Назад | Перейти на главную страницу

Вручную подсеть префикс IPv6 через несколько маршрутизаторов MikroTik без делегирования префикса

Я хочу настроить свою сеть так, чтобы хосты могли автоматически адресовать IPV6 Глобальные одноадресные адреса ("GUA") с помощью SLAAC. У меня есть :: / 48 (присвоено Ураган Электрик), которые я хочу разделить на подсети и распределить для этой цели по нескольким маршрутизаторам. Однако я следил за документацией MikroTik для Распределение префиксов, ("PD"), но он не создал рабочую конфигурацию.

Реализация DHCPv6-сервера MikroTik - который также обеспечивает функциональность PD- был сломан в течение многих лет и остается разоблаченным с RouterOS v6.46.6. Как я могу _РУЧНУЮ__ подсеть и адресовать маршрутизаторы MikroTik, используя назначенный мне :: / 48?

DHCPv6-сервер MikroTik- который также обеспечивает функциональность PD- работа над ним ведется годами, поэтому я хотел избежать каких-либо зависимостей от него. это Как документирует, как я этого добился, чтобы спасти других, решивших ту же проблему заново.

Итак, если вы настраиваете свою сеть, чтобы позволить хостам автоматически настраивать IPv6-адреса GUA на нескольких маршрутизаторах, но вам также нужна альтернатива MikroTikреализация DHCPv6-сервера, продолжайте читать ...

0. КАК ОБЪЕМ:

Это HowTo проинструктирует, как вручную разбить подсети префикса :: / 48 и настроить (2) маршрутизаторы с Соседское открытие, RIPng включен и несколько статических маршрутов. Хосты настроят адрес GUA в подсети интерфейса, к которому они подключаются.

Распределение префиксов, Сервер DHCPv6 и Клиент DHCPv6 являются НЕ покрыты, поскольку они не используются в конфигурации.

Я также не подробно узнать, как :: / 48 выходит из Маршрутизатор №1 к Интернету, поскольку это может зависеть от сети. то есть :: / 48 Hurricane Electric, назначенный мне (СВОБОДНО!) маршруты из 6to4 туннель, тогда как у вас может быть :: / 48, назначенный непосредственно вашим интернет-провайдером, и ничего из этого не будет.

Безопасность IPv6 - это тема, которую лучше рассматривать отдельно и выходить за рамки этого практического руководства. Если у вас нет настроенного IPv6 FW, после того, как все заработало, вы можете просто отключить интерфейсы IPv6, пока не настроите набор разумных правил.

1. СОВМЕСТИМОСТЬ:

Поскольку эта конфигурация использует только Соседское открытие, интерфейсы с адресацией вручную, RIPng & некоторые статическая маршрутизация, он должен быть невосприимчивым к поломке в будущем RouterOS обновления.

Клиенты, прошедшие тестирование на успешную автоадресацию с помощью этого решения:

  • Raspberry Pi4: Бег Бастер используя DHCP
  • MacBook: Запуск OSX Каталина 10.15.3, опять же, используя DHCP по умолчанию
  • IOS & iPadOS 13,41
  • Windows: А Virtualbox ВМ Windows 10 ВМ на моем MacBook с использованием моста

2. СРЕДСТВА ТЕСТИРОВАНИЯ IPv6:

Несколько инструментов, совместимых с IPv6, которые помогут вам протестировать и устранить неполадки в вашей конфигурации:

  • Браузер: https://test-ipv6.com. Примечание. Мобильный Firefox несовместим с адресами IPv6.
  • IOS: Приложение Hurricane Electric для iOS ping & traceroute Адреса IPv6 с iPhone и iPad
  • OSX:
    • ifconfig -a
    • netstat -r -f inet6
    • ping6
    • traceroute6
  • Linux:
    • ip -6 addr show
    • ip -6 route show
    • route -6 -n
    • ping6
    • traceroute6 -r

2001: 4860: 4860: 8888 это хороший адрес для проверки внешнего подключения; GoogleDNS.

