+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Framed-IPv6-Prefix

Framed-IPv6-Prefix, RouterOS

liteforce

Guest

23.12.2011 00:12:00

Привет, народ! Мы просто в ударе, пытаясь заставить RouterOS/PPC 5.11 нормально работать со статически заданным атрибутом Framed-IPv6-Prefix:. Если это хоть как-то поможет, у нас здесь L2TP/PPP, а не PPPoE/PPP, но базовые концепции одинаковы. Вот базовый PPP профиль:

/ppp profile
set default change-tcp-mss=yes name=default only-one=default remote-ipv6-prefix-pool=none use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default
add change-tcp-mss=yes dhcpv6-pd-pool=adsl-dhcpv6-test dns-server=192.0.2.1,192.0.2.2 local-address=192.0.2.254 name=default-l2tp only-one=default remote-ipv6-prefix-pool=adsl-prefix-test use-compression=no use-encryption=no use-ipv6=yes use-mpls=no use-vj-compression=no
set default-encryption change-tcp-mss=yes name=default-encryption only-one=default remote-ipv6-prefix-pool=none use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default

/ppp aaa
set accounting=yes interim-update=1m use-radius=yes

Используя вышеуказанное с атрибутом remote-ipv6-prefix-pool:, каждый раз, когда пользователь подключается и успешно договаривается по IPv6CP с нашим роутером, он получает динамически выделенный префикс из этого пула, который с нашей стороны маршрутизируется через PPP-интерфейс пользователя.

Интересный момент: если мы статически задаём remote-ipv6-prefix: для пользователя:

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=sampleuser@ourrealm.net.uk password=blah profile=default-l2tp remote-address=192.0.2.10 remote-ipv6-prefix=2001:db8:1000:2::/64 routes="" service=l2tp

— это вообще никак не влияет. Пользователь по-прежнему получает префикс из пула. Теперь, поскольку мы всё равно хотим статически назначать префиксы пользователям, мы убираем пул из PPP профиля, а в результате пользователь вообще не получает никакого префикса.

Я также проверял это с FreeRADIUS 2.1.12 (по сути, пробовал с локальной конфигурацией пользователя, чтобы исключить проблему с RADIUS) и вот таблицы radcheck/radreply:

mysql> SELECT * FROM radcheck WHERE username = 'sampleuser@ourrealm.net.uk';
+-----+----------------------------+--------------------+----+----------+
| id | username | attribute | op | value |
+-----+----------------------------+--------------------+----+----------+
| 164 | sampleuser@ourrealm.net.uk | Cleartext-Password | := | blah |
+-----+----------------------------+--------------------+----+----------+
1 row in set (0.00 sec)

mysql> SELECT * FROM radreply WHERE username = 'sampleuser@ourrealm.net.uk';
+------+----------------------------+------------------------------+----+----------------------+------+
| id | username | attribute | op | value | type |
+------+----------------------------+------------------------------+----+----------------------+------+
| 1986 | sampleuser@ourrealm.net.uk | Mikrotik-Delegated-IPv6-Pool | := | 2001:db8:1002::/48 | l2tp |
| 1984 | sampleuser@ourrealm.net.uk | Framed-IP-Address | := | 192.0.2.10 | l2tp |
| 1988 | sampleuser@ourrealm.net.uk | Framed-IPv6-Prefix | := | 2001:db8:1000:2::/64 | l2tp |
+------+----------------------------+------------------------------+----+----------------------+------+

Наш RADIUS возвращает все три атрибута, и пока атрибут Mikrotik-Delegated-IPv6-Pool обрабатывается RouterOS нормально — он виден при выполнении ‘/ipv6 dhcp-server print’, атрибут Framed-IPv6-Prefix: не обрабатывается вообще, хотя логи от нас показывают, что префикс возвращается RADIUS и при этом префикс валиден (не «искажённый» шестнадцатеричный, как упоминали предыдущие участники).

NAS (mpd5 на FreeBSD), который мы сейчас используем, обрабатывает Framed-IPv6-Prefix от нашего RADIUS без проблем.

Если мы что-то делаем не так, я готов признать свою ошибку и извиниться перед ребятами из Латвии за необоснованные жалобы, но на данный момент, похоже, с обработкой Framed-IPv6-Prefix в RouterOS 5.x реально что-то не в порядке.

Готов предоставить supout или дополнительную информацию при необходимости.

С уважением,
Терри Фрой
Spilsby Internet Solutions
http://www.spilsby.net/

liteforce Guest	#2 0 21.01.2012 19:04:00 Подтверждено, что исправлено в версии 5.12 (согласно списку изменений). С уважением, Терри Фрой Spilsby Internet Solutions http://www.spilsby.net/

janisk Guest	#3 0 23.01.2012 10:11:00 Спасибо, что подтвердили, что проблема решена.

