Dobrý den,
prosím o radu.
Na mikrotiku mám rozeběhlou IPv6, kterou bych rád dostal přes IPv4 VPN - L2TP. Ve vnitřní síti IPv6 funguje bez problému, ale přes VPN se nedaří dostat.
K VPN se přihlašuji z MACů, iPhonu a Androidu.
Díky.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
IPv6 skrz IPv4 VPN (L2TP+IPSec)
ROS to umí, u některých vyjmenovaných klientů si nejsem jist. Win klienti s tím nemají nejmenší problém:
Profil vpn-rw má zapnuté IPv6, přidelěný pool pool-dhcp6pd je primárě proto, aby se pustil nad tím tuelem DHCPv6 server pro předání DNS IPv6 adres, uživatel má nastaven prefix, který se má na jeho připojení použít (fdab:c:d:9100::/64), musí být zpnut ND pro interface ALL, aby se dynamicky přidal na VPN připojení. To dál je jen kvůli bezestavovému DHCPv6, aby Win klient dostal IPv6 adresu pro DNS server.
Takže je jen potřeba mít dostatečný počet IPv6 prefixů, protože každé aktivní VPN připojení uvnitř kterého má jen IPv6 potřebuje sůj segment /64 (a minimálně další jeden potřebuješ pro vlastní LAN).
Kód: Vybrat vše
/ppp profile
add change-tcp-mss=yes dhcpv6-pd-pool=pool-dhcp6pd local-address=10.84.0.177 name=vpn-rw only-one=yes use-compression=no use-encryption=no use-mpls=no
/ppp secret
add name=clovek password=Heslo profile=vpn-rw remote-address=10.84.0.184 remote-ipv6-prefix=fdab:c:d:9100::/64 service=l2tp
/ipv6 nd
set [ find default=yes ] advertise-dns=yes other-configuration=yes
/ipv6 pool
add name=pool-dhcp6pd prefix=fdab:c:d:9200::/59 prefix-length=64
/ipv6 dhcp-server
add interface=bridge-lan lease-time=1d name=dhcp6-lan
/ip dns
set allow-remote-requests=yes cache-max-ttl=30m servers=8.8.8.8,2001:4860:4860::8888
Profil vpn-rw má zapnuté IPv6, přidelěný pool pool-dhcp6pd je primárě proto, aby se pustil nad tím tuelem DHCPv6 server pro předání DNS IPv6 adres, uživatel má nastaven prefix, který se má na jeho připojení použít (fdab:c:d:9100::/64), musí být zpnut ND pro interface ALL, aby se dynamicky přidal na VPN připojení. To dál je jen kvůli bezestavovému DHCPv6, aby Win klient dostal IPv6 adresu pro DNS server.
Takže je jen potřeba mít dostatečný počet IPv6 prefixů, protože každé aktivní VPN připojení uvnitř kterého má jen IPv6 potřebuje sůj segment /64 (a minimálně další jeden potřebuješ pro vlastní LAN).
0 x
Kód: Vybrat vše
/ipv6 dhcp-server
add interface=Bridge1-NET lease-time=1d name=server1
/ipv6 pool
add name=pool6 prefix=2a00:1268:10:6010::/64 prefix-length=64
/ipv6 nd
set [ find default=yes ] advertise-dns=yes other-configuration=yes
/ipv6 route
add distance=1 gateway=2a00:1268:10:60ff::1
/ppp profile
add change-tcp-mss=yes dhcpv6-pd-pool=pool6 dns-server=192.168.254.254 local-address=192.168.254.254 name=VPN only-one=yes remote-address=vpn_pool4 \
use-compression=no use-encryption=required use-mpls=no use-upnp=no
/ppp secret
add name=JMENO password=HESLO profile=VPN remote-ipv6-prefix=2a00:1268:10:6011::/64 service=l2tpStale mi to nejde... Mam prideleny prefix /56. Vnitrni sit mam resenou pres Advertise, dhcp6 server vpn vytvori automaticky - potrebuji mit jeste vytvoreny extra rucne?
0 x
Jak jsem psal, mám pochybnost, zda uvedení klienti umí IPv6 uvnitř VPN. Testnul bych si to prvně s Win7..10, který funguje naprosto OK.
DHCPv6 server netřeba přidávat ručně, pokud se automatikcy přidal. Konfiguruje se to také přes advertise, to DHCPv6 je jen kvůli poslání IPv6 adres DNS serverů (pokud je pod /ip dns nějaká uvedena).
Podstatné je, zda při připojení klienta se pod /ipv6 nd prefixes objeví dynamicky přidaný prefix pro VPN klienta (2a00:1268:10:6011::/64 dle té konfigurace). Pokud ne, tak konfigurace IPv6 na VPNce nepojede.
DHCPv6 server netřeba přidávat ručně, pokud se automatikcy přidal. Konfiguruje se to také přes advertise, to DHCPv6 je jen kvůli poslání IPv6 adres DNS serverů (pokud je pod /ip dns nějaká uvedena).
