[Bach]

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:c:d:9243:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

Ok pak ale tedy nechápu proč se v pool nastavuje prefix a délka prefixu když ho koncová stanice vidí právě z RA. Pokud nejde nastavit MK tak abych třeba klientovi přidělil adresu na základě DUID třeba fdab:c:d:9243::10/64 tak je to úplně k ho...

Jestli to teda chápu dobře tak prefix v pool zařídí, že DHCP pošle na usera prefix třeba fdab:c:d:9243:0000:0000:0000::/64 a zbytek se vygeneruje z čeho a kde? Na koncové stanici?

Do poolu dáváš z jak velkého segmentu se mají rozsekat jak velké segmenty

Zbytek vygenerujes na LAN části routeru pomocí EUI64

[travel21]

Majklik to píše správně.
Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Na spojovačku by ale měl stačit link local address? Nebo ten je jen pro příchozí spojení? na managment?

[travel21]

Majklik to píše správně.
Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.
Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

[Bach]

Majklik to píše správně.
Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.
Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

Nastavení klientského mikrotika:
RB750:
ipv6 dhcp-client
add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no
ipv6 address
add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

[travel21]

Majklik to píše správně.
Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.
Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

Nastavení klientského mikrotika:
RB750:
ipv6 dhcp-client
add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no
ipv6 address
add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

Dobře pokud ale mám povolen RA na hlavním MK a autokonfiguraci tak bych na opozitu nemusel používat DHCP6-klienta? Klientský router by na WAN měl použít autokonfiguraci, tedy prefix halvního routeru doplněn o EUI64 ze své MAC?

[Bach]

A nastaveni na straně A:

/ipv6 dhcp-server
add address-pool=pool1 authoritative=yes disabled=no interface=sit lease-time=1d name=server1
/ipv6 pool
add name=pool1 prefix=2a02:17a0:xxxx:xxxx::/59 prefix-length=64
- každej klient dostane nějakou /64 z toho /59 range

/ipv6 address
add address=2a02:17a0:xxxx::xxxx/64 interface=sit

A zápis klienta, padaji tam dynamicky,ale je lepsi si udelat z toho statiku
/ipv6 dhcp-server binding
add address=2a02:17a0:xxxx:2009::/64 disabled=no duid=0x1111111111 iaid=1 life-time=1d


/ipv6 nd
set [ find default=yes ] advertise-dns=yes
/ipv6 nd prefix
add interface=ether1 prefix=2a02:17a0::/32

[Bach]

Tohle je zajímavé řešení.
Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

Nastavení klientského mikrotika:
RB750:
ipv6 dhcp-client
add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no
ipv6 address
add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

Dobře pokud ale mám povolen RA na hlavním MK a autokonfiguraci tak bych na opozitu nemusel používat DHCP6-klienta? Klientský router by na WAN měl použít autokonfiguraci, tedy prefix halvního routeru doplněn o EUI64 ze své MAC?

Tím definuji, že dostanu pool-name=IPv6lan , kterej použiju do vnitřní sítě.

[Bach]

Řešeních bude samozřejmě vícero, tohle je moje nasazení s DHCP6-PD na mikrotiku. Jinak jako klienty jsem už vyzkoušel několik druhů zařízení (MK, Genexis, Dlink, Gaoke,...) a funguje to.