+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Переадресация IPv6 не работает в версии 7.1beta6

Переадресация IPv6 не работает в версии 7.1beta6, RouterOS

robertpenz

Guest

23.05.2021 10:41:00

Привет! ОБНОВЛЕНИЕ: IPv6 пересылка вообще не работает — не важно, добавляю ли я 2 VLAN и пытаюсь пинговать между ними или использую нижеописанную схему. Счётчики правил IPv6-файрвола не увеличиваются (в том числе и для правил invalid drop). Я также отключил все очереди — так что это тоже не может быть проблемой. Раньше у меня всё работало на версии 6.x без проблем:

/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 name=pppoeDslInternet
/ipv6 dhcp-client add interface=pppoeDslInternet pool-name=poolIPv6ppp request=prefix use-peer-dns=no
/ipv6 address add address=::1 from-pool=poolIPv6ppp interface=vlanInternal

С 7.1beta6 у меня возникла проблема: IPv6 трафик от клиентов не пересылается на pppoeDslInternet — я вижу трафик в снайфере на vlanInternal, он идёт к роутеру, но не выходит через pppoeDslInternet. Таблица маршрутизации выглядит так:

> /ipv6/route/print
Flags: D - ДИНАМИЧЕСКИЙ; I - НЕАКТИВЕН; A - АКТИВЕН; c - СОЕДИНЕНИЕ; d - DHCP; v - VPN; y - КОПИЯ; H - HW ОФФЛОУДЕД
Столбцы: DST-ADDRESS, GATEWAY, DISTANCE
DST-ADDRESS GATEWAY D
DAv ::/0 pppoeDslInternet 1
DAd xxxx:xxxx:xxxx:5f60::/60 1
DAc xxxx:xxxx:xxxx:5f61::/64 vlanInternal 0

Пересылка включена:
/ipv6 settings set accept-router-advertisements=no max-neighbor-entries=1024

Мост на роутере не настроен (/interface/bridge/export пуст), VLAN напрямую привязан к интерфейсу:
/interface vlan add interface=ether2 name=vlanInternal vlan-id=1

Также я могу пинговать ::1 на vlanInternal из интернета, так что IPv6 вообще работает. Фаервол пропускает все пакеты, идущие из внутренней сети в интернет:

/ipv6 firewall filter
add action=log chain=forward log=yes
add action=accept chain=forward comment="только ответы --> пропустить" connection-state=established
add action=accept chain=forward comment="только ответы --> пропустить" connection-state=related
add action=accept chain=forward comment="из нашей защищённой внутренней сети --> пропустить" in-interface=vlanInternal

P.S. Я пробовал отключать и включать IPv6 как временное решение, но это не помогло. Любая помощь приветствуется!
С уважением, Роберт

volkirik Guest	#2 0 12.07.2021 18:55:00 Спасибо за ответ. Да, кажется, нужно исправить много багов.

robertpenz

Guest

08.06.2021 18:07:00

Спасибо за совет — по крайней мере для beta4 у меня тоже сработало... удалил все правила файрвола для ipv6, и всё начало работать, причём продолжало работать даже после того, как я их снова применил — по крайней мере последние пару минут.

volkirik

Guest

12.07.2021 17:47:00

Баг есть на моём rb4011 с 7.1beta6... Откатился на 6.49beta54, пока не выйдет фикс бага с IPv6 в v7.1. Очистка правил файрвола и повторный импорт не помогли. Все TCP-соединения становятся неотслеживаемыми и недействительными в 7.1beta6.

Cablenut9 Guest	#5 0 12.07.2021 18:23:00 7.1beta6 ужасно глючит на RB4011, так что хорошо, что ты сделал даунгрейд.

mducharme

Guest

13.07.2021 03:42:00

Проблемы, которые у меня возникают с RB4011 и IPv6, связаны с отсутствием локальных адресов link-local. Когда маршрутизатор только запускается, я получаю link-local IPv6-адреса для некоторых интерфейсов, но не для моста. Без этого хосты в мосту не могут подключиться к Интернету. Если отключить IPv6 через IPv6->Settings и сразу же включить его обратно, отсутствующие link-local адреса появятся у моста и других интерфейсов, где они отсутствовали.

robertpenz Guest	#7 0 13.07.2021 05:32:00 У меня в настройках нет моста, всё маршрутизируется. Так что, похоже, это разные проблемы.

