Mikrotik hAPac2 Digi (ONE) ipv6 nem megy

IPv6
  • 1137 megtekintés

( bennyh | 2025. 02. 25., k – 12:17 )

Amiket ugye meg lehet nézni:

- a router tudja-e pingelni a google v6-os DNS címeit

- a kliensek kapnak e a digi-s prefxből címeket

- kliensekről traceroute a google v6-os DNS szerverei felé mit mond

A másik, hogy a RouterOS-ben ráfeküdtek a v6-ra és érdemes lenne frissíteni, most jött ki a 7.18 is.

Egyébként gondolkodtam én is ax eszköz upgraden, de mivel a háztartásban egyetlen eszköz wifi6 képes, így feleslegesnek találtam a beruházást.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

- [zslaszlo@MikroTik] > ping ipv6.google.com
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    failure: dns name exists, but no appropriate record

- nem kapnak a digis prefixből címeket, hanem a saját poolból (192.168.x.x-nek megfelelő ip tartomány)

- zslaszlo@zsigmond-latitude5420:~$ ping -6 google.com
ping: connect: Network is unreachable
 

Érdekes, mert tegnap megújítottam kézzel az ipv6 címeket és működött is. Kaptam a digis prefixből ip-t. Egészen a következő újraindításig. Tehát valahol a prefix és a dhcp környékén kell lenni a gebasznak szerintem. 

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( pt56 | 2025. 02. 25., k – 16:34 )

Nem teljesen analóg és lehet, hogy nem segít, de én a Digi-s ipv6-tal is szívtam Mikrotik-en.

A ppp interfészre kaptam ip-t, a /64-es prefix is megjelent, a router-ről el is értem a v6-os hálózatot, de a mögötte lévő eszközökön nem (ip-t kaptam, de forgalmazni nem tudtam). Az volt a megoldás, hogy a bridge1-re (ahol a többi eszköz van) kellett a v6-os tartományból húzni egy ip-t, és minden rendben lett, azóta is így működik.

A v6-os dhcp kliens beállításainál egy "script" fut le, amikor v6-os ip-t/prefix-et kérek:

:if ($leaseBound = "1") do={
    /ipv6 address add address=::1/64 from-pool=digi interface=bridge1 advertise=yes
}

( zslaszlo v | 2025. 02. 25., k – 20:04 )

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Sajnos mégsem jó. A következő újraindítás után továbbra sincs publikus ipv6 kiosztás. Gondolom ugyanaz volt, mint néhány napja, ha manuálisan megújítom megy, de a következő indulásnál már nem tud címet kiosztani. Keresem tovább a lehetőségeket. Bármilyen ötletet szívesen fogadok.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Alapbol tul hosszu az RA a Mikrotiken, le kell kicsit roviditeni, nekem a lenti bevalt (szinten Digi):

interface=bridge ra-interval=3m20s-10m ra-delay=3s mtu=unspecified
      reachable-time=unspecified retransmit-interval=unspecified
      ra-lifetime=30m ra-preference=medium hop-limit=64
      advertise-mac-address=yes advertise-dns=yes
      managed-address-configuration=no other-configuration=no

Maszkolás:

/ipv6 firewall nat

add action=masquerade chain=srcnat comment="Masquerade not LAN subnets" connection-state="" out-interface-list=MASQ src-address-list=Local-range to-address=::/64

Ahol a MASQ listában ott a PPPoE, a Local range meg a helyi címtartomány (eredetileg ULA-t használtam volna, de jobb egy (2001:)db8-as tartomány, csak ki kell szedni a bad_ipv6 tiltólistáról)

Ha csak prefix-et akarod maszkolni:

/ipv6 firewall nat

add action=netmap chain=srcnat comment=IPV6SNAT connection-state="" out-interface-list=WAN src-address-list=\
    LAN-pri to-address=[szolgáltatótol kapott /64-es prefix]::/64

add action=netmap chain=dstnat comment=IPV6DNAT connection-state="" dst-address=[szolgáltatótol kapott /64-es prefix]::/64 \
    dst-address-list="" dst-address-type=!local in-interface-list=WAN to-address=[LAN tartomány, ULA vagy DB8]::/64

A szolgáltatói prefix frissítése a szabályokban DHCPv6 kliensen futtatott scripttel (poolname legyen, amit használsz a szolgáltatói tartomány tárolásához):

:local poolname "Digi-pool";
:delay 1s;
:if ( [/ipv6 pool print count-only where name=$poolname] =1 ) do= { 
  :local ispprefix [/ipv6 pool get value-name=prefix $poolname];
  /ipv6 firewall nat set to-address=$ispprefix [find comment="IPV6SNAT"];
  /ipv6 firewall nat set dst-address=$ispprefix [find comment="IPV6DNAT"];
  /ipv6 firewall connection remove [find];

Én úgy csinálom, hogy a LAN felől prefix translation van, minden más alhálóról az internet felé meg maszkolás.

Elsőre szerintem próbálj egy db8-as tartományt a LAN-on és hozzá maszkolást és úgy teszteld. Ha minden működik és össze tudtad integrálni a meglevő szabályaiddal, utána jöhet a prefix translation (netmap)

elavult címtartomány "visszahívására".

Mi számít elavultnak ?

SLAAC nál is van "lease time"  mint a DHCP nél, és ha az lejár akkor az IP nek le kell konfigurálódnia.

Persze értem én, hogy a szolgáltató balszfasz és az 1 hetes lease time-al kiadott tartományt 5 perc múlvva másik váltja fel, de ezt miért kell megerőszakolni ?

Most hirtelen nem tudom, de mintha rémlene, hogy routeros ben is felül lehet ezeket az értékeket bírálni, szóval mondhatod, hogy neked 5 perc múlvva lejár és újítsa meg ...

Fedora 43, Thinkpad x280