Два месяца назад IPv6 перестал работать на моём подключении Xfinity. Раньше всё работало прекрасно. Я был в затруднении. Сначала подумал, что проблема в настройках кабельного модема. И уж совсем не хотел копаться в службе поддержки Xfinity. Короче говоря, Xfinity поменяли способ работы с DHCPv6 в моём районе. Скорее всего, это внедрят и в других местах, так что, возможно, кому-то поможет избежать лишних проблем.
Они изменили расположение DHCPv6-сервера с локального диапазона (fec0::/10) на публичный IPv6. Думаю, это сделали, чтобы один сервер мог обслуживать несколько сетевых сегментов их зоны и чтобы сеть лучше масштабировалась. Конечно, никто из службы поддержки, с кем я общался, об этом не знал.
В итоге пришлось внести всего три изменения в настройки:
1) IPv6-файрвол: Изменил правило по умолчанию в цепочке input, разрешающее DHCPv6 (UDP, порты 547 и 546), чтобы оно пропускало ВСЕ адреса, а не только локальные. (Предполагаю, что на стороне Xfinity приняли меры безопасности.)
2) DHCPv6-клиент: Изменил настройки, чтобы НЕ добавлять маршрут по умолчанию. (Этот маршрут, как кажется, основывался на расположении сервера, который раньше был же и шлюзом. Раньше работало.) Теперь, когда сервер на публичном IP, он не доступен как шлюз.
3) IPv6-маршруты: Добавил статический маршрут ::/0 через ether1, чтобы добраться до остальной части интернета. (add disabled=no dst-address=::/0 gateway=ether1)
Есть мысли по поводу таких изменений со стороны Xfinity? Стандартные фильтры файрвола ждут локальные адреса, что, видимо, создаст проблемы с Mikrotik. И как вам мои изменения в конфигурации? Может, эта тема кому-то сэкономит время в будущем.
Они изменили расположение DHCPv6-сервера с локального диапазона (fec0::/10) на публичный IPv6. Думаю, это сделали, чтобы один сервер мог обслуживать несколько сетевых сегментов их зоны и чтобы сеть лучше масштабировалась. Конечно, никто из службы поддержки, с кем я общался, об этом не знал.
В итоге пришлось внести всего три изменения в настройки:
1) IPv6-файрвол: Изменил правило по умолчанию в цепочке input, разрешающее DHCPv6 (UDP, порты 547 и 546), чтобы оно пропускало ВСЕ адреса, а не только локальные. (Предполагаю, что на стороне Xfinity приняли меры безопасности.)
2) DHCPv6-клиент: Изменил настройки, чтобы НЕ добавлять маршрут по умолчанию. (Этот маршрут, как кажется, основывался на расположении сервера, который раньше был же и шлюзом. Раньше работало.) Теперь, когда сервер на публичном IP, он не доступен как шлюз.
3) IPv6-маршруты: Добавил статический маршрут ::/0 через ether1, чтобы добраться до остальной части интернета. (add disabled=no dst-address=::/0 gateway=ether1)
Есть мысли по поводу таких изменений со стороны Xfinity? Стандартные фильтры файрвола ждут локальные адреса, что, видимо, создаст проблемы с Mikrotik. И как вам мои изменения в конфигурации? Может, эта тема кому-то сэкономит время в будущем.
