IPv6 Routování

[Majklik]

Jen tak mezi řečí.
Při obnovení konfigurace (backup) na jiném zařízení (jina MAC) mi zůstane DUID pro IPv6 z původního a nelze ho změnit.
Jak resetnu DUID nebo MK donutím k opětovnému výpočtu z MAC adresy? Nechci všechny MK co už mám nastavené
resetovat.

Smáznout a znovu nadefinovat dhcpv6 klienta?

aktuálně tedy proti samotnému mikrotik routeru není možné ject bez berliček na IPv6 only na windows, je to tak? to by mohl být pádný argument pro to, aby dodělaly bezestavové DHCPv6 aspoň v nějaké podobě kdy mi přidělí DNS.

Ano, be externí oberličky holý IPv6 na ROS nyní neuděláš pro majoritní Windows. Můžeš zkusit argumentovat na support@mikrotik.com....

[disk]

Zkoušel jsem odinstalovat balíček a i tak to nepomohlo. Jen ten reset.
Pokud budu obnovovat přes scripty, musím ručně dodávat pub certifikáty na přihlášení přes ssh.
Něco za něco. Díky

[Majklik]

Nu, support@mikrotik.com a přát si funkci typu duid reset. Ideální by bylo něco jako:
/ipv6 dhcp-client duid set duid="000424bbe312329947d281dbcf89a5054e89"
a možnost is dát, co chci, třeba DUID-UUID. Nebo dle volby, ať vygeneruje DUID-LL nebo DUID-LLT (správně, pokud router obsahuje zálohovanou pamět, tak má používat DUID-LLT a ne DUID-LL).

Jinak se už vysvětlilo, proč Mikrotik cpe do DHCPv6 relay zprávy link local adresy. Neumí číst RFC, respektive si pletou pojem link-local a site local (zrušené) adresy.

[Majklik]

Jen tak mezi řečí.
Při obnovení konfigurace (backup) na jiném zařízení (jina MAC) mi zůstane DUID pro IPv6 z původního a nelze ho změnit.
Jak resetnu DUID nebo MK donutím k opětovnému výpočtu z MAC adresy? Nechci všechny MK co už mám nastavené
resetovat.

Jsem při dohadování s MK musel chvíli číst RFC a podíval se do RFC i na toto (RFC3315, 9.4). Dle RFC je toto chování se zachováním DUID-LL chybné. Krabice nesmí dané DUID-LL používat, pokud interface s použitou zdrojovou MAC není pevně přítomno. Takže by RB měl správně dělat sám kontrolu, zda nedošlo ke změně a případně si ho změnit. Ale je fakt, že pro případ, kdy umřelou krabičku nahradím novou (a stará jde do šrotu), je to zachování "příjemné". Pokud klonuji CFG na X krabic, tak je to průšvih.

To třeba neplatí u DUID-LLT (kde je MAC plus čas), tam může to DUID-LLT používat dále i v případě, že daná MAC v systému už není. Předpokládá se, že jedinečnost zajistí ta časová značka při generování DUID. Nicméně je tam poznámka, že by se DUID-LLT mělo generovat až po časové sync dané krabice (krabice by měla obsaovat funkci pro reset DUID-LLT).

[hapi]

dohaduješ se s nimi po mailu? já jim psal že chci rozšíření traffic flow o CISCO NAT (NEL) aby to splnilo vyhlášku pomocí jednoho routeru v cestě a musel sem si s nimi vyměnit asi 5 mailů než pochopili co vůbec chci.

[Majklik]

Ano, přes maily, forum.mikrotik.com se mi jeví jako ztráta času. Nicméně je to podobné dohadování jak s Jehovisty, s těma po sobě člověk metal citáty z Bible, tady si posíláme úryvky z RFC.... Jehovisti nepřišli už hodně dlouho, MKčkové zatím občas odpovídají. Jenom trvá čím dál déle, než se najde ta správná společná řeč (bude implementováno v další verzi).
Není se čemu divit, s ohledme na hlavní trhy - Asie, Afrika, J. Amerika, kde nechcou žádné složitosti, se jim do úchylných funkcí pro pár pomatenců v EU moc nechce.

[Majklik]

Doba je příznivě nakloněna základním elementálům...