Podstatné je, zda při připojení klienta se pod /ipv6 nd prefixes objeví dynamicky přidaný prefix pro VPN klienta (2a00:1268:10:6011::/64 dle té konfigurace). Pokud ne, tak konfigurace IPv6 na VPNce nepojede.
0 x
U MACa se DHCP po navazani VPN vytvori automaticky, prefix je videt v poolu i v ND. DNS mam jak ipv6, tak ipv4. V addreses se prida pouze DL fe80::f0:32/64.
U anrdoidu funguje IPv6 ve vnitrni siti, ale pres VPN se ani dynamicky prefix nevytvori...
Kazdopadne diky za pomoc. Jestli se to jiz konfiguraci ROS neda ovlivnit, zkusim WIN a hledat na strane MACa.
U anrdoidu funguje IPv6 ve vnitrni siti, ale pres VPN se ani dynamicky prefix nevytvori...
Kazdopadne diky za pomoc. Jestli se to jiz konfiguraci ROS neda ovlivnit, zkusim WIN a hledat na strane MACa.
0 x
david86 píše:U MACa se DHCP po navazani VPN vytvori automaticky, prefix je videt v poolu i v ND. DNS mam jak ipv6, tak ipv4. V addreses se prida pouze DL fe80::f0:32/64.
U anrdoidu funguje IPv6 ve vnitrni siti, ale pres VPN se ani dynamicky prefix nevytvori...
Kazdopadne diky za pomoc. Jestli se to jiz konfiguraci ROS neda ovlivnit, zkusim WIN a hledat na strane MACa.
sudo ipconfig set "ppp0" AUTOMATIC-V6
0 x
Super posunul jsem se dal.
Uz dostanu prefixlen 64 detached autoconf a prefixlen 64 detached autoconf temporary, MACa si z mikrotiku pingu. Ale ted jsem se zasekl na routovani.
U VPN ipv4 mam nastavenou v profilu adresu, ktera slouzi jako brana. U IPv6 nic takoveho nemam, jak je to v tomto pripade s vychozi branou?
Sestka mi momentalne funguje pouze v ramci subnetu. Do routovaci tabulky mikrotiku se prefix dynamicky pridal.
Uz dostanu prefixlen 64 detached autoconf a prefixlen 64 detached autoconf temporary, MACa si z mikrotiku pingu. Ale ted jsem se zasekl na routovani.
U VPN ipv4 mam nastavenou v profilu adresu, ktera slouzi jako brana. U IPv6 nic takoveho nemam, jak je to v tomto pripade s vychozi branou?
Sestka mi momentalne funguje pouze v ramci subnetu. Do routovaci tabulky mikrotiku se prefix dynamicky pridal.
0 x
Že by:
sudo route add -inet6 default -interface ppp0
Evidentně jablko nechce normálně žrát IPv6 na VPNku...
Jinka u toho androidu, pokud nenaskočí ani IPv6 na straně ROS, tka pak ndroid musel aktivně použití IPv6 v tom PPP spojneí odmítnout.
sudo route add -inet6 default -interface ppp0
Evidentně jablko nechce normálně žrát IPv6 na VPNku...
Jinka u toho androidu, pokud nenaskočí ani IPv6 na straně ROS, tka pak ndroid musel aktivně použití IPv6 v tom PPP spojneí odmítnout.
0 x
Ted koukam, ze branu ma: default - fe80::f0:b%ppp0. Takze problem bude jeste nekde jinde...
0 x
Stále nejede? Ta brána vypadá OK. zkrátk ych zkusil, co udělá takový traceroute 2001:4860:4860::8888, zda odpoví spoň ten Mikrotik z konce tunelu. Jinak fatální hyba na straně Mikrotiku může být firewall, pokud by byl hodně restriktivní, tak nebude šlapat nic. I proto bch si to testnul s wokny jako VPN klient, ať vyloučíš problém na MK traně.
0 x
Stále nic. IPv6 mi funguje pouze v rámci tunelu. Tzn. z jabka si pingu pouze IP, kterou pridam na L2TP interface. Z mikrotiku si jabko pingu.
Firewall jsem pro jistotu zkoušel vypnout. V routovací tabulce prefix z vpn vidím. Nefunguje mi nic mimo interface VPN, nepingu si ani nic v rámci mikrotiku.
ping6: UDP connect: No route to host, traceroute6: connect: No route to host.
Nějak už nevím. v ppp mám šestku nastavenou, v ip6 vidím všude dynamicky vytvořené prefixy vč. routy. na macu dostanu obě adresy vč. brány...
Widle momentálně k dispozici nemám, ale zatím mi to přijde spíš jako nějaká haluz v mikrotiku.
Ještě doplním, že FW jsem dal teď poslední verzi, tj. 6.36.3
Firewall jsem pro jistotu zkoušel vypnout. V routovací tabulce prefix z vpn vidím. Nefunguje mi nic mimo interface VPN, nepingu si ani nic v rámci mikrotiku.
ping6: UDP connect: No route to host, traceroute6: connect: No route to host.
