Я хочу настроить свою сеть так, чтобы хосты могли автоматически адресовать IPV6 Глобальные одноадресные адреса ("GUA") с помощью SLAAC. У меня есть :: / 48 (присвоено Ураган Электрик), которые я хочу разделить на подсети и распределить для этой цели по нескольким маршрутизаторам. Однако я следил за документацией MikroTik для Распределение префиксов, ("PD"), но он не создал рабочую конфигурацию.
Реализация DHCPv6-сервера MikroTik - который также обеспечивает функциональность PD- был сломан в течение многих лет и остается разоблаченным с RouterOS v6.46.6. Как я могу _РУЧНУЮ__ подсеть и адресовать маршрутизаторы MikroTik, используя назначенный мне :: / 48?
DHCPv6-сервер MikroTik- который также обеспечивает функциональность PD- работа над ним ведется годами, поэтому я хотел избежать каких-либо зависимостей от него. это Как документирует, как я этого добился, чтобы спасти других, решивших ту же проблему заново.
Итак, если вы настраиваете свою сеть, чтобы позволить хостам автоматически настраивать IPv6-адреса GUA на нескольких маршрутизаторах, но вам также нужна альтернатива MikroTikреализация DHCPv6-сервера, продолжайте читать ...
Это HowTo проинструктирует, как вручную разбить подсети префикса :: / 48 и настроить (2) маршрутизаторы с Соседское открытие, RIPng включен и несколько статических маршрутов. Хосты настроят адрес GUA в подсети интерфейса, к которому они подключаются.
Распределение префиксов, Сервер DHCPv6 и Клиент DHCPv6 являются НЕ покрыты, поскольку они не используются в конфигурации.
Я также не подробно узнать, как :: / 48 выходит из Маршрутизатор №1 к Интернету, поскольку это может зависеть от сети. то есть :: / 48 Hurricane Electric, назначенный мне (СВОБОДНО!) маршруты из 6to4 туннель, тогда как у вас может быть :: / 48, назначенный непосредственно вашим интернет-провайдером, и ничего из этого не будет.
Безопасность IPv6 - это тема, которую лучше рассматривать отдельно и выходить за рамки этого практического руководства. Если у вас нет настроенного IPv6 FW, после того, как все заработало, вы можете просто отключить интерфейсы IPv6, пока не настроите набор разумных правил.
Поскольку эта конфигурация использует только Соседское открытие, интерфейсы с адресацией вручную, RIPng & некоторые статическая маршрутизация, он должен быть невосприимчивым к поломке в будущем RouterOS обновления.
Клиенты, прошедшие тестирование на успешную автоадресацию с помощью этого решения:
Несколько инструментов, совместимых с IPv6, которые помогут вам протестировать и устранить неполадки в вашей конфигурации:
ping
& traceroute
Адреса IPv6 с iPhone и iPadifconfig -a
netstat -r -f inet6
ping6
traceroute6
ip -6 addr show
ip -6 route show
route -6 -n
ping6
traceroute6 -r
2001: 4860: 4860: 8888 это хороший адрес для проверки внешнего подключения; GoogleDNS.
Использование префикса :: / 48 для:
2001:db8:1d4f::/48
Я проиллюстрирую, как я разбил на подсети назначенный мне :: / 48 Hurricane Electric и вручную адресовал интерфейсы на (2) маршрутизаторах. Однако процесс будет таким же для не-урагана, которому назначен :: / 48
В этом примере наши (2) маршрутизатора подключены друг к другу на эфир2 с помощью Local-Link fe80 :: / 10 адресов которые автоматически настраиваются сами. Объявления маршрутизатора, используемые для автоматической настройки адреса, делаются с использованием этих адресов Local-Link fe80 :: / 10, НЕ a Глобальные одноадресные адреса ("GUA").
Примечание по ссылкам P-2-P в RoS v6: Хотя :: / 126 или :: / 127 казалось бы очевидным выбором, поддержка :: / 127 будет только в RoS v7.
Прямое подключение к Интернету, отображение нескольких SSID для беспроводных клиентов. Хотя на моем RB4011 настроено множество интерфейсов для IPv6, для упрощения примера мы будем использовать только:
и т.д....
