====== Mikrotik: включаем IPv6 ======

<callout type="tip" icon="true" title="Курс «Настройка оборудования MikroTik»">Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
<btn type="primary" size="sm" icon="glyphicon glyphicon-link">[[https://курсы-по-ит.рф/lp-mikrotik-mtcna?utm_source=wiki-rtza&utm_medium=cpc&utm_campaign=8| Узнать подробности]]</btn>
</callout>

===== Требования =====
  * Ваш провайдер должен предоставлять IPv6
  * Необходимо удостовериться что MAC-адрес интерфейса, подключенного к провайдеру совпадает с DUID

Посмотреть MAC-адреса:
<code>
> /interface ethernet print
</code>

Посмотреть DUID можно в DHCPv6 Client, он начинается с "00030001" и далее идет MAC-адрес. Т.е. если MAC-адрес порта "AA:22:33:44:55:66" то DUID должен быть "00030001AA2233445566"

===== Включаем =====

Открываем System -> Packages. Если пакет ipv6 есть в списке - включаем его и перезагружаем роутер. Если нет - качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.

===== Настраиваем =====

==== Настраиваем DHCPv6 клиент ====

Открываем IPv6 -> DHCP Client и создаем новую запись:
  * Interface - интерфейс, через который подключен провайдер. Если работаете через PPTP, PPPoE и прочие VPN - необходимо выбрать именно этот интерфейс
  * Pool Name - любое понятное вам имя, например ipv6-pool
  * Pool Prefix - 64
  * Use Peer DNS - включаем если собираемся использовать DNS провайдера
  * Add Default Route - включаем

==== Настраиваем IPv6 адрес ====

Открываем IPv6 -> Addresses и создаем новую запись:
  * Address - ::/64
  * From Pool - имя пула ipv6 адресов из предыдущего пункта, в нашем случае ipv6-pool
  * Interface - интерфейс, который смотрит в домашнюю локальную сеть, у меня это мост bridge-local
  * EUI64 - включаем
  * Advertise - включаем

После этого адрес ::/64 на интерфейсе bridge-local должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.

Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.

===== Базовая настройка Firewallv6 =====

Открываем IPv6 -> Firewall

Базовые правила:

<code>
> /ipv6 firewall filter
> add chain=input action=drop connection-state=invalid 
> add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER
> add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local 
> add chain=input action=accept protocol=icmpv6 limit=50,5 
> add chain=forward action=accept protocol=icmpv6 limit=50,5 
> add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 
> add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER
> add chain=input action=drop 
> add chain=forward action=drop
</code>

Где YOUR-PROVIDER - имя интерфейса провайдера

Объяснение строк:

2 строка: блокировать все "неправильные" соединения

3-4 строки: пропускать уже установленные соединения

5-6 строки: пропускать ICMP-пакеты, но ограничить лимит

7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера

8 строка: пропускать все из вашей локальной сети в Интернет

9-10 строки: заблокировать все остальное

{{tag>mikrotik ipv6 firewall}}