Foxeh Guest	#8 0 16.07.2021 05:49:00 Согласен. После перезагрузки 951G-2HnD 7.1 beta6 в мосту нет IPv6. Повторное включение IPv6 в настройках решает эту проблему.

hacky

Guest

25.11.2021 14:36:00

Проблемы с IPv6 в версиях 7.1beta6 и выше тоже есть. В 7.1 beta4 всё работает отлично. Тестировал на 750G r3. Использую такую конфигурацию, которая нормально работает на 7.1 beta4, но RA, похоже, не работает в 7.1 beta6 и новее. Клиенты не получают IPv6 из пула. Странно, что у меня была такая же проблема раньше на стабильных версиях RouterOS 6.48 и 6.49, и приходилось переключаться на long-term ветку, чтобы всё заработало. Думаю, это может быть регрессия ("портированные функции и исправления, введённые в v6.49", по changelog beta6). Может, с моей конфигурацией что-то не так или необычно? От провайдера приходит /56 IPv6 пул, использую RA от Mikrotik для раздачи IPv6 устройствам в сети... Готов дать больше информации, если понадобится.

[admin@MikroTik] /ipv6> export
# 25.11.2021 15:30:03, RouterOS 7.1beta4
#
# модель = RouterBOARD 750G r3
/ipv6 dhcp-server
add disabled=yes interface="VDSL" name=ipv6
/ipv6 address
add from-pool=ppp-ipv6-pool interface=bridge no-dad=yes
/ipv6 dhcp-client
add add-default-route=yes interface="VDSL" pool-name=ppp-ipv6-pool pool-prefix-length=56 prefix-hint=::/56 request=prefix use-peer-dns=no
/ipv6 firewall filter
add chain=input comment="Router - Разрешить IPv6 ICMP" protocol=icmpv6
add chain=input comment="Router - Принять установленные соединения" connection-state=established
add chain=input comment="Router - Принять связанные соединения" connection-state=related
add action=drop chain=input comment="Router - Отклонить недействительные соединения" connection-state=invalid
add chain=input comment="Router- UDP" dst-port=546 protocol=udp src-address=fe80::/64
add action=drop chain=input comment="Router - Заблокировать остальной трафик"
add action=drop chain=forward comment="LAN - Отклонить недействительные соединения" connection-state=invalid
add chain=forward comment="LAN - Разрешить ICMPv6" protocol=icmpv6
add chain=forward comment="LAN - Разрешить установленные соединения" connection-state=established
add chain=forward comment="LAN - Разрешить связанные соединения" connection-state=related
add action=log chain=forward comment="LAN - Логировать всё остальное" disabled=yes log-prefix="Log IPv6"
add action=drop chain=forward comment="LAN - Заблокировать всё остальное" connection-state=new in-interface="VDSL"
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=bridge
/ipv6 settings
set accept-redirects=no
[admin@MikroTik] /ipv6>

mkx

Guest

#10

26.11.2021 05:21:00

Установите длину префикса в 64 на DHCP-клиенте. Это свойство задаёт длину префикса, которая используется при назначении IPv6-адреса, и не имеет никакого отношения к запросу пула у провайдера (для этого служит prefix-hint).

hacky

Guest

#11

26.11.2021 10:55:00

Спасибо за ответ! Поменял на 64, обновился до последней 7.1rc7, и клиенты получают IPv6, но трафик по IPv6 не проходит. Похоже, я столкнулся с проблемой форвардинга IPv6. Пробовал отключать и включать IPv6 в настройках IPv6->settings, но без толку. Даже ping6 не проходит.

P.S. Как только откатился обратно на 7.1beta4, всё сразу заработало без каких-либо изменений в конфигурации. Работает и с длиной префикса 64, и с 56. Так что, по моему мнению, форвардинг действительно сломался в последних сборках 7.1 (и я всё ещё думаю, что это связано с интеграцией функций из версии 6.49 в бету6, потому что у меня была такая же проблема в 6.48 или 6.49 — точно не помню).

Znevna Guest	#12 0 26.11.2021 11:12:00 Ты уверен, что твоя проблема не связана с этим? http://forum.mikrotik.com/t/v7-1rc1-development-is-released/151250/1

hacky Guest	#13 0 26.11.2021 11:58:00 Большое спасибо! Это помогло. Убрал add-default-route из DHCPv6 клиента, обновился до rc7, и теперь всё работает отлично. Странно, что раньше всё работало долгое время с дефолтным маршрутом от DHCPv6 клиента.

lightbulb703 Guest	#14 0 29.12.2021 22:57:00 У меня была такая проблема в версии v7.1.1 (stable). Может, кому-то поможет. Я настроил правило в таблице Mangle, чтобы помечать пакеты в цепочке prerouting для новых соединений, приходящих с глобальных адресов в LAN (использую динамически обновляемый список адресов при обновлении DHCPv6-клиентом), а затем исключаю эти пакеты из сброса по invalid (добавляю action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid packet-mark=!ipv6-packet-from-LAN) в цепочке forward в таблице Filter: /ipv6 firewall address-list add address=2001:db8::/56 comment=ipv6pool list=globalallowed /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid packet-mark=!ipv6-packet-from-LAN add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /ipv6 firewall mangle add action=mark-packet chain=prerouting connection-state=new in-interface-list=LAN new-packet-mark=ipv6-packet-from-LAN passthrough=yes src-address-list=globalallowed add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры