+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPv6 — Verizon Fios — проблема

IPv6 — Verizon Fios — проблема, RouterOS

pawlisko

Guest

30.07.2022 01:24:00

Всем привет! Verizon Fios только что включил IPv6 у меня на участке, и это не работает. Раньше я использовал туннель HE.net 6-in-4, и всё отлично функционировало.

Конфигурация Verizon Fios:

/ipv6 settings set max-neighbor-entries=8192
/ipv6 dhcp-client add add-default-route=no disabled=no interface=WAN pool-name=Home-Main-DHCP-Pool-IPV6 request=prefix pool-prefix-length=56 prefix-hint=::/56 use-peer-dns=no
/ipv6 address add address=::1 from-pool=Home-Main-DHCP-Pool-IPV6 interface=LAN advertise=yes
/ipv6 firewall address-list add address=[SOMETHING] list="IPv6 Block"
/ipv6 firewall filter add action=jump chain=forward comment="jump to kid-control rules" jump-target=kid-control
[Несколько MAC-адресов сетевых устройств, которые нужно заблокировать для использования IPv6]
/ipv6 firewall filter add action=drop chain=forward comment="Drop AppleTV" src-mac-address=[Private]
/ipv6 firewall filter add action=drop chain=forward comment="IPv6 block" dst-address-list="IPv6 Block" out-interface=WAN
/ipv6 firewall filter add action=accept chain=input comment="Allow UDP" protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="Allow TCP" protocol=tcp
/ipv6 firewall filter add action=accept chain=input comment="WireGuard на MikroTik домашней сети" dst-address=::1/128 dst-port=52850 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="WireGuard на MikroTik гостевой сети" dst-address=::1/128 dst-port=52860 protocol=udp
/ipv6 firewall filter add chain=input action=drop connection-state=invalid comment="Drop (invalid)"
/ipv6 firewall filter add chain=input action=accept connection-state=established,related comment="Accept (established, related)"
/ipv6 firewall filter add chain=input action=accept connection-state=new in-interface=!WAN comment="Accept new"
/ipv6 firewall filter add chain=input action=accept in-interface=WAN protocol=udp src-port=547 limit=10,20:packet comment="Accept DHCP (10/сек) - сервер"
/ipv6 firewall filter add chain=input action=drop in-interface=WAN protocol=udp src-port=547 comment="Drop DHCP (>10/сек) - сервер"
/ipv6 firewall filter add chain=input action=accept in-interface=WAN protocol=udp src-port=546 limit=10,20:packet comment="Accept DHCP (10/сек) - клиент"
/ipv6 firewall filter add chain=input action=drop in-interface=WAN protocol=udp src-port=546 comment="Drop DHCP (>10/сек) - клиент"
/ipv6 firewall filter add chain=input action=accept in-interface=WAN protocol=icmpv6 limit=10,20:packet comment="Accept внешний ICMP (10/сек)"
/ipv6 firewall filter add chain=input action=drop in-interface=WAN protocol=icmpv6 comment="Drop внешний ICMP (>10/сек)"
/ipv6 firewall filter add chain=input action=accept in-interface=!WAN protocol=icmpv6 comment="Accept внутренний ICMP"
/ipv6 firewall filter add chain=input action=drop in-interface=WAN comment="Drop внешний трафик"
/ipv6 firewall filter add chain=input action=reject comment="Отказать всему остальному"
/ipv6 firewall filter add chain=output action=accept comment="Принять всё"
/ipv6 firewall filter add chain=forward action=drop connection-state=invalid comment="Drop (invalid)"
/ipv6 firewall filter add chain=forward action=accept connection-state=established,related comment="Accept (established, related)"
/ipv6 firewall filter add chain=forward action=accept connection-state=new in-interface=!WAN comment="Accept new"
/ipv6 firewall filter add chain=forward action=accept in-interface=WAN protocol=icmpv6 limit=20,50:packet comment="Accept внешний ICMP (20/сек)"
/ipv6 firewall filter add chain=forward action=drop in-interface=ether1 protocol=icmpv6 comment="Drop внешний ICMP (>20/сек)"
/ipv6 firewall filter add chain=forward action=accept in-interface=!WAN comment="Accept внутренний"
/ipv6 firewall filter add chain=forward action=accept out-interface=WAN comment="Accept исходящий"
/ipv6 firewall filter add chain=forward action=drop in-interface=WAN comment="Drop внешний"
/ipv6 firewall filter add chain=forward action=reject comment="Отказать всему остальному"
/ipv6 nd set [ find default=yes ] interface=LAN managed-address-configuration=yes

