Mikrotik: включаем IPv6
Курс «Настройка оборудования MikroTik»
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.Требования
- Ваш провайдер должен предоставлять IPv6
- Необходимо удостовериться что MAC-адрес интерфейса, подключенного к провайдеру совпадает с DUID
Посмотреть MAC-адреса:
> /interface ethernet print
Посмотреть DUID можно в DHCPv6 Client, он начинается с «00030001» и далее идет MAC-адрес. Т.е. если MAC-адрес порта «AA:22:33:44:55:66» то DUID должен быть «00030001AA2233445566»
Включаем
Открываем System → Packages. Если пакет ipv6 есть в списке - включаем его и перезагружаем роутер. Если нет - качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.
Настраиваем
Настраиваем DHCPv6 клиент
Открываем IPv6 → DHCP Client и создаем новую запись:
- Interface - интерфейс, через который подключен провайдер. Если работаете через PPTP, PPPoE и прочие VPN - необходимо выбрать именно этот интерфейс
- Pool Name - любое понятное вам имя, например ipv6-pool
- Pool Prefix - 64
- Use Peer DNS - включаем если собираемся использовать DNS провайдера
- Add Default Route - включаем
Настраиваем IPv6 адрес
Открываем IPv6 → Addresses и создаем новую запись:
- Address - ::/64
- From Pool - имя пула ipv6 адресов из предыдущего пункта, в нашем случае ipv6-pool
- Interface - интерфейс, который смотрит в домашнюю локальную сеть, у меня это мост bridge-local
- EUI64 - включаем
- Advertise - включаем
После этого адрес ::/64 на интерфейсе bridge-local должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.
Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.
Базовая настройка Firewallv6
Открываем IPv6 → Firewall
Базовые правила:
> /ipv6 firewall filter > add chain=input action=drop connection-state=invalid > add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER > add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local > add chain=input action=accept protocol=icmpv6 limit=50,5 > add chain=forward action=accept protocol=icmpv6 limit=50,5 > add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 > add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER > add chain=input action=drop > add chain=forward action=drop
Где YOUR-PROVIDER - имя интерфейса провайдера
Объяснение строк:
2 строка: блокировать все «неправильные» соединения
3-4 строки: пропускать уже установленные соединения
5-6 строки: пропускать ICMP-пакеты, но ограничить лимит
7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера
8 строка: пропускать все из вашей локальной сети в Интернет
9-10 строки: заблокировать все остальное
127.0.0.1