MikroTik s dynamickou IPv6 /64 konektivitou

[Martin-2]

Zdravím, O2 se na fixní 5G přípojce pochlapilo a rozhodlo začít dodávat IPv6, samozřejmě to má háček a je to pouze jedna /64 a ještě je dynamická. Hned jako první dotaz byl dokoupení statické (jak mám u Metronetu) ale to není možné.
Změna operátora nelze (nikdo jiný nemá volný slot).

Doporučení technika je aktivovat "dualstack na routeru" ale nedoporučuje to (proč nevysvětlil), tím jakákoliv informace od O2 skončila.

Současná konfigurace je LTE modem (MF268) > Hap ax3> PC,tv,atd.
1) Pokud ponechám MF268 v režimu router, odstraním mikrotika a místo něj zapojím switch (MF268 > Switch > pc,tv,atd.)
Zařízení dostanou IPv6

2) Pokud ponechám MF268 v režimu router a propojím napřímo s pc  (MF268 > PC)
Dostane PC IPv6 konektivitu

3) Pokud ponechám MF268 v režimu router nebo bridge, ponechám mikrotika tak v routerOS tools/Ping nebo traceroute IPv6 funguje ale pouze na routeru (MF268 > mikrotik > pc,tv,atd.)
Zařízení nedostanou IPv6 (pc,tv,atd.)

Současné nastavení: Modem v režimu bridge
Mikrotik v7.13.5:
a)-> accept router advertisements: YES
b)-> Tím se přidělila do addresses dynamická IP
c)-> Ostatní nastavení IPv6 jsou ve výchozím stavu

Co jsem zkoušel: smazat firewall, smazat veškerá nastavení IPv6, asi 8 různých návodů jak by to mohlo fungovat (většinou fórum mikrotik), údajně by mělo pomoci ndp-proxy které ale není v RouterOS implementováno (našel jsem žádost z roku 2013), pak už jsem musel odejít.

Lze tedy v RouterOS nějak nastavit aby pustil dál tu IPv6? Jediná možnost co mě napadá je udělat IPv6 NAT a maškarádu (tak se nám kruh uzavřel) ale nevím zda to nepřinese jen problémy a jestli to vůbec lze nastavit.

Nějaké návrhy?

[Reklama]

[Ondřej Caletka]

Vraťte se k variantě 1. Nic lepšího tady asi nevymyslíte. Skoro všechny 3GPP sítě podporují jen právě jeden prefix o délce /64 bez podpory pro PD a navíc zafirewallovaný pro nevyžádaný provoz z internetu. Pokud Mikrotik neumí NDP proxy, není žádná jiná cesta, jak takový prefix dostat na druhou stranu routeru.

[Don.J]

Kombinaci modem v režimu bridge a MKT s DHCPv6 klientem? ...v režimu adresa + prefix nebo pouze prefix, tuto kombinaci jsi nezmínil. Nech v IPv6 accept RA na yes.

Myšlenka - jak dostal modem v režimu router adresu?

[5nik]

Navrhuji LTE do režimu bridge, mikrotik do režimu brouter. Brouter v tomto případě = router pro IPv4 a bridge pro IPv6.
Idea je taková, že "wan" a "lan" porty normálně zapojíte do bridge, ale na bridge pomocí Filters si zvolíte, že IPv6 provoz pustíte bridgem dále do lan portů a zbytku zakážete L2 forward. V nastavení bridge zapněte L3 filtrování (Use IP Firewall) a můžete postavit normální firewall (jen se bude malinko lišit pravidla, protože in i out iface je pořád bridge, nutné filtrovat dle In Bridge Port a Out Bridge Port).

[Ondřej Caletka]

Kombinaci modem v režimu bridge a MKT s DHCPv6 klientem? ...v režimu adresa + prefix nebo pouze prefix, tuto kombinaci jsi nezmínil. Nech v IPv6 accept RA na yes.

Ten LTE modem určitě nepodporuje DHCPv6 PD.

Myšlenka - jak dostal modem v režimu router adresu?

Modem v režimu router možná adresu ani nemá, nebo má jednu adresu z dané /64. Určitě používá RFC 7278.

[Reklama]

[fidko2000]

Osobne by som urobil:
LTE modem ponechat v mode router
Mikrotik nastavit v mode bridge - vsetky eth porty+wlan do bridge - tym by mal mikrotik preposielat cely traffic transparentne dalej (mal by sa spravat ako switch)
IPv6 pre mikrotik nastavit nad interfejsom bridge

[Martin-2]

Ještě jsem se zkusil obrátit na podporu ZTE a O2 s dotazem jak je jednotka MF268 nakonfigurována. Odpověď: od ZTE - Kontaktujte svého ISP, odpověď O2: Kontaktujte výrobce. Tolik k tomu jak to je nastaveno.

p. Caletka - Bohužel dohledal jsem že RouterOS ndp-proxy nemá a ani neplánuje přidat, takže v současném stavu je to bez šance jak uvádíte.
 
K myšlence - Modem žádnou konfiguraci IPv6 nemá, pouze režim Bridge a Router (kde nastavujete pouze IPv4). Jediné co zobrazí je info o IPv6 WAN a potom sekci ping a traceroute kde je ji možné zadat.
V RouterOS/IPv6/Firewall/connections je vidět že: IPv6 modemu -> IPv6 bridge
Co s jistotou vím že to funguje. Ale jak to funguje to nelze zjistit, předpokládám že podle zmíněného RFC 7278

Zkoušel jsem návrh: DHCP client spojení nenaváže, prefix/address nehraje roli

Režim Brouter a Bridge - Než začnu se změnami, mám tam tři wireguardy: 1) Propojuje dvě sítě, 2) Back to home od mikrotiku kdyby selhalo vzdálené připojení 3) Záloha propojení dvou sítí (neaktivní, pouze kdyby Hlavní nefungoval)

Switch mode - Pokud z AX3 udělám switch tak předpokládám že wireguard bude nepoužitelný nebo to lze nakonfigurovat?