Моя предыдущая конфигурация HE.net 6-to-4 была:

/ipv6 settings set max-neighbor-entries=8192
/ipv6 route add disabled=no dst-address=2000::/3 gateway=2001:470:1f06:226::1
/ipv6 address add address=2001:470:1f07:226:: interface=LAN
/ipv6 address add address=2001:470:1f06:226::2 advertise=no interface=sit1
/ipv6 firewall address-list add address=[SOMETHING] list="IPv6 Block"
/ipv6 firewall filter add action=jump chain=forward comment="jump to kid-control rules" jump-target=kid-control
[Несколько MAC-адресов сетевых устройств, которые нужно заблокировать для использования IPv6]
/ipv6 firewall filter add action=drop chain=forward comment="Drop AppleTV" src-mac-address=[Private]
/ipv6 firewall filter add action=drop chain=forward comment="IPv6 block" dst-address-list="IPv6 Block" out-interface=sit1
/ipv6 firewall filter add action=accept chain=input comment="Router Разрешить IPv6 ICMP" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="Router Разрешить IPv6 ICMP" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="Allow UDP" protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="Allow TCP" protocol=tcp
/ipv6 firewall filter add action=accept chain=forward comment="Allow any to internet" out-interface=sit1
/ipv6 firewall filter add action=accept chain=input comment="Allow established and related connections" connection-state=established,related
/ipv6 firewall filter add action=accept chain=forward comment="Allow established and related connections" connection-state=established,related
/ipv6 firewall filter add action=accept chain=input comment="WireGuard на MikroTik домашней сети" dst-address=2001:470:1f06:226::2/128 dst-port=52850 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="WireGuard на MikroTik гостевой сети" dst-address=2001:470:1f06:226::2/128 dst-port=52860 protocol=udp
/ipv6 firewall filter add action=drop chain=input comment="Drop всё остальное"
/ipv6 firewall filter add action=drop chain=forward comment="Drop всё остальное"
/ipv6 nd set [ find default=yes ] interface=LAN managed-address-configuration=yes

Буду признателен за любую помощь.

DNS работает в обоих случаях:

/ip dns set allow-remote-requests=yes cache-max-ttl=5m cache-size=8196KiB max-concurrent-queries=1000 max-concurrent-tcp-sessions=500 use-doh-server=https://security.cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static add address=1.1.1.2 name=security.cloudflare-dns.com ttl=5m
/ip dns static add address=1.0.0.2 name=security.cloudflare-dns.com ttl=5m
/ip dns static add address=2606:4700:4700::1112 name=security.cloudflare-dns.com ttl=5m type=AAAA
/ip dns static add address=2606:4700:4700::1002 name=security.cloudflare-dns.com ttl=5m type=AAAA

Устройства получают IPv6-адреса и могут разрешать DNS. Но я не могу пройти PING и Traceroute. Думаю, проблема либо в маршрутизации, либо в фаерволе. Наверное, что-то мелкое.

superpaul

Guest

15.09.2022 01:30:00

Привет, @pawlisko, я из центрального Нью-Джерси и уже несколько дней борюсь с этой проблемой. Ты можешь пинговать IPv6 с клиентов внутри своей LAN при такой конфигурации? Мне кажется, что я получаю IPv6-адрес. В основном я повторил твои настройки. С роутера пинг IPv6 проходит, а с устройств внутри сети — нет (веб-тесты IPv6 тоже не проходят), и я не понимаю, что делаю иначе, если вообще что-то по-другому. Перепробовал всё, что мог придумать: выключал все правила файрвола, перезагружал устройства. Ниже мой конфиг, для краткости убрал правила файрвола.

/ipv6 address
add from-pool=FIOS-ipv6-pool interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=ether1-WAN pool-name=FIOS-ipv6-pool prefix-hint=::/56 request=prefix use-interface-duid=yes use-peer-dns=no
/ipv6 nd
set [ find default=yes ] hop-limit=64 interface=bridge
/ipv6 settings
set accept-router-advertisements=yes max-neighbor-entries=8192

Надеюсь, ты сможешь подсказать направление для решения. Спасибо!

