Statické routování IPV6 ?

[mac0112]

Prosím mohl by mi někdo pomoci,
Mám od ISP přidělené adresy IPV4 a IPv6. Pokud jsem měl PC s WIn7, tak jsem si nastavil na nich IPV4 a IPv6 (2a01:430:221:0:ffff:ffff:ffff:ffff) současně. Pingnul jsem si na IPV6 na Google google 2001:4860:4860::8888 nebo 2001:4860:4860::8844 vše fungovalo jak mělo. PC bylo přístupné ze síťě IPV6.
Před PC jsem si nyní vložil Mikrotik RB450. Do ETH1 mám připojen ISP a na ETH4 mám připojen PC. V MK mi pro IPV4 běží NAT1:1 a veřejnou adresu IPv4 mám na PC .
Ale jak mám postupovat když chci abych měl IPV6 na PC ?
Od ISP jsem dostal veřejné adresy 2a01:430:221::/64
GW:2a01:430:221::1
DNS1:2a01:430:0:5::5
DNS2:2A01:430:0:30::3

Zkoušel postupovat podle manuálu http://wiki.mikrotik.com/wiki/Manual:Si ... v6_Routing ale můj MK mi hlásí, že nemohu na eth1 dát adresu začínající fe80::
Tím ,že IPV6 nezná NAT zbývá řešení routingem nebo se pletu ? nevím jakým směrem mám hledat. Prosím poradťe mi.

[Majklik]

Mikrotik nepodporuje NAT pro IPv6 a ani NDP proxy, takže zbývá buď routing, což znamená se domluvit s tím svým ISP, aby ti naroutoval ten prefix na ten tvůj router (pro spojení mezi tvým routerem a ISPíkovým jdou použít ty link local adresy začínající fe80:) nebo ten RB450 používat jen v režimu bridge a maximálně v něm uplatňovat firewall nad bridgem.

Respektive je ještě třetí možnost, že ISPík počítal s možností přidání zákazníkova routeru a na té lince k tobě je aktivní DHCPv6-PD server pro dynamické přidělení prefixu. Takže si můžeš zkusit na tom rB450 na tom ether1 aktivovat DHCPv6-PD klienta a uvidíš, zda získá nějaký prefix.

RouterOS nedovoluje nastavit ručně link local adresy, jsou jen automaticky generované na základě MAC adresy daného portu, proto to při pokusu o přidání adres fe80:... hodí chyboovu hlášku. Je třeba na Mikrotiky řvát, ať to tam dodělají, protože je to jen věc jejich konfig nástrojů, že to nepodporují. Ten linux zabalený pod tím to umí (konfigurovatelné link local adresy, NDP proxinu i IPv6 NAT).

[mac0112]

Podle odpovědi v současnosti mi zbývá pouze bridge, abych dostal IPv6 na PC (PC=2a01:430:221:0:ffff:ffff:ffff:fff0) ?

[Majklik]

Nu, ještě je mizivá naděje na to DHCPv6-PD. Můžeš zkusit:
/ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=isppool
Jeslti to něco najde a získá....

[mac0112]

status stále ....searching

Bych se divil, že by v v serverhostingu členem NIXu něco takového běželo.

[mac0112]

Jsem naprosto nepolíbený IPV6. Myslel jsem si že to nebude pro profíky, kteří tady na foru jsou, takový problém.

[Majklik]

Nu, na hostingu bych opravdu DHCPv6 nečekal, ale z původního dotazu nevyplývlao, že řešíš někde nějaký serverhousing. Takže můžeš:
Zeptat se hostingu, zda ti něco naroutuje na to RBčko, ať tím obsloužíš ty servery za tím.
Při trvání na Mikrotiku a routeros použít ten bridge, pokud tím dosáhneš čeho chceš (a RB chci jen jako předsunutý firewall).
Pokud je potřeba jen zpřístupnit zvenčí po IPv6 holé HTTP tak to jde udělat i pomocí ROS přes HTTP proxy.
Vzít na vědomí, že ROS má v IPv6 ještě co dohánět a šáhneš po nečem, co to zvládne i bez spolupráce s hostingem, třeba NDP proxina byla i součástí OpenWRT (6relayd), který by možná šel narvat i do té RB450 krabičky a udělal co chceš.

[ludvik]

Vzhledem k tomu, že v podstatě dostal PD (tedy celý jeden /64 segment), musí se povést routovat. Přidělený segment, resp. jednu z IP toho segmentu, nastaví na svoji LAN a zapne advertise (přesně to nepovím, na mikrotikách jsem zatím "deployment" odložil). Pak už stačí jen jen ta defaulta a DNS servříky ... Teoreticky by měla být defaulta oznamovaná tím hostingem pomocí RA. Ale nemusí ... Kromě toho mám takový pocit, že si ji MK stejně nevezme.

Když ipv6 začátečník zapomene, vytěsní, z hlavy pojem NAT, tak udělá jedině dobře. Ne, že by to v novějších jádrech (s nftables) linuxu nefungovalo Ale lepší je se toho zbavit a pochopit.