/ipv6 address
add address=2001:db8:1d4f:10::1 interface=wlan1
add address=2001:db8:1d4f:11::1 interface=wlan2
add address=2001:db8:1d4f:12::1 interface=wlan3
Соединен с Маршрутизатор №1, выставляя единственный SSID для беспроводных клиентов.
wlan1: 2001: db8: 1d4f:24:: 1/64
/ipv6 address
add address=2001:db8:1d4f:20::1 interface=ether2-master
add address=2001:db8:1d4f:21::1 interface=ether3
add address=2001:db8:1d4f:22::1 interface=ether4
add address=2001:db8:1d4f:23::1 interface=ether5
add address=2001:db8:1d4f:24::1 interface=wlan1
Если бы был третий маршрутизатор, мы бы использовали 2001: db8: 1d4f:30:: X / 64, увеличивая подсеть на 10 и используйте адрес хоста "1". При раскрытии большого количества SSID рекомендуется увеличивать количество подсетей в четных числах, кратных больше 10, чтобы все было в порядке.
После настройки адресов GUA маршрутизаторов на маршрутизаторах и выполнения других последующих шагов сетевые узлы будут автоматически настраивать адрес GUA через SLAAC из той же подсети, что и интерфейс маршрутизатора, к которому они подключаются. то есть, используя приведенный выше план адресации для Маршрутизатор # 2, хост, подключающийся к Маршрутизатор # 2AP wlan1 автоматически настроит адрес GUA:
Маршрутизация > RIPng: Включить RIPng на всех интерфейсах маршрутизатора на всех маршрутизаторах
/routing ripng interface
add
Маршрутизация > RIPng > Настройки RIPng: Включить "Перераспределить статические маршруты"
/routing ripng
set redistribute-static=yes
IPv6 > Маршруты: Вкл. Маршрутизатор # 1, Добавьте статический маршрут (ы) к интерфейсам восходящей связи для Маршрутизатор # 2 (и любые дополнительные маршрутизаторы), подключенные к Маршрутизатор # 1. Используя план адресации, это будет:
2001: db8: 1d4f:20:: 1/64
/ipv6 route
add distance=1 dst-address=2001:db8:1d4f:20::1/128 gateway=\
ether2-AP2-RB951-2n
Обнаружение соседей (ND) используется для разрешения адресов канального уровня (аналогично ARP) и автоконфигурации адреса. ND является неотъемлемой частью ВСЕ Автоконфигурация IPv6-адреса SLAAC, Сервер DHCPv6 & Делегирование префикса (PD).
IPv6 > ND > Добавить новое: На каждом маршрутизаторе добавьте только интерфейсы, к которым клиенты будут подключаться и использовать для SLAAC настройка автоадреса. Обратите внимание, что для MTU установлено значение 1280, так как это размер, используемый Hurricane Electric, который направляет :: / 48, который они назначили мне.
Для Маршрутизатор # 1 это было бы:
wlan3
/ipv6 nd
set [ find default=yes ] disabled=yes other-configuration=yes
add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
add hop-limit=64 interface=wlan2 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
add hop-limit=64 interface=wlan3 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
Для Маршрутизатор # 2 это было бы:
wlan1
/ipv6 nd
set [ find default=yes ] disabled=yes hop-limit=64 interface=ether2-master \
mtu=1280 other-configuration=yes ra-lifetime=10m reachable-time=10m \
retransmit-interval=10m
add hop-limit=64 interface=ether3 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
add hop-limit=64 interface=ether4 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
add hop-limit=64 interface=ether5 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
ra-lifetime=10m reachable-time=10m retransmit-interval=10m
ПРИМЕЧАНИЕ ПО БЕЗОПАСНОСТИ: Существует проблема безопасности при использовании ND RA (Объявления маршрутизатора) для настройки автоадреса. Злоумышленник, имеющий доступ к подключенной сети, может ввести RA в сеть, инициируя добавление устройством адреса IPv6 или маршрута по умолчанию.
IP > DNS: Добавить источник DNS IPv6, например 2001:4860:4860::8888
(Google) на IPv4:
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,2001:4860:4860::8888
Система > Клиент NTP: Добавить источник IPv6 NTP, например 2610:20:6f15:15::27
к IPv4:
/system ntp client
set enabled=yes primary-ntp=216.239.35.0 secondary-ntp=2610:20:6f15:15::27
Если вы хотите использовать IPv6-адрес для доступа через Webfig или SSH, не забудьте обновить:
IP > Сервисы и добавьте подсети, чтобы разрешить административный доступ к MikroTik.
К этому моменту у вас должны быть клиенты, автоматически настраивающие адреса GUA IPv6. Если вы обнаружите какие-либо ошибки / упущения, сообщите мне, чтобы я мог обновить документацию.
Не забудьте потратить некоторое время на настройку IPv6 > Брандмауэр и ужесточить безопасность, или, по крайней мере, отключить интерфейсы IPv6, пока у вас не будет на это времени. Надеюсь, вы нашли это полезным и помогли быстро освоиться.