3. ГЛОБАЛЬНАЯ УНИКАЛЬНАЯ АДРЕСАЦИЯ ("GUA") РУЧНАЯ АДРЕСАЦИЯ IPv6:

Использование префикса :: / 48 для:

2001:db8:1d4f::/48

Я проиллюстрирую, как я разбил на подсети назначенный мне :: / 48 Hurricane Electric и вручную адресовал интерфейсы на (2) маршрутизаторах. Однако процесс будет таким же для не-урагана, которому назначен :: / 48

3.1: ТОЧЕЧНЫЕ ССЫЛКИ:

В этом примере наши (2) маршрутизатора подключены друг к другу на эфир2 с помощью Local-Link fe80 :: / 10 адресов которые автоматически настраиваются сами. Объявления маршрутизатора, используемые для автоматической настройки адреса, делаются с использованием этих адресов Local-Link fe80 :: / 10, НЕ a Глобальные одноадресные адреса ("GUA").

Примечание по ссылкам P-2-P в RoS v6: Хотя :: / 126 или :: / 127 казалось бы очевидным выбором, поддержка :: / 127 будет только в RoS v7.

3.2 Маршрутизатор №1: (RB4011)

Прямое подключение к Интернету, отображение нескольких SSID для беспроводных клиентов. Хотя на моем RB4011 настроено множество интерфейсов для IPv6, для упрощения примера мы будем использовать только:

  • эфир2: Восходящая ссылка на Маршрутизатор # 2. Адрес GUA не требуется.
  • wlan1: 2001: db8: 1d4f:10:: 1/64
  • wlan2: 2001: db8: 1d4f:11:: 1/64
  • wlan3: 2001: db8: 1d4f:12:: 1/64
  • и т.д....

    /ipv6 address
    add address=2001:db8:1d4f:10::1 interface=wlan1
    add address=2001:db8:1d4f:11::1 interface=wlan2
    add address=2001:db8:1d4f:12::1 interface=wlan3
    

3.3 Маршрутизатор №2: (RB951-2n)

Соединен с Маршрутизатор №1, выставляя единственный SSID для беспроводных клиентов.

  • эфир2: 2001: db8: 1d4f:20:: 1/64 восходящего канала на Маршрутизатор # 1. НОТА: Добавлен адрес GUA для доступа к WebFig
  • эфир3: 2001: db8: 1d4f:21 год:: 1/64
  • эфир4: 2001: db8: 1d4f:22:: 1/64
  • эфир5: 2001: db8: 1d4f:23:: 1/64
  • wlan1: 2001: db8: 1d4f:24:: 1/64

    /ipv6 address
    add address=2001:db8:1d4f:20::1 interface=ether2-master
    add address=2001:db8:1d4f:21::1 interface=ether3
    add address=2001:db8:1d4f:22::1 interface=ether4
    add address=2001:db8:1d4f:23::1 interface=ether5
    add address=2001:db8:1d4f:24::1 interface=wlan1
    

3.4 Дополнительные маршрутизаторы:

Если бы был третий маршрутизатор, мы бы использовали 2001: db8: 1d4f:30:: X / 64, увеличивая подсеть на 10 и используйте адрес хоста "1". При раскрытии большого количества SSID рекомендуется увеличивать количество подсетей в четных числах, кратных больше 10, чтобы все было в порядке.

3.5 Адресация хоста:

После настройки адресов GUA маршрутизаторов на маршрутизаторах и выполнения других последующих шагов сетевые узлы будут автоматически настраивать адрес GUA через SLAAC из той же подсети, что и интерфейс маршрутизатора, к которому они подключаются. то есть, используя приведенный выше план адресации для Маршрутизатор # 2, хост, подключающийся к Маршрутизатор # 2AP wlan1 автоматически настроит адрес GUA:

  • 2001: db8: 1d4f:24::PrivacyExtensionConfiguredByHost

4. МАРШРУТИЗАЦИЯ IPv6:

