Statické routování IPV6 ?

[mac0112]

Na druhé straně (v terénu) mám také MK a tam pro technika běží internet z 3G , dhcp server, maškaráda atd. , aby technik byl ve stejné síti jako ostatní měřící zařízení.Myslím si, že je tam lokální síť 192.168.54.0/24. Pouze dva porty 4505 a 4580 potřebuji dostat na pevnou veřejnou adresu.
Takže jsem spustil PPTP clienta, který se automaticky připojí na PPTP server v MK v datacentru . Dávám MK v terénu PPTP clientu adresu 10.10.0.200
V MK v terénu používám DST-NAT pro ty dva porty 4505 a 4580 a cpu je na adresu, kterou MK v terénu obdrží tedy na 10.10.0.200.
Pokud se potřebuji spojit s MK v terénu ze svého počítače, tak se připojím VPN k RB450 v datacentru.Pak si spustím Winbox a adresu dám 10.10.0.200
(adresa kterou přiděluji MK v terénu PPTP client) V RB450 v datacentru obdobně
chain=dstnat action=dst-nat to-addresses=10.10.0.200 to-ports=4505 protocol=tcp dst-address=77.93.209.20 port=4505
chain=dstnat action=dst-nat to-addresses=10.10.0.200 to-ports=4580 protocol=tcp dst-address=77.93.209.20 port=4580

Teď jak to popisuji, vypínám v datacentru chain=srcnat action=masquerade a ejhle nedostanu se na MK v terénu a porty 4580 a 4508 také nefungují.
Pouze si mohu pingat na MK v terénu 10.10.0.200. Nefunguje na 10.10.0.200 ani Winbox.
Pokud zapnu chain=srcnat action=masquerade tak se dostanu Winboxem na 10.10.0.200

[Majklik]

Ano, co máš, to jde provozovat bez té maškarády na RB450. Tou totiž nahrazuješ chybně/nedostatečně nastavený routing na těch RB s 3G modemy.
S tou maškarádou je to nejjednodušší. Aby fungovala jen na spojení přeposlané tím dst-nat do tunelů a nešahalo na bridge provoz, tak uprav na:
chain=srcnat action=masquerade out-interface=all-ppp

[mac0112]

Děkuji za radu, dnes odpoledne to vyzkouším, už jsem si raději doma nainstaloval to samé, jako v datacentru.
Už mám připravené doma dvě veřejné adresy, sice přes NAT1:1 ale i tak poznám zda se mi propaguje pouze moje první adresa a ne druhá jako v DATACENTRU ,RB450G a Server s aplikací kde vidím logování adresy uživatele . Připojím se na nějaký vzdálený RB951 a změním adresu v PPTP clientovi na mojí adresu doma.

S tím NATem ve vzdáleným MK jsem toto zvolil,protože jsem si na začátku řekl, že nepotřebuji propojit dvě sítě.Pouze protáhnout dva porty 4505 a 4580 a tak jsem zvolil easy cestu NATem i když to jde přes dva NATy. Přes ty dva porty někdy teče v dávkách max. 350kbit/s jedním směrem a za každou hodinu se přenese pravidelně 250kbyte. Myslíte, že i tak bych měl zvolit čistější koncept RB450<->RB951, abych vyhodil ty dva NATy za sebou, myslím jako z principu ?

[mac0112]

Je to tak, máte pravdu ten NAT mi tam cpal do transparentního bridge druhou adresu.
Jakmile maškaráda je nasměrovaná na PPP, tak je po problému. Já hlupák.
Je pro mne další překvapení, že MK na L2 umí pravidla, to jsem od toho nečekal.

Pokusy s IPV6 budu dělat na našem firemním ADSL/Alix snad najdu na ISPforum nějaké téma . Teď co jsem díky vám vyřešil jednu věc, tak snad budu mít už čas.
Škoda,že můj domácí ISP nechce vůbec slyšet na IPV6. Zkusím se časem zajímat o 6 to 4 nebo jak se jmenuje. Že bych si připojil dimů IPV6 z MASTERU

Omlouvám se všem, že jsem založil téma na statický routing IPV6 a nakonec to skončilo bridgem

[Majklik]

Pro tak malý tok je ten NAT úplně jedno. Jediné je, že na tom koncovém místě připojení nevidím IP adresu odkud to připojení pochází, ale jen tu SRCNAT adresu PPTP serveru. To kdyby vadilo, pak má smysl řešit ten routing.
NAT se začne do toho bridge cpát až když zapnu "/interface bridge settings set use-ip-firewall=yes". Dokud se nezapne, tak si bridgovaného provozu nevšímá. A zapínat ho má smysl jen pokud chci opravdu filtrovat provoz procházjeící tím bridgem k serveru dál. Pokud ne, tak není důvod. Provoz, co se bude routovat dovnitř RB, tak ten firewallem prochází i bez té volby.

Pokud máš doma veřejnou IPv4 adresu (i v případě NAT1:1), tak IPv6 se dá dostat i tunelem od https://tunnelbroker.net/ nebo https://www.sixxs.net/. Oba mají POPv Praze, takže dopad tunelu proti nativnímu je minimální. Ale pokud ti MASER naroutuje nějakou /56 na tu RB450, tak si to můžeš poslat i z něj. Klidně i skrz PPTP spojení a ne jen tím 6in4 tunelem (6to4 je o fous jiná věc sloužící k dostání domů IPv6 adres z rozsahu 2002::/32).

[mac0112]

tu adresu 10.10.0.200 do tunelu RB951 jsem do SRCNAT automaticky zadal, pouze jsem se o tom nezmínil.Trklo mne to jak jste se zmínil, jestli nemám puštěný náhodou NAT. Ve Winboxu je to pro mé oči přeci jenom přehlednější.