ROS6.5rc1, včerejší build - DHCPv6 server odpovídá na bezestavové informační dotazy a odesílá seznam IPv6 DNS serverů uvedených v /ip dns servers=.... a Wirus7 to žere. Takže pro domácí sektor v pohodě.
Dále DHCPv6 relay už funguje skoro slušně, dá se nastavit, jakou adresu linky má hlásit do zpráv... Jen tu adresu musí mít na iface, což je zbytečná kontrola, která neumožní nastavit při dynamické konfiguraci:
/ipv6 dhcp-relay add dhcp-server=fd49:2990:4616:1001::9 interface=br-lan link-address=fd49:2990:4616:4301::6666 name=DR6

[hapi]

Doba je příznivě nakloněna základním elementálům...

ROS6.5rc1, včerejší build - DHCPv6 server odpovídá na bezestavové informační dotazy a odesílá seznam IPv6 DNS serverů uvedených v /ip dns servers=.... a Wirus7 to žere. Takže pro domácí sektor v pohodě.

a je tam někde vidět jaký pc si to vzalo?

[Majklik]

Bezestavové DHCP - nepamatuje se žádný stav. Nepotřebuje to, jen posílá seznam DNS serverů na dotaz. Takže není. Jedině si zapnout DHCP logování, pak to máš v logu, kdo septal, ale to ti může utéci, až se naplní, pokud mu nedáš platnost dat hodinu.

[hapi]

tak to by šlo, dáváme lidem hodinu na dhcp i v ipv4.

[Majklik]

V logu se pak objeví link local adresy:

Kód: Vybrat vše

00:50:04 dhcp,debug,packet recv server: server1 fe80::64bd:abf6:eba7:2e3a -> ff02::1:2
...
00:50:04 dhcp,debug,packet send server1 -> fe80::64bd:abf6:eba7:2e3a%24


Takže v případě autokonfigurace z toho v pohodě odvodíš globální IPv6 adresu. Pokud je prefix na segmentu fd49:2990:4616:4301::/64, tak stanice má adresu fd49:2990:4616:4301:64bd:abf6:eba7:2e3a.

Akorát ROS kašle na nastavenou dobu leases a nevloží do informační odpovědi dobu platnosti. Takže klient neopkuje dotazování po daném čase.

Bude na chvíli třeba zase bušit do MK, ať doplní router priority do ohlášení routeru.

[hapi]

můžeš popsat jak si to nastavil aby to papalo dnska?

[Majklik]

Takto:

Kód: Vybrat vše

/ip dns set allow-remote-requests=yes servers=217.31.204.130,193.29.206.206,2001:1488:800:400::130,2001:678:1::206
/ipv6 dhcp-server add authoritative=yes disabled=no interface=br-lan lease-time=1h name=server1
/ipv6 nd add advertise-dns=yes hop-limit=64 interface=br-lan mtu=1500 other-configuration=yes ra-interval=10s-30s ra-lifetime=1m reachable-time=1m


První nastaví normálně DNS forwarder v MKčku, ty IPv6 adresy pak propaguje DHCPv6 server (a i v ND).
Druhé nastaví DHCP server, že nic nepřiděluje, jen odpovídá na DHCPv6 informační dotazy,
Třetí nastaví ohlášení routeru tak, aby signalizoval, že se má vedle autokonfigurace adresy použít i bezestavové DHCPv6 pro získání dalších údajů (other-configuration=yes).

Funguje to správně i v případě, že ten DNS list není v RBčku zadán ručně, ake je dynamicky získán z nadřazeného routeru při DHCPv6-PD přidělování prefixu, čili místo /ip dns set ... je:
/ipv6 dhcp-client add add-default-route=yes interface=br-wan pool-name=pool-ipv6-pd

Jinak Win7 pokaždé nezereaguje a neptá se přes DHCPv6 na ty DNSka, ale když je chvíli odpojen od sítě, tak pak bere to other-configuration=yes vážně.

Podrbu MKčka, ať tam vkládají časovou platnost info odpovědi.

[hapi]

ani ťuk. Jak tam máš "packet send server1..." tak to sem tam ještě vůbec v logu neviděl. Jako by vůbec neodpověděl zpět PCčku. Mám tu Win8.

[Majklik]

Wirus8 jsme ještě nepotkal, ale dle deklarací MS, by to mělo být stejné s Win7. Jinak v logu se to objeví, když si zapneš logování dhcp:
/system logging add topics=dhcp
A minimálně i wokna by měla ukázat, zda to dostala, viz:
ipconfig -all