4.1 RIPng: ВСЕ Маршрутизаторы

  1. Маршрутизация > RIPng: Включить RIPng на всех интерфейсах маршрутизатора на всех маршрутизаторах

    /routing ripng interface
    add
    
  2. Маршрутизация > RIPng > Настройки RIPng: Включить "Перераспределить статические маршруты"

    /routing ripng
    set redistribute-static=yes
    

4.2 Статические маршруты: Маршрутизатор №1 ТОЛЬКО

  1. IPv6 > Маршруты: Вкл. Маршрутизатор # 1, Добавьте статический маршрут (ы) к интерфейсам восходящей связи для Маршрутизатор # 2 (и любые дополнительные маршрутизаторы), подключенные к Маршрутизатор # 1. Используя план адресации, это будет:

    2001: db8: 1d4f:20:: 1/64

    /ipv6 route
    add distance=1 dst-address=2001:db8:1d4f:20::1/128 gateway=\
        ether2-AP2-RB951-2n
    

5. СОСЕДНИЕ ОТКРЫТИЯ («НД»)

Обнаружение соседей (ND) используется для разрешения адресов канального уровня (аналогично ARP) и автоконфигурации адреса. ND является неотъемлемой частью ВСЕ Автоконфигурация IPv6-адреса SLAAC, Сервер DHCPv6 & Делегирование префикса (PD).

IPv6 > ND > Добавить новое: На каждом маршрутизаторе добавьте только интерфейсы, к которым клиенты будут подключаться и использовать для SLAAC настройка автоадреса. Обратите внимание, что для MTU установлено значение 1280, так как это размер, используемый Hurricane Electric, который направляет :: / 48, который они назначили мне.

Для Маршрутизатор # 1 это было бы:

  • wlan1
  • wlan2
  • wlan3

    /ipv6 nd
    set [ find default=yes ] disabled=yes other-configuration=yes
    add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan2 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan3 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    

Для Маршрутизатор # 2 это было бы:

  • эфир3
  • эфир4
  • эфир5
  • wlan1

    /ipv6 nd
    set [ find default=yes ] disabled=yes hop-limit=64 interface=ether2-master \
        mtu=1280 other-configuration=yes ra-lifetime=10m reachable-time=10m \
        retransmit-interval=10m
    add hop-limit=64 interface=ether3 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=ether4 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=ether5 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    

ПРИМЕЧАНИЕ ПО БЕЗОПАСНОСТИ: Существует проблема безопасности при использовании ND RA (Объявления маршрутизатора) для настройки автоадреса. Злоумышленник, имеющий доступ к подключенной сети, может ввести RA в сеть, инициируя добавление устройством адреса IPv6 или маршрута по умолчанию.

6. Установите источники IPv6 DNS и NTP:

DNS:

IP > DNS: Добавить источник DNS IPv6, например 2001:4860:4860::8888 (Google) на IPv4:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,2001:4860:4860::8888

NTP:

Система > Клиент NTP: Добавить источник IPv6 NTP, например 2610:20:6f15:15::27 к IPv4:

/system ntp client
set enabled=yes primary-ntp=216.239.35.0 secondary-ntp=2610:20:6f15:15::27

7. РАЗРЕШИТЬ ДОСТУП ДЛЯ АДМИНИСТРАТОРА:

Если вы хотите использовать IPv6-адрес для доступа через Webfig или SSH, не забудьте обновить:

IP > Сервисы и добавьте подсети, чтобы разрешить административный доступ к MikroTik.

Вывод:

К этому моменту у вас должны быть клиенты, автоматически настраивающие адреса GUA IPv6. Если вы обнаружите какие-либо ошибки / упущения, сообщите мне, чтобы я мог обновить документацию.

Не забудьте потратить некоторое время на настройку IPv6 > Брандмауэр и ужесточить безопасность, или, по крайней мере, отключить интерфейсы IPv6, пока у вас не будет на это времени. Надеюсь, вы нашли это полезным и помогли быстро освоиться.