[mac0112]

Nechtěl jsem moc rozepisovat, proto jsem to napsal ilustrativně.
Samozřejmě, že MK použít jako VPN client a FF a to pro IPv4 funguje.
Zatoužil jsem mít server přístupný i pro IPV6.
Pokud existuje nějaký bridge kterým bude prostupovat IPV6 z eth1 do eth4, tak mne prosím naveďte.
Bridge používám pouze v IPV4.

[mac0112]

Vzhledem k tomu, že v podstatě dostal PD (tedy celý jeden /64 segment), musí se povést routovat. Přidělený segment, resp. jednu z IP toho segmentu, nastaví na svoji LAN a zapne advertise (přesně to nepovím, na mikrotikách jsem zatím "deployment" odložil). Pak už stačí jen jen ta defaulta a DNS servříky ... Teoreticky by měla být defaulta oznamovaná tím hostingem pomocí RA. Ale nemusí ... Kromě toho mám takový pocit, že si ji MK stejně nevezme.

Když ipv6 začátečník zapomene, vytěsní, z hlavy pojem NAT, tak udělá jedině dobře. Ne, že by to v novějších jádrech (s nftables) linuxu nefungovalo Ale lepší je se toho zbavit a pochopit.

To jsem začal takto konfugurovat. Pingám si z MK na DNS 2001:4860:4860::8888. Ovšem co nechápu, proč když nastavím na eth4 adresu IPV6 z mého přidělu , tak se mi změní stat.route z interface eth1 na eth4. Kruci co dělám špatně.

[Majklik]

Vzhledem k tomu, že v podstatě dostal PD (tedy celý jeden /64 segment), musí se povést routovat. Přidělený segment, resp. jednu z IP toho segmentu, nastaví na svoji LAN a zapne advertise (přesně to nepovím, na mikrotikách jsem zatím "deployment" odložil). Pak už stačí jen jen ta defaulta a DNS servříky ... Teoreticky by měla být defaulta oznamovaná tím hostingem pomocí RA. Ale nemusí ... Kromě toho mám takový pocit, že si ji MK stejně nevezme.

Takto uchodí maximálně, aby skrz RB z LAN odcházely pakety ven správně na uplink, ale zpět se už nevrátí, protože pro router toho hostingu IPčka ze segmentu 2a01:430:221::/64 daná za ether4 toho RB450 nebudou nalezitelná přes ND. To by zařídila aktivní funkce NDP proxy na ether1 portu, která ale v ROSu pro IPv6 není (ekvivalent pro IPv4 jménem proxy ARP je podporován).
Je pravděpodobné, že tam to ohlášení routeru poběží. A ROS se už umí nějakou dobu podle něj nakonfigurovat, a to default routu i IPv6 adresu (protože taková funkcionalita je vyžadována pro koncový domácí router na IPv6 síti). Jen se to RBčku musí lehce naznačit:
/ipv6 settings set accept-router-advertisements=yes
Blbé je, že takto neučená IP a routa se nevypiusuje nikde pod /ipv6 se statusem dynamická....

To jsem začal takto konfugurovat. Pingám si z MK na DNS 2001:4860:4860::8888. Ovšem co nechápu, proč když nastavím na eth4 adresu IPV6 z mého přidělu , tak se mi změní stat.route z interface eth1 na eth4. Kruci co dělám špatně.

Protože dokud je IPčko z rozsahu 2a01:430:221::/64 jen na ether1, tak při použití jako defalut brány IPčka 2a01:430:221::1 router nemá pochyb kam to má strčit, jak ale přidáš druhou IP ze segmentu 2a01:430:221::/64 na ether4, tak router má už dvě možnosti kam posílat 2a01:430:221::1 a zákon schválnosit je, že zvolí tu blbou.

Nechtěl jsem moc rozepisovat, proto jsem to napsal ilustrativně.
Samozřejmě, že MK použít jako VPN client a FF a to pro IPv4 funguje.
Zatoužil jsem mít server přístupný i pro IPV6.
Pokud existuje nějaký bridge kterým bude prostupovat IPV6 z eth1 do eth4, tak mne prosím naveďte.
Bridge používám pouze v IPV4.

VPN klient nebo VPN server na který se připojuješ někde z cest?
Softwarový bridge neřeší jaký protokol teče mezi ether1 a ether4 a propouští IPv4 i IPv6 stejně..... Pokud se bavíme:
/interface bridge add name=mybrigde protocol-mode=none
/interface bridge port add interface=ether1 bridge=mybridge
/interface bridge port add interface=ether4 bridge=mybridge

[ludvik]

Tak jinak - pokud mu "poskytovatel" poskytl segment, musel to také nějak dokonfigurovat u sebe. Přijde mi divné, že by jen tak dal IP a víc se nestaral. Osobně si myslím, že dostal MAC toho mikrotiku (nebo si ji zjistil) a pak adresu fe80:: lze snadno dopočítat - a na ní staticky routuje ten segment.

