DIGI IPv6 EdgeRouter 4-en keresztül

Hálózati eszközök

Sziasztok!

Adott egy DIGI internet kapcsolat, ami egy Huawei HG8143A5-n keresztül érkezik. Ezt EdgeRouter 4-essel osztom helyi hálózaton.
Namost szeretném, ha az IPv6 is működne, de úgy néz ki, hogy a tűzfal ezt megakadályozza.

A DIGI felől az IPv6 tesztelve, működik. Az EdgeRouter is be van konfigurálva úgy, hogy az eth0 (wan) felől menjen az IPv6 forgalom.
Minden helyi gép kap IPv6 címet is, viszont a ping6 már nem jut kifele.

PING google.com(bud02s21-in-x0e.1e100.net (2a00:1450:400d:806::200e)) 56 data bytes

From 2a01-036d-0121-024b-0000-0000-0000-0001.pool6.digikabel.hu (2a01:36d:121:24b::1) icmp_seq=1 Destination unreachable: Address unreachable

Érzésem szerint nem jutnak ki a packetek (vagy nem jutnak át) a tűzfalon, pedig a routeren be van konfigurálva.

Ezeket a konfigurációs lépéseket hajtottam végre:

edit firewall ipv6-name WAN6_IN 
set default-action drop
set rule 10 action accept
set rule 10 description "allow established"
set rule 10 protocol all
set rule 10 state established enable
set rule 10 state related enable
set rule 20 action drop
set rule 20 description "drop invalid packets"
set rule 20 protocol all
set rule 20 state invalid enable
set rule 30 action accept
set rule 30 description "allow ICMPv6"
set rule 30 protocol icmpv6
set rule 40 action accept
set rule 40 description "allow DHCPv6 client/server"
set rule 40 destination port 546
set rule 40 source port 547
set rule 40 protocol udp
top

edit firewall ipv6-name WAN6_LOCAL
set default-action drop
set rule 10 action accept
set rule 10 description "allow established"
set rule 10 protocol all
set rule 10 state established enable
set rule 10 state related enable
set rule 20 action drop
set rule 20 description "drop invalid packets"
set rule 20 protocol all
set rule 20 state invalid enable
set rule 30 action accept
set rule 30 description "allow ICMPv6"
set rule 30 protocol icmpv6
set rule 40 action accept
set rule 40 description "allow DHCPv6 client/server"
set rule 40 destination port 546
set rule 40 source port 547
set rule 40 protocol udp
top

set interfaces ethernet eth0 firewall in ipv6-name WAN6_IN
set interfaces ethernet eth0 firewall local ipv6-name WAN6_LOCAL

edit interfaces ethernet eth0
set dhcpv6-pd pd 0 prefix-length /64
set dhcpv6-pd pd 0 interface eth1 host-address ::1
set dhcpv6-pd pd 0 interface eth1 prefix-id :0
set dhcpv6-pd pd 0 interface eth1 service slaac
top

Szívesen vennék ötleteket, vajon mit / hol rontottam el vagy hagytam ki?
 

  • 444 megtekintés

( kruska v | 2021. 12. 17., p – 11:13 )

Szerkesztve: 2021. 12. 17., p – 11:14

A routeren tudsz kifelé pingetni? Routing rendben van? (show ipv6 route)

IPv4-en minden rendben van. A routing nekem jónak tűnik:

IPv6 Routing Table

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type 2, B - BGP
Timers: Uptime

IP Route Table for VRF "default"
S      ::/0 [1/0] via ::, eth0, 02w3d02h
C      ::1/128 via ::, lo, 02w3d02h
C      2a01:36d:121:24b::1/128 via ::, eth0, 02w1d20h
C      2a01:36d:121:412::/64 via ::, eth1, 5d08h00m
C      fe80::/64 via ::, eth2, 02w3d02h

Kinem nem inge, ne vegye gatyára

( PunishR v | 2021. 12. 17., p – 13:02 )

a WAN6_IN es a WAN6_LOCAL 20-as rule-ja maris DROP, ami utana van mar nem ervenyesul

Az enyém is hasonló, de működik ez így. A 20-nál a feltétel miatt (state invalid enable) csak az invalid állapotúakat dobja el.

IPv6 Firewall "WANv6_LOCAL":

 Active on (eth9,LOCAL)

rule  action   proto     packets  bytes                                   
----  ------   -----     -------  -----                                   
10    accept   all       133898   37859937   condition - state RELATED,ESTABLISHED                                         
20    drop     all       0        0          condition - state INVALID                                                     
30    accept   ipv6-icmp 38504    2741608                                 
40    accept   udp       14       2448       condition - udp spt:dhcpv6-server dpt:dhcpv6-client                           
10000 drop     all       0        0          condition - LOG enabled

( uid_6201 v | 2021. 12. 17., p – 14:33 )

fe80::/10 forráscímről jövő csomagokra is figyelj az INPUT chain-ben.
Kell a neighbor discovery és hasonló low level hálózati dolgokhoz.

Egyébként próbaként mindent amit nem fogadsz, küldj LOG-ba a DROP előtt és nézd meg mi hiányzik a sikerhez.

( SCOPE | 2021. 12. 18., szo – 00:41 )

/off

Tegyél rá OpenWRT-t, és egyszerűsödik az életed. Elvileg erre is lehet.

Tényleg.  Én most tettem egyet  a kistestvérére, és nem bántam meg.

Ráadásul újabb kernelt is kapsz az OpenWRT-hez.

/on