Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: mivasi_ 05. 09. 2023, 17:19:17
-
Ahoj,
mam na strese 60G Mikrotik ve sprave ISP a za nim svoje hAP. Pozadal jsem ISP o IPv6, dostal jsem /48 subnet (zadnou adresu na WAN, zadnou gateway), a kdyz se pokusim nastavit na WAN adresu (resp. /64) z toho /48 subnetu, tak moje hAP zacne rvat, ze `duplicate address detected`. Adresu gatewaye bych asi mohl dostat pres RA, ale predpokladam, ze v tom pripade by se mi sama pridala i default routa, kdyz mam Accept RA nastaveno na yes.
Mam pravdu, kdyz si myslim, ze je na strane ISP neco blbe, ze bych mel dostat jeste tu adresu na WAN a mozna i adresu gatewaye? Nebo je nejaky zpusob, jak to rozchodit i s tim, co mam?
-
Jestliže je to ROS7 a máš to nastaveno stylem:
/ipv6 settings set disable-ipv6=no forward=yes accept-router-advertisements=yes
tak se ti default routa a přidělené IP dle SLAAC musí objevit normálně v /ipv6/address|routes. Bacha, po zapnutí toho výše se to správně rozjede až po rebootu. Pokud máš starší ROS6, tak ten to nezobrazuje, ale pokud to funguje, tak např. nějaký /tool traceroute 2a00:1450:4009:822::2004 musí ukázat, že to jde správně ven.
Zapni si debug na RA a uvidíš v logu, zda to rádio na střeše něco vůbec posílá:
/system logging add topics=radvd,debug
V tvém případě autokonfiguračně správně je mít v provozu DHCPv6-PD. Můžeš zkusit ten, zda dostaneš příděl:
/ipv6 dhcp-client add add-default-route=yes interface=wanport pool-name=mujpridel request=prefix
A když ne, tak asi statická konfigurace a jít se zeptat k ISP, jak ti to vlastně nastavil...
-
Chjo ...
A nemas nahodou nejakou adresu uz pridelenou?
Na routovani IPv6 ti staci linkova (fe80...) adresa protistrany, nepotrebujes mit verejnou adresu. Pokud se pouziva RA, tak se ti prave ta prida do routovaci tabulky.
Ovsem nekteri ISP pouziji trebas prvni /64 z pridelenyho rozsahu prave na linku k tobe. Takze jestli ji tam nastavujes znova, tak ti to bude pochopitelne rvat.
A pokud chces nejakou radu, vypis sem adresy (klidne si je nejak anonymizuj) a routy z ty svy krabice, bez toho se da leda vestit.
-
Mám ROS7. Zkusil jsem ten reboot, ale ten nic neudělal. RA loguje akorát `received Router Solicitation on bridge...`. DHCPv6 klienta jsem zkoušel (address i prefix) a dostal jsem kulový.
`/ipv6 export` mi vyplivne akorát firewall a `/ipv6 settings set accept-router-advertisements=yes max-neighbor-entries=15360`. Ve WebFigu (normálně používám WinBox, teď se k tomu routeru dostávám přes TeamViewer a jsem rád za WebFig, tak mě neukřižujte) vidím v Addresses na ether1 i na bridgi link-local adresu, stejně tak v routes, viz screenshot, ale default routa tam neni.
Subnet jsem dostal ve stylu `2a03:71xx:xxxx::/48`. Když zkusím ping na `2a03:71xx:xxxx::1`, tak mi něco odpovídá (a skoro určitě to není moje hAP).
-
Tak se podívej pod /ipv6/neighbor, tam by jsi měl uvidět co to něco je, jaká MAC patří k 2a03:71xx:xxxx::1, na jakém je to interface a zda dle detekce odpovídá routeru (R příznak). Pokud to bude wan port, MAC bude i odpovídat RBčku na střeše (co vidíš třeba pod /ip/neighbor), tak je to asi ten krám tam, tak bych is nastavil 2a03:71xx:xxxx::2/64, bránu na tu 2a03:71xx:xxxx::1 a uvidíš. :-)
Ale pokud máš ten hap jako router a je to staticky nastaveno, tak pokud budeš chtít mít IPv6 i v LAN, tka si s ISP musíš domluvit na jakou IPv6 ti má co routovat. Ano, na té spojce střecha -tvůj router to může být na fe80:: link local adresách.
-
Tam tu IP vůbec nevidim, jsou tam jen link-local adresy a všechny mají interface bridge. Jdu napsat tomu ISP, nechtěl jsem ho prudit, pokud by byla chyba na mé straně, ale evidentně je fakt něco nestandardně.
-
ISP (Infos Art?) bych se zeptal:
- jak mate nakonfigurovat WAN IPv6 adresu a jak WAN default gateway (staticka adresa i gw, SLAAC pro adresu + gw, DHCPv6 IA pro adresu a RA pro gw)
- jak routuji tu pridelenou /48 - pomoci DHCPv6 PD nebo staticky - pokud staticky, tak na jakou vasi WAN adresu
Pokud je v tom jakakoli staticka konfigurace, at poslou vsechny staticke adresy a masky site
-
Jj, Infos. Oni jsou lokální (v podstatě wifinář, ale na steroidech) a IPv6 normálně koncákům nedávají, nejspíš proto mi taky dali tak velký subnet.
Já mezitím přišel s teorií, že běžnej postup u nich je, že firma, která chce IPv6, má přístup do CPE, oni na něj naroutují ten /48 subnet a zákazník si s tím subnetem na CPE dělá co chce. Většinou to CPE asi bude nějaký router s SFP modulem, do kterého jen Infos přivede vlákno. Jenže tohle je domácí přípojka, dost možná první s IPv6 v jejich síti, a já se do CPE nedostanu, takže CPE má v6 konektivitu do světa a tím to hasne.