A nebo je to všechno úplně špatně, neboť pokud má GW ze stejného segmentu (což jsem si všiml až teď, sorry), jako dostal příděl, tak nedostal nic a blábolím tu nesmysly. V takovém případě lze také čekat, že adresu se samými FF si vymyslí kde kdo a tomu druhému to už fungovat nebude ... Asi by bylo vhodnější použít EUI64.
A pak mají pravdu ti, co chtějí NAT, nebo nějakou proxu, nebo bridge

Takže pokud tam máš router, chtěj po něm celý segment. To je standardní řešení. A je to.

[Majklik]

Také jsi přehlédl, že mluví o housingu a ne připojení koncáka doma ISPíkem. A ty IPčka i patří MASTERu, ti dávají na zákazníka /48 a z toho /64 na každý jeho server/port, takže default nastavení je, že nafasoval port/dva na switchi a a na něj má naroutované přímo, že očekávají přímé připojení serveru.
Nejjednodušší bude kontaktovat podporu a domluvit si, že tam dávám vlastní firewall a chci naroutovat nějaký větší blok z toho /48 na něj, ať už přes globální adresy (třeba 2a01:430:221::/127) nebo link-local a nevymýšlet ojebávky a pak si to na RB podělí na další segmenty /64, klidně co port/VPN připojení. Pak s konfigurací MKčka nebude nejmenší problém....

[mac0112]

to Majklik

Připojuji mobilní měřící zařízení přes 3G a abych se dostal z firmy na to mobilní zařízení, tak to musím obcházet přes veřejnou adresu.Díky našim mob. operátorům, kteří neposkytují veřejnou adresu. Zatím mobilní operátoři jedou v IPV4 (nezkoušel jsem modem strčit do W7 zda obdržím IPV6 ), mobilní spojení mi naštěstí funguje.
Příští měsíc T-Mobile bude rozesílat dopisy zákazníkům ve kterém je přiděl "ADSL služba dual stack" IPV4 a IPV6, tak jsem si řekl, že bych mohl začít se seznamovat s IPV6. Naši programátoři u nás ve firmě mají v hostingu vlastní SERVER, který "nahý" připojili do NIXu. Server měl do včera dvě adresy IPV4 a IPv6 . To, že byl přístupný z IPV6 ani netušili.
Abych mohl využít přidělené IPV4 adresy, tak jsem vložil před SERVER RB450. Programátoři to ani nepoznali a já mám na druhé přidělené veřejné adrese v RB450 VPN server. Má to jednu velkou výhodu, nemontuji se jim do SERVERU. Toť na vysvětlenou .

Teď bych rád protáhl adresu IPV6 , která byla vepsaná na eth1 SERVERU, dál do NIXu jak to bylo před mým zásahem.

Škoda, že nemohu použít toto:
/interface bridge add name=mybrigde protocol-mode=none
/interface bridge port add interface=ether1 bridge=mybridge
/interface bridge port add interface=ether4 bridge=mybridge

Mám totiž na ether1 dvě veřejné adresy IPV4. Jednu pro samotný SERVER a druhou pro VPN server v RB450 . Tímto bridgem bych protáhl všechno z eth1 do eth4 , sice bych mohl použít nějaké pravidla nad bridgem ale kam bych nasměroval v RB450 PPTP server, takže bych si nepomohl. Nebo se pletu ?

[Majklik]

S bridgem nevidím v tomto případě problém. Zkrátka IPv6 i IPv4 adresa, co byla předtím na serveru, tak na server zase vrátíš. A na tom bridge si necháš jen tu IPv4 používanou jako konec tunelů a podobně i nějakou IPv6 adresu pro hraní. Do komunikace toho serveru se tím pádem tím MKčkem nemicháš, jen ji propustíš na L2 úrovni dál z ether1 na ether4.... Případně mlůžeš dělat firewall nad tím bridgem v tom RB pro ochranu toho serveru, pokud si na to neprovozuješ od Masteru jejich fortigate.

IPv6 na TMO ADSLkách snad už pár týdnů normálně běží? V tichosit to snad už pozapínali všude. Aspoň proti O2 jsou hodní, že v základu přidělují prefix velikosti /56 a ne jen /64 jak O2.

IPv6 mobilní operátoři zatím u nás nejedou. S veřejnou IPv4 adresou snad není problém, stačí požádat a patřičně připlatit. Jinak v případě bezpečnostních aplikací a většího počtu těch 3G/CDMA/ADSL konců je snad lepší si nechat vytvořit privátní APN a pak mají ty modemy IP adresy přesně jakou chci já, protože jim je přiděluji ze svého Radius serveru a jsou zapojney do izolované sítě, která končí v mé síti. Tohle snad také místní operátoři umí (aminimáoně u O2 bylo i levnější jak ty veřejné IP adresy půro větší počet krabiček).