Brouter mode - Wireguard tím zůstane zachován nebo ne když vše bude pod bridge, IPv4 bude routovat ale když bude vše na bridge, bude vědět co kam?

[Ondřej Caletka]

Switch mode - Pokud z AX3 udělám switch tak předpokládám že wireguard bude nepoužitelný nebo to lze nakonfigurovat?

Bude normálně použitelný. RouterOS bude jen další "počítač" připojený ke switchi. Bude mít svou IP adresu a všechny služby na této adrese pojedou normálně.

Režim brouter - nedochází mi úplně v čem by takové řešení mělo přidanou hodnotu, naopak vidím velký problém něco takového troubleshootovat.

[Don.J]

Kombinaci modem v režimu bridge a MKT s DHCPv6 klientem? ...v režimu adresa + prefix nebo pouze prefix, tuto kombinaci jsi nezmínil. Nech v IPv6 accept RA na yes.

Ten LTE modem určitě nepodporuje DHCPv6 PD.

V tebou odkazované specifikaci je jasně napsané (1 - úvod, bod 2), že rádio část má dostat předem stanovenou adresu prefix /128 a do LAN segmentu přidělený prefix /64 pro "standardní" použití. ...Jak tedy dostane ten prefix? (řečnická otázka)
Problém je, zda se dokáže chovat v režimu bridge skutečně jako transparentní bridge (tedy pouze jako modem), což asi ne a to je kámen úrazu, ale dalo by se s tím žít pokud by se dal prefix routovat dál, což domrví největší komplikace - dynamicky měnící se přidělený prefix.

Ještě jsem se zkusil obrátit na podporu ZTE a O2 s dotazem jak je jednotka MF268 nakonfigurována. Odpověď: od ZTE - Kontaktujte svého ISP, odpověď O2: Kontaktujte výrobce. Tolik k tomu jak to je nastaveno.

Jestli jsi očekával něco jiného, tak jsi stále naivní. U O2 se na člověka, který skutečně ví o co jde nedostaneš a podpora výrobce (ne Čínská) ti poradí max. "a zkusili jste to vypnout a zapnout?", "Máte aktuální firmware?" ... ale víc ne, protože ani oni nemají relevantní informace a spousta ani o IPv6 nemá větší povědomí. Bohužel

Nicméně není důvod k "breku", to co máš je jen LTE, čili vyměnil bych to za LTE Mikrotik https://mikrotik.com/product/wap_lte_kit (MIPSBE) nebo https://mikrotik.com/product/wap_ac_lte_kit (ARM32), případně jiné LTE od MKT - pokud ti to fungovat nebude, tak to prostě do 14 dnů vrátíš (nesmíš to samozřejmě koupit na IČ), u nás to prodává kde kdo. Není to teda CAT12/13 jako to ZTE, je to "jen" CAT4 tedy max. 150/50 viz. https://mikrotik.com/product/r11e_lte ale pochybuji, že ti internet teče rychleji.

[Ondřej Caletka]

Kombinaci modem v režimu bridge a MKT s DHCPv6 klientem? ...v režimu adresa + prefix nebo pouze prefix, tuto kombinaci jsi nezmínil. Nech v IPv6 accept RA na yes.

Ten LTE modem určitě nepodporuje DHCPv6 PD.

V tebou odkazované specifikaci je jasně napsané (1 - úvod, bod 2), že rádio část má dostat předem stanovenou adresu prefix /128 a do LAN segmentu přidělený prefix /64 pro "standardní" použití. ...Jak tedy dostane ten prefix? (řečnická otázka)

Dostane se tam podle jinde odkázaného RFC 6949. Tedy pomocí velmi omezeného SLAAC uvnitř 3GPP kanálu. Žádné DHCPv6 tam neprobíhá.

[Martin-2]

To Don.J - Očekávání -  Toto je velmi častý omyl netrpělivých jedinců, v případě že se spojíte s někým kdo má snahu tak Vás přepojí na správného technika (ne pseudo technika) dokáží velmi kvalitně poradit což platí i pro O2 kdy mi technik pomohl vyřešit zapeklitý problém s připojením. To že někdo v podpoře ZTE nechtěl hledat v manuálu a poslal mě jinam je spíše lenost nízko placeného pracovníka než neznalost. Ale je to vždy loterie na koho narazíte takže to byla metoda "zeptám se a uvidím" která se tentokrát nevyplatila.

- K breku - To že nejde IPv6 podle plánu je smutné ale je to pokrok tím, že vůbec bylo něco přiděleno. Podle mě je to pozitivní zpráva pro všechny uživatele i když je provoz problematický. Měnit funkční bezproblémovou infrastrukturu za horší LTE jednotku nemá význam (praktický i finanční). Jakmile se bude dělat upgrade nebo nějaká větší změna pak to stojí za návrh ale rozhodně již 5G modem. Možná mikrotik otočí a zavede ndp-proxy která by tohle celé vyřešila pouhým nastavením.

- Pro zajímavost - V routerOS jsem povolil vzdálenou administraci skrze WAN na firewallu, na mobilu zapnul data a zkusil se připojit skrze winbox aplikaci na dynamickou adresu Hap AX3, k mému překvapení se vzdáleně připojím takže milé překvapení, že spojení není blokováno na firewallu O2 (ne že by to v současný moment mělo praktické využití), čekal jsem že to vůbec nebude fungovat.

Závěr - Zkusím převést router na switch mode a uvidím jak to bude fungovat, jinak vyčkám jestli O2 upraví IPv6 do funkční podoby