Napsal jsem jim, s trochou štěstí mi z toho CPE pošlou aspoň /56 + adresu, ale trochu se bojím, že to bude pro ně moc nestandardní námahy a skončím u veřejné IPv4 (samozřejmě placené). Na výběr tu z poskytovatelů moc není a až na tu IPv6 jsou parametry té přípojky velmi solidní. Ale třeba překvapí a budu moct oslavovat, že můj ISP není bezcitný korporát. :D
-
Tak překvapili a dostal jsem login a heslo k CPE. :D Teď jsem ale trochu ztracenej. Ideálně bych udělal to, že část toho subnetu použiju na spojení CPE a hAP a /56 použiju na hAP pro LAN.
Na CPE je toto (wlan60 je WAN, ether1 je LAN):
/ipv6 address
add address=2a03:71yy:yyyy:yyyy::2 advertise=no interface=wlan60-1
add address=2a03:71xx:xxxx::1 interface=ether1
add address=2a03:71xx:xxxx:aa00::/56 advertise=no interface=ether1
/ipv6 route
add distance=1 gateway=2a03:71yy:yyyy:yyyy::1
a na hAP toto:
/ipv6 address
add address=2a03:71xx:xxxx:aa00::1 interface=bridge
/ipv6 settings
set accept-router-advertisements=yes max-neighbor-entries=15360
hAP si normálně CPE najde pomocí RA a konektivita z hAP ven funguje, ale zařízení v LAN se ven nedostanou. Napadá někoho, co mám blbě?
-
Tak to má být, tady máte přístup, nastvte ať to funguje, my to pak okopírujeme jinam. :-)
To 2a03:71yy:yyyy:yyyy::/64 je spojovák k ISP. Předpokládám, že 2a03:71xx:xxxx::/48 je to, co ti přidělal a z toho ti trochu neštastně nasměroval do ether1 k tobě /56 blok.
Segment 2a03:71xx:xxxx::1/64 máš na lince k tobě. Na hap bych dal (ether1 je linka k isp a bridge je LAN předpokládám):
/ipv6 address
add address=2a03:71xx:xxxx::2/64 interface=ether1 advertise=no
add address=2a03:71xx:xxxx:aa00::1/64 interface=bridge advertise=yes
/ipv6 route
add distance=1 gateway=2a03:71xx:xxxx::1
add blackhole distance=123 dst-address=2a03:71xx:xxxx::/48
/ipv6 settings
set accept-router-advertisements=no
Na tom 60GHz rádiu (ponechat):
/ipv6 address
add address=2a03:71yy:yyyy:yyyy::2 advertise=no interface=wlan60-1
add address=2a03:71xx:xxxx::1 interface=ether1
/ipv6 route
add distance=1 gateway=2a03:71yy:yyyy:yyyy::1
(zrušit IPčko):
/ipv6 address
add address=2a03:71xx:xxxx:aa00::/56 advertise=no interface=ether1
(a přidat routy):
/ipv6 route
add distance=1 gateway=2a03:71xx:xxxx::2 dst-address=2a03:71xx:xxxx::/48
add blackhole distance=123 dst-address=2a03:71xx:xxxx::/48
Takto budeš mít staticou konfiguraci. spojovací segmnt mezo 60G a hap je ten 2a03:71xx:xxxx::/64 a rádio tvůj příděl /48 posélá na IPčko na WAN toho hapu 2a03:71xx:xxxx::2.
Jak jsi to měl, tak z LAN by ti pakety ven odešly, ale nebyla cesta zpět z 60G rádia k tobě dolů.
-
Nemyslím, že by to bylo o jejich lenosti/neschopnosti, nabídli mi i možnost přepnout CPE do bridge a pak bych měl ten /48 subnet u sebe na hAP. Akorát teď u té přípojky nejsem fyzicky a nechci riskovat, že to na dálku rozbiju a pak budu muset jet přes půl republiky to spravovat, resp. že oni z toho 60G udělají bridge a mně se pak rozbije hAP, které nebude mít IPv4 (v síti ISP se nastavuje staticky, DHCP server dělá až to CPE). Nějak zprovoznit IPv6 a do IPv4 vůbec nesahat je bezpečnější řešení.
co ti přidělal a z toho ti trochu neštastně nasměroval do ether1 k tobě /56 blok
to je moje práce, předtím byl na 60G na WAN ten /48 blok a na LAN nic
Jinak moc díky, to cos poslal funguje. Teď teda můžu na hAP v LAN použít celou tu /48 kromě spojovacího segmentu?
-
JJ, máš to doma celé. Chápu, toho spojovacího segmentu je škoda. Byla by smůla, kdyby kvůli tomu nezbyla IPv6 adresa pro nějakého roztoče u tebe doma. Takže vyhoď ty IPv6 2a03:71xx:xxxx::1|2/64 adresy z ether1 na obou koncích a ty routy mezi 60G a hap nasměruj na link local adresy, takže něco jako:
/ipv6 route
add distance=1 gateway=fe80::123%ether1 (na hapu)
....
add distance=1 gateway=fe80::789%ether1 dst-address=2a03:71xx:xxxx::/48 (na 60G)
Samozřejmě tu správnou link local fe80::... adresu protistrany, jak ji vidíš pod /ipv6/address na protistraně.
U IPv6 stačí, aby byla na routeru jen jedna globální IPv6 adresa, takže spojení z hap routeru ven použije automaticky tu adresu, co budeš mít nastavenu třeba na té LAN straně (2a03:71xx:xxxx:aa00::1).
-
Asi se bez toho spojovacího segmentu obejdu, možná ho zkusím vyměnit za ty link-local adresy jen tak pro radost. Ještě jednou díky!