F
Да, если в сети нет dhcp, ipv6 только руками настраивать тогда?
да блин, advertise - и есть раздача по технологии SLAAC
Size: a a a
2021 March 10
E
да блин, advertise - и есть раздача по технологии SLAAC
F
устройства в сети ловят этот advertise и автонастраиваются на ipv6
E
Ну не знаю я эту аббревиатуру. Ок, еще раз спасибо
F
технология самонастройки.
роутер широковещанием сообщает всем в сети префикс работающей ipv6-сети, устройства ловят это широковещание и сами себе настраивают адрес
путем прибавления к префиксу сети своего локального адреса, получается полный ipv6-адрес на устройстве (упрощенно говоря)
роутер широковещанием сообщает всем в сети префикс работающей ipv6-сети, устройства ловят это широковещание и сами себе настраивают адрес
путем прибавления к префиксу сети своего локального адреса, получается полный ipv6-адрес на устройстве (упрощенно говоря)
F
только момент - все ipv6-адреса всех устройств в сети - белые (доступны из интернета)
а значит нужен рабочий файрвол на роутере.
если в микротике для настройки ipv6 - вы ключали в packages пакет ipv6, то файрвол ipv6 - пустой и пропускает всё.
проверьте - есть ли правила в IPV6-Firewall-Filter
а значит нужен рабочий файрвол на роутере.
если в микротике для настройки ipv6 - вы ключали в packages пакет ipv6, то файрвол ipv6 - пустой и пропускает всё.
проверьте - есть ли правила в IPV6-Firewall-Filter
E
Да, пустой, пэкедж был отключен, все верно.
ДУ
только момент - все ipv6-адреса всех устройств в сети - белые (доступны из интернета)
а значит нужен рабочий файрвол на роутере.
если в микротике для настройки ipv6 - вы ключали в packages пакет ipv6, то файрвол ipv6 - пустой и пропускает всё.
проверьте - есть ли правила в IPV6-Firewall-Filter
а значит нужен рабочий файрвол на роутере.
если в микротике для настройки ipv6 - вы ключали в packages пакет ipv6, то файрвол ipv6 - пустой и пропускает всё.
проверьте - есть ли правила в IPV6-Firewall-Filter
насчет микротика вроде пофиксили это уже
ДУ
Да, пустой, пэкедж был отключен, все верно.
ъъъ, сюки
ДУ
можно посмотреть default configuration jnnelf dpznm ghfdbkf
F
/ipv6 firewall {
address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address";
address-list add list=bad_ipv6 address=::1 comment="defconf: lo";
address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local";
address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped";
address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat";
address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only ";
address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation";
address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID";
address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone";
address-list add list=bad_ipv6 address=::224.0.0.0/100 comment="defconf: other";
address-list add list=bad_ipv6 address=::127.0.0.0/104 comment="defconf: other";
address-list add list=bad_ipv6 address=::/104 comment="defconf: other";
address-list add list=bad_ipv6 address=::255.0.0.0/104 comment="defconf: other";
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked";
filter add chain=input action=drop in-interface-list=WAN connection-state=invalid comment="defconf: drop invalid";
filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6";
filter add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute";
filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation.";
filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE";
filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH";
filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP";
filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy";
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN";
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked";
filter add chain=forward action=drop in-interface-list=WAN connection-state=invalid comment="defconf: drop invalid";
filter add chain=forward action=drop in-interface-list=WAN src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6";
filter add chain=forward action=drop in-interface-list=WAN dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6";
filter add chain=forward action=drop in-interface-list=WAN protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1";
filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6";
filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP";
filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE";
filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH";
filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP";
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy";
filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN";
};E
спасибо
F
это в терминале выполнить
ХТ
Это переделать под себя
F
еще момент. созданный интерфейс 6to4 добавить в интерфейслист WAN
F
Это переделать под себя
ну это дефолтный, а дальше - уже по его желанию
E
Это переделать под себя
Ясно, понятно 🙂
F
насчет микротика вроде пофиксили это уже
хз... в 7-рке вроде ipv6 изначально включен, а значит и дефконфиг на него применяется.
в 6-рке не уверен что это вообще пофиксят... да и нужно ли...
в 6-рке не уверен что это вообще пофиксят... да и нужно ли...
ХТ
Включили, с версии не помню какой, но включили
E
это в терминале выполнить
Подскажите, а интерфейс туннеля нужно добавить d WAN list? Вроде как он является wan интерфейсом для ipv6. Это я касательно правил firewall-а