DudeBeFishing

Guest

05.08.2023 07:09:00

Старая тема, но, кажется, у меня такая же проблема. Я могу пропинговать один из роутеров Verizon, но дальше пинг не идет. Несколько раз перезагружал роутер. Префикс не меняется. Похоже, это проблема маршрутизации со стороны Verizon. Хотел бы лишь подтвердить это, прежде чем обращаться к ним. Я тоже из центрального Нью-Джерси. Проверял туннель Hurricane Electric IPv6 — он работает, так что не думаю, что дело в настройках файрвола. Могу добавить конфиг, если нужно. По сути, это Advanced Firewall из документации Mikrotik, только сейчас весь ICMP разрешен. Текущая конфигурация:
/ipv6 dhcp-server
add address-pool=ipv6-pool interface=bridge1 name=server1
/ipv6 settings
set accept-router-advertisements=yes max-neighbor-entries=4096
/ipv6 address
add address=::1 from-pool=ipv6-pool interface=bridge1
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ipv6-pool request=prefix
/ipv6 nd
set [ find default=yes ] hop-limit=64 interface=bridge1 managed-address-configuration=yes other-configuration=yes

Трассировка до ipv6.google.com. Префикс не показываю:
1 <1 ms <1 ms <1 ms 2600:4040:e138:xxxx::1
2 * * * Время ожидания запроса истекло.
3 4 ms * * 2600:4000:1:222::e2
4 * * * Время ожидания запроса истекло.
5 * * * Время ожидания запроса истекло.
6 * * * Время ожидания запроса истекло.
7 * * * Время ожидания запроса истекло.

Kentzo

Guest

05.08.2023 19:49:00

Как выглядит ваша таблица маршрутизации IPv6? Попробуйте добавить add-default-route=no и /ipv6/nd add advertise-dns=no interface=ether1 ra-lifetime=none ra-preference=low reachable-time=5m. Если я правильно помню, DHCPv6 сервер в RouterOS не может выдавать постоянные адреса, он делает только делегирование префиксов. Ваша настройка dhcp-server и managed-address-configuration=yes на bridge, возможно, не работает так, как вы ожидаете.

DudeBeFishing

Guest

08.08.2023 01:41:00

Ты прав, сервер DHCv6 ведёт себя не так, как я ожидал. Я его отключил, потому что он не нужен. Я всё ещё учусь IPv6. Вот маршруты с моей исходной настройкой, при отключённом DHCPv6 сервере. А вот маршруты с твоими предложенными изменениями. С «add-default-route=yes» я могу пропинговать первый хоп Verizon, но дальше не идёт. С «add-default-route=no» пинг вне роутера не проходит. Windows и сам роутер показывают одинаковый маршрут трассировки. Кстати, это CCR2004-16G-2S+, RouterOS 7.10, Firmware 7.10.

Kentzo

Guest

08.08.2023 02:04:00

Есть один нюанс: после того, как вы последуете моему совету, возможно, придется перезагрузить роутер. Настройки начинают работать не сразу, потому что, насколько я знаю, RouterOS пассивно ждёт, когда верхний роутер сам себя оповестит (это происходит периодически, называется Router Advertisement). Перезагрузка, видимо, заставляет RouterOS активно запрашивать верхний роутер (это называется Router Solicitation). Короче говоря, попробуйте ещё раз мои настройки и перезагрузите устройство.

DudeBeFishing Guest	#7 0 08.08.2023 05:39:00 Перезагрузился. Подождал 20 минут на всякий случай. Проблема осталась, как будто выбран маршрут по умолчанию. Маршрут ::/0 снова появился. Я до сих пор не могу пропинговать дальше второго хопа, 2600:4000:1:222::e2.

Kentzo

Guest

08.08.2023 15:42:00

Просто хочу уточнить, совпадает ли текущий список маршрутов на скриншоте с моими рекомендациями? В целом, похоже, что IPv6 у вас работает, по крайней мере на роутере. Вы пробовали обращаться в поддержку Verizon? Можете им сказать, что согласно traceroute пакеты теряются внутри их сети, а затем дать им IPv6 этих двух устройств, к которым вы можете подключиться.

DudeBeFishing Guest	#9 0 09.08.2023 21:28:00 Я свяжусь с ними. Просто хотел убедиться, что проблема не на моей стороне, ведь я использую свой роутер. Провайдеры могут быть настоящей головной болью, если не пользуешься их оборудованием.

Kentzo Guest	#10 0 09.08.2023 22:07:00 Перед тем как сделать это, не мог бы ты опубликовать /ipv6/address? Нужно убедиться, что у твоего роутера есть не только ссылка на локальный адрес, а полный адрес, необходимый для маршрутизации при запросах, которые исходят от роутера. Последнюю половину адресов можешь скрыть. Твои устройства сами настроили адреса в пределах выделенного префикса?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры