+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Не могу заставить работать настройку двойного роутера с IPv6.

Не могу заставить работать настройку двойного роутера с IPv6., RouterOS

n0xlf

Guest

11.09.2017 00:32:00

Я собираю портативный рейк для выездной программы обучения IP, где одним из компонентов является маршрутизатор Mikrotik Cloud Core. Verizon теперь предоставляет IPv6 PD только для мобильных статических решений (то есть больше нет IPv4, если он у вас уже не был), что как раз входит в курс, поэтому я начинаю это внедрять.

Я пытаюсь настроить Mikrotik так, чтобы обеспечить IPv6-соединение в разных ситуациях — то есть, если IPv6 доступен через любое WAN-соединение, которое у меня есть в конкретном месте, то в классе он должен работать. Для этого я включил приём RA и DHCPv6. Сам Mikrotik имеет IPv6-связь при тестах дома, используя RA от моего Edgerouter.

Для класса я назначил рекламируемый IP из подсети fd00::/64. Компьютеры, подключённые к нему, успешно создают свои fd00::/64 адреса через SLAAC, но при этом IPv6-связи нет, хоть и включена переадресация IPv6 на Mikrotik.

Долгосрочная цель — в классе эмулировать Verizon и выдавать PD студентам, которые будут настраивать своё оборудование, но пока даже простое IPv6-соединение — уже хороший старт… Есть идеи, как заставить работать эту странную конфигурацию? Возможно, я упускаю что-то простое… Использую версию 6.41rc26, если это важно. Спасибо!

n0xlf

Guest

27.09.2017 20:31:00

Небольшое замечание для тех, кто будет искать это в будущем: внешний WAN IP должен разрешать ICMP. Так что если вы за роутером, которым не управляете, и пытаетесь это сделать, скорее всего ICMP будет заблокирован, и ничего не получится.

ZeroByte

Guest

27.09.2017 20:40:00

Блокировать ICMP — это уже прошлый век в плане безопасности. Всем пора перестать так делать. Это ломает тонкие вещи, о которых большинство даже не подозревает, и при этом никак не улучшает безопасность, не делая ваш хост «невидимым». Ваш хост не станет невидимым от блокировки ICMP — если у вас хоть один порт открыт, сканирующие черви обязательно его найдут и опознают, будь то Apache на порту 80 или ssh на порту 61874.

n0xlf Guest	#4 0 27.09.2017 21:28:00 Согласен — хотелось бы, чтобы больше людей понимали важность ICMP в контексте IPv6. Вот неплохой блог на эту тему: https://blogs.cisco.com/security/icmp-and-security-in-ipv6

idlemind

Guest

28.09.2017 00:01:00

Очень важно обеспечить доступ к SSL-сайтам при изменении MTU в IPv4 (и других сервисах, использующих бит DF). В таких случаях маршрутизатор посылает сообщения ICMP "пакет слишком большой", как это происходит в IPv6. Проблемы с обнаружением пути MTU встречаются очень часто из-за страха перед ICMP. +1 всем героям ICMP!

ZeroByte

Guest

28.09.2017 03:57:00

Но... но clamp tcp mss же существует, верно? Это исправит ту кашу, что я наделаю, блокируя весь ICMP, да? Лучше уж применить костыль, чем позволить своему устройству обнаружиться с помощью пинг-сканирования. Если честно — в другой теме здесь упоминались атаки на истощение ND-кеша, вызванные IPv6-сканами. Это напоминает мне времена до того, как «no ip directed-broadcast» стал настройкой по умолчанию в Cisco (еще в эпоху IOS 11 — урааа). Тогда смурф-атаки были самым страшным видом DOS-атак, пока Cisco не устранили их с помощью этой простой функции. Интересно, какую базовую настройку по умолчанию введут, чтобы предотвратить атаки на истощение ND...

idlemind Guest	#7 0 28.09.2017 15:15:00 Опубликовал возможное решение в той ветке вместе с более постоянными идеями.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры