Statické routování IPV6 ?

[mac0112]

to s tím bridgem eh1->eth4 chápu a vyřeším s tím prostup z MASTERu do SERVERU ale co nechápu, když budu mít takový transparentní bridge, jak mohu na eth1 provozovat s nějakou další (jinou než nastavím IP na serveru) IPV4 ? Chci provozovat PPTP server, který je součástí ROSu.Mám pouze z MASTERu jen jeden kabel a na něm mám 5 IPV4.

Všichni mi známí co chtěli veřejku od mob. oprátorů pohořeli.Já osobně jsem navštívil v 2013 T-Mobile, Vodafone,O2. Všichni mi řekli, že to možné není.Pouze u O2 to trvala odpověď asi tři týdny a pak mi oznámili, že mám statickou ale neveřejnou adresu . Když jse se proboxoval na člověka co má na starosti mobilní sítě, tak mi řekl, že to prý nepůjde, že vnitřní síť O2 jede v IPV6 a mobilní síť v IPV4. Individuálně by to nastavit šlo ale nemá proto povolení.

S tím ADSL IPV6 bude asi druhý boj , ale nejprve potřebuji vyřešit ten housing.

Díky

[Majklik]

Pokud použiju ten soft brodge mezi eth1 a eth4, tak IPčko daného RBčka správně nedávám nad eth1, ale na ten bridge interface. Jinak netřeba nad tím bádat, zkrátka se to pak chová stjeně, jak kdybych přišel a vrazil do portu masteru tupý switch a do switche vedle sebe server a RBčko....

Asi už novým zákošům mobilní opové nenabízí, kdo se přihlásil dříve, tak má danou službu a jede, protože nikdo už neví jak a kde se to nastavuje (celkem běžný tav v komunikaci s O2, že po nich člověk něco chce, tvrdí, že nic tkaového není, po dlouhé době pátrání se zjistí, že daní lidi jsou tam až od dob, kdy se daná věc nenabízí, že daná věc se nastavuje tam a pomocí toho, co už nikdo neví jak se ovládá ).

[zajdee]

Ruzova ADSLka uz skutecne maji IPv6 (prakticky) vsechna a pomalu - ale jiste - roste provoz.

K uvedenemu problemu se nabizi jeste par workaroundu, pokud by hosting nedokazal rozsah naroutovat. Napada me napriklad pripojeni serveru dvema kabely (nebo VLANami), jeden z nich by koncil v rozhrani, ktere bude pomoci bridge spojeno s "WAN" portem (ether1+ether4). Druhe rozhrani by melo alternativni adresaci a mezi nim a bridgem WAN by byl nakonfigurovan NAT pro IPv4.

Snad bude ale jednodussi presvedcit poskytovatele o tom naroutovani rozsahu...

[mac0112]

Pokud použiju ten soft brodge mezi eth1 a eth4, tak IPčko daného RBčka správně nedávám nad eth1, ale na ten bridge interface. Jinak netřeba nad tím bádat, zkrátka se to pak chová stjeně, jak kdybych přišel a vrazil do portu masteru tupý switch a do switche vedle sebe server a RBčko....

Asi už novým zákošům mobilní opové nenabízí, kdo se přihlásil dříve, tak má danou službu a jede, protože nikdo už neví jak a kde se to nastavuje (celkem běžný tav v komunikaci s O2, že po nich člověk něco chce, tvrdí, že nic tkaového není, po dlouhé době pátrání se zjistí, že daní lidi jsou tam až od dob, kdy se daná věc nenabízí, že daná věc se nastavuje tam a pomocí toho, co už nikdo neví jak se ovládá ).

Už jsem to v noci na Masteru tak udělal i když jsem to nepochopil , pouze jsem to zkusil co to udělá dát na bridge druhou veřejnou adresu pro VPNko. Inu chodí to skvěle i pravidla nad bridgem fungují IPV4 i IPv6 jupíí .
Mám konečně SERVER programátorů z krku Jediné co musím ještě udělat portforwarding několik portu z VPN na veřejnou adresu. Měl jsem tam dříve DST-NAT, takže ještě musím mít puštěn NAT než najdu jak se dělá portforward bez DST-NAT, abych mohl vyhodit z Mikrotiku NAT bohužel 99 procent návodů popisují portforwarding pomocí NATu

Moc děkuji za podporu a nasměrování na ten bridge.

Zeptám se ještě, má cenu použít Mikrotik připojený na ADSL modem, aby roztrkal IPV6 do počítačů ? Máme ve firmě pár tiskáren na IPV4, které by stále byli v IPV4 ale do internetu i z internetu by byli připojeny počítače, které . V O2 mi argumentují, že Mikrotik to ještě neumí a stále mi nabízí nějaký Comtrend, který prý zvládá IPv6 i IPv4 současně ale pouze v režimu router( v bridge nikoliv).

[zajdee]

Mikrotik bez problemu umi vytocit PPPoE i ziskat prefix od O2 pomoci DHCPv6 Prefix delegation. Nema ovsem DSL modem - tedy je treba pred nej postavit DSL modem v rezimu Bridge.

[mac0112]

Mikrotik bez problemu umi vytocit PPPoE i ziskat prefix od O2 pomoci DHCPv6 Prefix delegation. Nema ovsem DSL modem - tedy je treba pred nej postavit DSL modem v rezimu Bridge.

To co mne zajímá, když jakýkoliv třeba starý modem dám do bridge a v MK použiji pppoe (nyní to takto ve firmě používám PPPoE s MK ale výhradně v IPV4 + NAT maškaráda atd.) zda bych mohl všem počítačům přiřadit k IPV4 ještě IPV6, když už to Windows mají v sobě. Na internetu kolují takové příběhy, že se starým ADSL modemem to nejde atd..

[zajdee]

Ano, presne tak to funguje. V praci mame tri site, z DSL se prirazuje /56 pres prefix delegaci a MK to rozhazi na jednotliva rozhrani. IPv4 je samozrejme jen jedna na tom PPPoE, takze se musi nakonfirovat NAT, pro sestku pak samozrejme ne - ta je nativni az k tem koncovym strojum.
--- EDIT ---
Takhle vypadá konfigurace v MK:
na pppoe-dsl6 interface není třeba konfigurovat nic
po připojení se v /ipv6 address print objeví link-local IPv6 adresa:
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# ADDRESS FROM-... INTERFACE ADV
10 DL fe80::12/64 pppoe-dsl6 no

/ipv6 dhcp-client
add interface=pppoe-dsl6 pool-name=dsl-pool

/ipv6 address
add address=::0:0:0:0:1 from-pool=dsl-pool interface=lan
add address=::1:0:0:0:1 from-pool=dsl-pool interface=dmz
add address=::2:0:0:0:1 from-pool=dsl-pool interface=guestwlan
(příklad pro tři sítě, pokud provider dává víc, než /64; adresám pak přes gui zaškrtnout "advertise"; po příchodu delegovaného prefixu budou adresy automaticky doplněny)

[Majklik]

Jistě, jde to. Pokud se ten modem použije jen jako bridge. S oblibou používám nějaké prehistorické Zyxely s jedním eth portem. Na straně MK je to pak nějak takto (aspoň co se oživení holého IPv6 týče):

Kód: Vybrat vše

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1492 max-mtu=1492 name=dsl password=o2 user=o2
/ipv6 dhcp-client
add interface=dsl pool-name=o2lan
/ipv6 dhcp-server
add authoritative=yes disabled=no interface=bridge-lan name=dhcp6-stateless-dns
/ipv6 address
add address=::1 from-pool=o2lan interface=bridge-lan
/ipv6 nd
set [ find default=yes ] disabled=yes
add advertise-dns=yes interface=bridge-lan mtu=1492 other-configuration=yes


Jinak koukám, že O2 propaguje od sebe v DHCPv6-PD datech DNS servery Googlu?
/ip dns print
...
dynamic-servers: 2001:4860:4860::8888,2001:4860:4860::8844
...

O2 přidělí přes DHCPv6-PD jen jeden segment /64, takže se dá obsloužit jen jeden LAN segment. TMO dává /56, takži se těch segmentů z toho můžu nasekat povícero.

[mac0112]

Děkuji vám pánové za podporu a pomoc. Zítra to zkusím zda k nám na Vinohrady dorazila od T-Mobile IPV6. Mám rád Zyxel 630 má vynikající analogovou část a právě drží i na horších linkách.
Tak to jsem spokojen, že mohu stávající konfiguraci použít. Zyxel630 v bridge -->Mikrotik-->VLAN switch.
Doufám,že VLAN switche nebudou dělat problém protáhnout IPV6.

[zajdee]

VLAN switche jsou OK. Horsi je to s WLAN (WiFi) klienty v rezimu pseudobridge clone - tam sestka nebeha. Je-li potreba mit pocitacovou sit pripojenou pres WiFi klienta k WiFi AP, musi byt AP/klient v rezimu WDS.

[mac0112]

Tak jsem jásal předčasně. Transparentní bridge mezi eth1 a eth4 funguje a nezáleží zda tam běží IPV4 nebo IPV6 ovšem pokud dám veřejnou adresu na tento bridge, abych mohl používat VPN server, tak se začane propagovat tato veřejná adresa dál na server. Programátor mi nadává, že se mu všichni klienti identifikuji stejnou adresou (tou jedinou co jsem dal pro VPN).
Jediné co jsem přes oběd vymyslel, že jsem provoz bridge předal na eth2 (nastaveni switche v mikrotiku mezi eth1 a eth2 ) vzal kabel a spojil eth2 a eth3 na krátko. Na eth3 jsem dal veřejnou adresu pro VPN. Nastavil si defaultroutu s GW na eth1. Takto to běží asi už 2h. Veřejné adresy klientů se už dostávají na server přes bridge. VPN server funguje také. Vypadá to šíleně .

Ovšem nemohu nad tím bridge pustit žádné pravidla. Jakmile opět zapnu v bridge->setting->use IP Firewall tak celej MK se sekne a přestane bridgovat. Pravidla začnou fungovat pouze pokud dám IP adresu tomu bridge a zapnu use ip firewall ale to se začne zase tlačit tato veřejná adresa do serveru jako maska skutečné adresy zákazníka. Je mi jasné, aby mohla fungovat nějaká pravidla, že bridge musí mít nějakou adresu, ale proč firewall nahrazuje adresy bridge v provozu mezi eth1 a eth4 to nechápu. Vždyť to vypadá jako NAT. Kdyby nenahrazoval adresy a nechal ty původní co lezou do bridge tak by to byla paráda.

Lama je v koncích

[Majklik]

IP musí být na tom bridge, pokud ho dáš na etherX, co je v btridge, tak se to chová občas dost divně a jinak, než chceš.
A nemáš nahodou nastaven i NAT v tom RBčku? Pokud ano, tka ho musíš nastavit korektně, aby se NATovalo jen to, co třeba přijde skrz VPN kanály a jde dál ven a ne úplně všechno. Předpokládám, že ti to NATovalo třeba i odchozí spojení z toho serveru ven na IP toho RBčka.

[mac0112]

[quote="Majklik"]IP musí být na tom bridge, pokud ho dáš na etherX, co je v btridge, tak se to chová občas dost divně a jinak, než chceš.

To je jasný, že ipadress->bridge1

Teď na to koukám,zbyla mi tam ještě ze včerejška aktivní maškaráda kvůli portforwardingu z 3G. To ten bordel v tom bridge mi dělá ta maškaráda ? No tě pic.
Ten NAT dokonce nemá ani def. interface, to snad není možný.
Takže rychle vymyslet portforward portů bez dst-nat. Na to jsem včera zapomněl. Raději to vyzkouším doma můj ISP mi dal 15 adress z toho 2 veřejný. V poledne jsem na Mastru udělal 20min výpadek a bylo zle.

o.K. tak dnes vyzkouším vyhodit NAT a dát adresu <bridge eth1 eth4 se zapnutým use FF> zda se promítne IP adresa nějakého počítače na vstupu SERVERU.To jsem tedy zvědav.

0 ;;; Port 4505 z ERA
chain=dstnat action=dst-nat to-addresses=10.10.0.200 to-ports=4505 protocol=tcp dst-address=77.93.209.20 port=4505
1 ;;; Port 4580 z ERA
chain=dstnat action=dst-nat to-addresses=10.10.0.200 to-ports=4580 protocol=tcp dst-address=77.93.209.20 port=4580
2 ;;; Maskarada
chain=srcnat action=masquerade
3 X ;;; NAT 1:1 pro PC
chain=srcnat action=src-nat to-addresses=77.93.209.21 src-address=192.168.2.252 out-interface=ether1
4 X chain=dstnat action=dst-nat to-addresses=192.168.2.252 dst-address=77.93.209.21 in-interface=ether1
5 X ;;; rekurzivni dns
chain=dstnat action=redirect to-ports=53 protocol=tcp dst-port=53
6 X chain=dstnat action=redirect to-ports=53 protocol=udp dst-port=53
[admin@RB450G] /ip firewall nat>

[mac0112]

Už na oči nevidím, řeším více věcí najednou. V collhousingu ve službě VPS jim nejde IPV6,takže stojím, mám tedy na mikrotik dnes čas.
Existuje vůbec nějaká možnost v MK portforwarding bez použítí maškarády ? stále mi manuál na stránkách mikrotiku vnucuje dst-nat za použití NATu.
Je to jediná možnost ?

[Majklik]

Ne, MKčko port forward bez dstnat neumí. Ale nemusíš k tomu cpát ještě maškarádu, vyjma některých případů, takže jde o to, odkud kam co vlastně posouváš?
Jestli se chceš spojit na nějaký port na tom MKčku z Internetu na jeho veřejnou adresu a ten přeposlat tunelem na nějakou krabičku za tunelem, tak to jde udělat i bez maškarády, pokud druhý konec tunelu je něco inteligentního (třeba také MKčko dobře nastavené, aby provoz přišlý skrz tunel vracelo zpět do tunelu a ne přímo do 3G modemu) a nebo použiješ na VPN serveru maškarádu/src-nat na intenrí IP adresu toho VPN konce, ale vysloveně jen to jdoucí do těch ppptp tunelů a ne všude, jak uvádí to "chain=srcnat action=masquerade ".