Jeeves

Guest

15.02.2012 12:12:00

Хмм. Значит, я что-то делаю не так. Мой Mikrotik по-прежнему раздаёт префиксы из своего пула, а не те, что ему выдает Radius. Ниже смотрите лог отладки и конфигурацию. Если кто-то может прояснить, буду признателен. Спасибо.

Ответ Radius:
13:08:57 radius,debug,получен пакет Access-Accept с id 18 от 31.3.104.47:1812
13:08:57 radius,debug,пакет
Signature = 0xb336a4431e29721eb3d6a52530d6fabb
Service-Type = 2
Framed-Protocol = 1
Framed-IP-Address = 192.168.210.192
Framed-IP-Netmask = 255.255.255.0
MT-Wireless-PSK = "2a03:7900:201:e00::/56"
Framed-IPv6-Prefix = 2a03:7900:202::/64

DHCPv6:
13:09:06 dhcp,debug,получен пакет <pppoe-tuxis> fe80::dcf6:5009:adfc:cf12 -> ff02::1:2
13:09:06 dhcp,debug,пакет solicit
13:09:06 dhcp,debug,transaction-id: aa93ad
13:09:06 dhcp,debug,клиентid: 00030001 586d8f15 547b
13:09:06 dhcp,debug,ia_na: 00000000 00000e10 00001518
13:09:06 dhcp,debug,oro: 00170018 001f
13:09:06 dhcp,debug,elapsed_time: 0
13:09:06 dhcp,debug,ia_pd:
13:09:06 dhcp,debug,t1: 3600
13:09:06 dhcp,debug,t2: 5400
13:09:06 dhcp,debug,id: 0x0
13:09:06 dhcp,debug,обработка iapd: 0x0
13:09:06 dhcp,debug,выдана динамическая привязка
13:09:06 dhcp,debug,пакет отправлен <pppoe-tuxis> -> fe80::dcf6:5009:adfc:cf12%18
13:09:06 dhcp,debug,advertise
13:09:06 dhcp,debug,transaction-id: aa93ad
13:09:06 dhcp,debug,клиентid: 00030001 586d8f15 547b
13:09:06 dhcp,debug,серверid: 00030001 000c4299 113b
13:09:06 dhcp,debug,ia_pd:
13:09:06 dhcp,debug,t1: 129600
13:09:06 dhcp,debug,t2: 207360
13:09:06 dhcp,debug,id: 0x0
13:09:06 dhcp,debug,ia_prefix:
13:09:06 dhcp,debug,preferred: 233280
13:09:06 dhcp,debug,valid: 259200
13:09:06 dhcp,debug,prefix: 2a03:7900:201::/56

Вот это странно.

Конфигурация:
/ppp profile print
1 name="profile1" local-address=192.168.200.1 remote-ipv6-prefix-pool=pool2 dhcpv6-pd-pool=pool1 use-ipv6=yes use-mpls=no use-compression=no use-vj-compression=no use-encryption=no only-one=yes change-tcp-mss=yes

/ipv6 pool print
Флаги: D - динамический
# ИМЯ ПРЕФИКС ДЛИНА ПРЕФИКСА
0 pool1 2a03:7900:201::/48 56
1 pool2 2a03:7900:202::/48 64

Jeeves

Guest

15.02.2012 13:46:00

Хорошо, значит я выяснил, что MT-Delegated-IPv6-Pool не должен быть префиксом, а именно именем пула. Верно? Жаль, потому что тогда нельзя статически задать префикс для клиента. Но Delegated-IPv6-Prefix не поддерживается. Он будет поддерживаться?

omidkosari Guest	#6 0 31.03.2012 13:05:00 Странная проблема с использованием remote-ipv6-prefix-pool. При следующих настройках, когда я подключаюсь к роутеру через VPN, назначение IPv6 работает нормально, но при подключении через PPPoE с тем же именем пользователя это никак не влияет, и пользователь не получает IPv6-префикс. ROS v5.14 /ppp profile add change-tcp-mss=no dns-server=208.67.222.222 local-address=10.11.174.1 name=temp only-one=default remote-address=10.11.174.253 remote-ipv6-prefix-pool=adsl use-compression=no use-encryption=no use-ipv6=yes use-mpls=default use-vj-compression=no /ppp secret add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=test password=test profile=temp routes="" service=any /ipv6 pool add name=adsl prefix=2a00:1ce0:fe00::/40 prefix-length=64

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры