Mikrotik: включаем IPv6

  • Ваш провайдер должен предоставлять IPv6
  • Необходимо удостовериться что MAC-адрес интерфейса, подключенного к провайдеру совпадает с DUID

Посмотреть MAC-адреса:

> /interface ethernet print

Посмотреть DUID можно в DHCPv6 Client, он начинается с «00030001» и далее идет MAC-адрес. Т.е. если MAC-адрес порта «AA:22:33:44:55:66» то DUID должен быть «00030001AA2233445566»

Открываем System → Packages. Если пакет ipv6 есть в списке - включаем его и перезагружаем роутер. Если нет - качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.

Настраиваем DHCPv6 клиент

Открываем IPv6 → DHCP Client и создаем новую запись:

  • Interface - интерфейс, через который подключен провайдер. Если работаете через PPTP, PPPoE и прочие VPN - необходимо выбрать именно этот интерфейс
  • Pool Name - любое понятное вам имя, например ipv6-pool
  • Pool Prefix - 64
  • Use Peer DNS - включаем если собираемся использовать DNS провайдера
  • Add Default Route - включаем

Настраиваем IPv6 адрес

Открываем IPv6 → Addresses и создаем новую запись:

  • Address - ::/64
  • From Pool - имя пула ipv6 адресов из предыдущего пункта, в нашем случае ipv6-pool
  • Interface - интерфейс, который смотрит в домашнюю локальную сеть, у меня это мост bridge-local
  • EUI64 - включаем
  • Advertise - включаем

После этого адрес ::/64 на интерфейсе bridge-local должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.

Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.

Открываем IPv6 → Firewall

Базовые правила:

> /ipv6 firewall filter
> add chain=input action=drop connection-state=invalid 
> add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER
> add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local 
> add chain=input action=accept protocol=icmpv6 limit=50,5 
> add chain=forward action=accept protocol=icmpv6 limit=50,5 
> add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 
> add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER
> add chain=input action=drop 
> add chain=forward action=drop

Где YOUR-PROVIDER - имя интерфейса провайдера

Объяснение строк:

2 строка: блокировать все «неправильные» соединения

3-4 строки: пропускать уже установленные соединения

5-6 строки: пропускать ICMP-пакеты, но ограничить лимит

7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера

8 строка: пропускать все из вашей локальной сети в Интернет

9-10 строки: заблокировать все остальное