Nějak už nevím. v ppp mám šestku nastavenou, v ip6 vidím všude dynamicky vytvořené prefixy vč. routy. na macu dostanu obě adresy vč. brány...
Widle momentálně k dispozici nemám, ale zatím mi to přijde spíš jako nějaká haluz v mikrotiku.
Ještě doplním, že FW jsem dal teď poslední verzi, tj. 6.36.3
0 x
Tak mám další posun. Já jsem původně stále řešil konfiguraci mikrotiku, kterou jsem mě,l jak se ukázalo, správně. Vypadá to, že celé jádro pudla bylo v konfiguraci klienta - MACa.
Po nahození ipconfig set "ppp0" AUTOMATIC-V6 a route add -inet6 default -interface ppp0 IPv6 začala fungovat - resp. pouze z řádky.
Pingu si jak rozsahy z mikrotiku, tak se dostanu i do světa. DNS také funguje. Co, ale nefunguje je IPv6 v prohlížečích - zkoušel jsem Chrome, Firefox a Safari.
Tam se to tváří, jako bych šestku vůbec neměl. Máte ještě nějaký nápad?
Díky.
Po nahození ipconfig set "ppp0" AUTOMATIC-V6 a route add -inet6 default -interface ppp0 IPv6 začala fungovat - resp. pouze z řádky.
Pingu si jak rozsahy z mikrotiku, tak se dostanu i do světa. DNS také funguje. Co, ale nefunguje je IPv6 v prohlížečích - zkoušel jsem Chrome, Firefox a Safari.
Tam se to tváří, jako bych šestku vůbec neměl. Máte ještě nějaký nápad?
Díky.
0 x
Tak tomu jablku se evidentně ani trochu nechce. 
Teoreticky může být použití IPv6 potlačeno nastavením v prohlížeči, ale to by ti pak ani nešlo, když MACa připojíš na IPv6 po Ethernetu. Můžeš si zkontrolovt:
Firefox about:config network.dns.disableIPv6;false
Chrome chrome://net-internals/#dns Default adress family: ADDRESS_FAMILY_UNSPECIFIED
Jiná věc je, že to může dělat Eyeball algoritmus, který je v prohlížečích dneska nacpán a i OSX ho nativně používá ( https://en.wikipedia.org/wiki/Happy_Eyeballs ), pokud IPv6 spojení bude mít výrazně delší odezvu, než IPv4. Ve Firefoxu jde potlačit přes network.http.fast-fallback-to-IPv4;false
Jesli je někde v OSX něco na styl ip6addrctl nebo /etc/gai.conf, kterým by šlo IPv6 prioritizovat globálně, tak to netuším...
A pak na nějaké stránce typu http://test-ipv6.cz/ si můžeš testnout, zda na IPv6 ti to aspoň půjde, pokud bude odkaz natvrdo.
Teoreticky může být použití IPv6 potlačeno nastavením v prohlížeči, ale to by ti pak ani nešlo, když MACa připojíš na IPv6 po Ethernetu. Můžeš si zkontrolovt:
Firefox about:config network.dns.disableIPv6;false
Chrome chrome://net-internals/#dns Default adress family: ADDRESS_FAMILY_UNSPECIFIED
Jiná věc je, že to může dělat Eyeball algoritmus, který je v prohlížečích dneska nacpán a i OSX ho nativně používá ( https://en.wikipedia.org/wiki/Happy_Eyeballs ), pokud IPv6 spojení bude mít výrazně delší odezvu, než IPv4. Ve Firefoxu jde potlačit přes network.http.fast-fallback-to-IPv4;false
Jesli je někde v OSX něco na styl ip6addrctl nebo /etc/gai.conf, kterým by šlo IPv6 prioritizovat globálně, tak to netuším...
A pak na nějaké stránce typu http://test-ipv6.cz/ si můžeš testnout, zda na IPv6 ti to aspoň půjde, pokud bude odkaz natvrdo.
0 x
No evidentně fakt ne... Firefox je nastavený jak píšeš, v Chromu jsem nic takového nenašel. Přes ethernet, nebo wifi na přímo, šestka funguje naprosto bez problému.
test-ipv6.cz jsem samozřejmě zkoušel, nějaká snaha vidět je: Vaše IPv6 adresa ve veřejném internetu je 2a00:1268:16:6000:5dec:8988:4d53:d380, jinak skóre je 0/10, takže nic.
Btw, android ten se nechytá vůbec, ale to mě tolik netrápí, to beru jako bonus. Na kompu bych to potřeboval víc...
test-ipv6.cz jsem samozřejmě zkoušel, nějaká snaha vidět je: Vaše IPv6 adresa ve veřejném internetu je 2a00:1268:16:6000:5dec:8988:4d53:d380, jinak skóre je 0/10, takže nic.
Btw, android ten se nechytá vůbec, ale to mě tolik netrápí, to beru jako bonus. Na kompu bych to potřeboval víc...
0 x