Honka Ádám weboldala

MikroTik IPv6 DIGI PPPoE-vel

By in 2023.10.02. 
Forrás: https://m.logout.hu/bejegyzes/adika4444/mikrotik_ipv6_digi_pppoe-vel.html

IPv6 Beállítása MikroTik routeren DIGI hálózaton
================================================

1. Állítsuk be a PPPoE interfészre a service-name-t. Lépjünk ide:
/interface pppoe-client

2. Print-tel írassuk ki az interfészeket, majd a DIGI-sre állítsuk be a service-name-t. Ha például 0-ás az ID-je.
set 0 service-name="digi"

3. DHCPv6 kliens beállítása CLI-n:
/ipv6 dhcp-client
add interface=digi-pppoe pool-name=digi request=address,prefix

4. RA beállítása
Két út áll előttünk a címek osztását tekintve. Vagy RA-val (ilyenkor a kliensek kérnek címet EUI64-gyel), vagy DHCPv6 szerver. Mivel a DIGI-nél rendszeresen változik a prefix, ezért maradunk a RA-nál, ezzel kapnak címet a LAN hálózatomban (br-lan bridge) lévő gépek.
CLI:
/ipv6 address
add from-pool=digi interface=br-lan

5. Finomítás és tűzfal
Kezdjük az egyszerűbbbel. Mivel a DIGI-nél PPPoE újracsatlakozásonként változik az IPv6 prefix, ezért nincs jobb megoldás ennek lekövetésére, mint az alacsony RA időtartam, tehát a címek rövid ideig élnek, de mégrövidebb időnként újra kéri és kapja a kliens. Ezeket a parancsokat célszerű kiadni a CLI-n:
/ipv6 nd
#Itt az egyetlen elemre:
set 0 ra-interval=5s-15s ra-delay=3s retransmit-interval=5s
/ipv6 nd prefix default
set preferred-lifetime=15s valid-lifetime=20s

6. Célszerű továbbá egy szkriptet készíteni a PPPoE kapcsolat újraéledéséhez, hogy újraindítsa a DHCPv6 klienst, további infó lenntebb.
https://github.com/adns44/MikroTik-dynamic-ipv6/

7. A tűzfal. Mivel IPv6-nál nincsen NAT, ezért by-default, MT eszközökön minden eszköz elérhető kívülről. Fokozni fogjuk a biztonságot, szerintem ez egy minimálisan elégséges IPv6 tűzfal. CLI-ről mutatom a parancsokat, ki lehet következtetni mit kell a WebFig megfelelő részén beállítani (IPv6 > Firewall).
/ipv6 firewall filter
add action=accept chain=forward comment="related,established to clients" \
connection-state=established,related
add action=accept chain=forward comment="all out on DIGI" out-interface=\
digi-pppoe
add action=accept chain=forward comment="allow ICMPv6 on forward" protocol=\
icmpv6
add action=accept chain=input comment="related,established to router" \
connection-state=established,related
add action=accept chain=input comment="ICMP to router" protocol=icmpv6
add action=accept chain=input comment="DHCPv6 to router" dst-port=546 \
protocol=udp src-port=547
add action=drop chain=forward
add action=drop chain=input

Comments (0)