Koukal jsem na tunelbroker a zatím to vypadá jako supervěc . To už bych nemusel otravovat mého ISP ani Mastera. Ale přesto se Mastera zeptám na narout nějakého bloku na RB. Po dovolený se do toho pustím.
Čistě náhodou neměl jste v ruce RB260GS ? koupil jsem si ho pro sebe k RB433, která je ISP. Chtěl jsem ho dát na půdu a stáhnout dolu do bytu 3 IP adresy přes VLANy . Nevím co běží v RB433 od ISP ale když připojím tento VLAN switch RB260GS k eth2 a eth3, kde jsou dvě veřejné adresy, tak se mi RB260G zakousne, asi vznikne smyčka. Nemohu nikde najít zda vůbec RB260G umí izolaci portů. Na fóru Mikrotiku.com nikdo takovou věc neřešil.
Jinak RB260G mi krásně 3 VLANy protahuje celou trasou až ke mně do koncového L2 switche na 3 nezávislé porty ale nesmím ho připojit k RB433. Pro test zda to mám dobře nastavené sem připojil k RB260 3 x samostatný WRAPy každý na jednu VLANu a na koncovém switch L2 mám opravdu 3x WRAPy a jsou oddělené.

[Majklik]

Tunnelbroker je asi nejpřijemnější a nejrychlejší na uchození. Má tam i klikátko, kterým vygeneruje pro konkrétní přípojku potřebné nastavneí i pro Mikrotika.
RB260GS neumí něco jako (R)STP, takže pokud ty eth2 a eth3 v té RB433 jsou v bridgi a na tom bridgi nemá zapnut (R)STP a přímo připojíš oba porty do jednoho RB260, tak uděláš krásnou smyčku a kaput.
RB260GS umí izolaci portů, nastavuje se na záložce Forwarding - který port kam může předávat data. Nikdy jsme ale nezkoušel.

[mac0112]

Tunnelbroker je asi nejpřijemnější a nejrychlejší na uchození. Má tam i klikátko, kterým vygeneruje pro konkrétní přípojku potřebné nastavneí i pro Mikrotika.
RB260GS neumí něco jako (R)STP, takže pokud ty eth2 a eth3 v té RB433 jsou v bridgi a na tom bridgi nemá zapnut (R)STP a přímo připojíš oba porty do jednoho RB260, tak uděláš krásnou smyčku a kaput.
RB260GS umí izolaci portů, nastavuje se na záložce Forwarding - který port kam může předávat data. Nikdy jsme ale nezkoušel.

Po dovolené vyzkouším oba odkazy, abych dostal domů IPV6.

Forwarding u RB260GS jsem musel podle manuálu nastavit, jinak nedojde aktivaci portů. ETH1,2,3 <-> SFP ale, že by došlo k izolaci ETH1,2,3 to tedy ne. Na adrese domu.macha.info:88 je switch na kouknutí přistup je defaultní. Je puštěný jen tak na stole, nahrál jsem do něho zálohu pro VLAN1,2,3. Pochopil jsem funkci forwardingu u RB260 tak, že se definuje skupina např. skupina ETH1,ETH2,ETH3,SFP a zbývá druhá skupina ETH4 a ETH5. Obě skupiny jsou sice oddělené ale porty mezi sebou ve skupině ne.VLANy v RB260 nejsou závislé na nastavení Forwardingu (já bych forwarding nazval spíš aktivací portů skupin) Kupoval jsem RB260G s tím,že si rovnou budu napájet na střeše Airmax+RB433+WRAP a svedu si optikou domů tři ETH. Nechápu, že switch umí perfektně vlany ale netagovaný provoz ve skupině portů je propojený, to mi není fakt jasný, že by něco takového pustili na trh, proto si myslím, že někde dělám chybu.

[sub_zero]

Ahoj,

od poskytovatele mame pridelenej prefix /48. Jako core mame MK.
Nyni jedna skola (aby splnila nejakej EU projekt) pozaduje ve svy LANce dualstack. Maj tam jako router FortiGate a IPv4 konektivitu jim nyni davame na VLANe primo z naseho core.
Jak nejelegantneni pro ne rozjet IPv6? Routovat to pomoci link-local adres? Nebo ?

Diky.

[radik]

Na link-local adresy bych to nedelal, pri vymene routeru pak bude problem. Udelej nejakou spojovacku a naroutuj jim /56. S tim at si pak delaji co chteji.

[sub_zero]

No jelikoz se jim starame i o ten FortiGate, tak ta implementace bude cela na nas. Takze hledam “best practicles” cestu.
Problem je, ze ta /48 konci na CPE dodavatele a je tam rozjety DHCPv6-PD. Takze se budu muset jeste domluvit s domluvit s nim, at to zrusi a cely to naroutuje k nam. Tzn. i on bude muset pouzit nejakej spojovak /pokud to teda neudela na LL adresach/.

[radik]

No zalezi jak si to prebiras. Pokud ti dava cely /48 tak si s tim uz dal udelas co chces. I ted to ma naroutovany (pokud to spravne chapu). Ono u IPv6 budou mit stejne vsichni casem problem pokud nebudou mit svuj blok IPv6, protoze davat /64 klientovi je nesmysl. Pokud se bude davat /56 tak max pripojis 256 klientu.

[sub_zero]

No prave ze naroutovany to nemame. Oni to nastavili na jejich odchozi iface k nasemu routeru. Takze kdyz odpojim nas router, dam si tam PC, tak budu fungovat - maj tam DHCPv6
Coz je samozrejme spatne, protoze Ty ip potrebuju u nas v LANu.

[Dalibor Toman]

https://www.cesnet.cz/wp-content/upload ... Pv6-PD.pdf

[sub_zero]

výborný! Díky