Tunel 6in4 od Netboxu na routeru MikroTik

15.02.2019

Netbox je poskytovatel Internetu v Brně a dalších městech. Od roku 2012 poskytuje službu adres IPV6 pomocí tunelu 6in4. Na svých stránkách má návody pro několik routerů, MikroTik mezi nimi není. Návody mi připadají dost zmatené a nemohl jsem se v nich ze začátku zorientovat. Proto tady uvádím můj postup.

Použité IP adresy:

Tunel - zdrojové IP adresy IPV4:
    Můj router: 83.240.X.X (zjistit z https://whatismyipaddress.com nebo z nastavení na https://konto.netbox.cz)
     Router Netboxu: 46.39.Y.Y (zjistit z nastavení na https://konto.netbox.cz)
Tunel - adresy tunelu IPV6:
     Nejsou potřeba. Netbox patrně přijímá veškerý provoz ze zdrojové IP adresy pro tunel. Tj. není třeba tyto adresy nastavovat na rozdíl od tunelu pro Hurricane.
Zákaznická síť LAN - globální síť IPV6:
      2a01:4240:Z:Z::/64 Přiděluje Netbox, pro každého zákazníka jinak.
Zákaznická síť LAN - brána - globální adresa IPV6:
     2a01:4240:ZZ:ZZ::1 /64 - globální adresa IPV6 . Podle doporučení Netboxu je uvedena hostovská část ::1, můžete si tam dát i nějakou jinou, je to jedno.

Konfigurace Mikrotiku:

(podle WIKI MikroTiku pro Hurricane Electric):
1. Vytvoření tunelu:

/interface 6to4 add comment="Netbox - tunel 6in4" disabled=no local-address=83.240.X.X mtu=1400 name=Tunel6in4 remote-address=46.39.Y.Y

2. Přidání statické cesty pro směrování globálně používaného rozsahu na rozhraní tunelu

/ipv6 route add comment="IPV6 pres tunelNetbox" disabled=no distance=1 dst-address=2000::/3 gateway= Tunel6in4 scope=30 target-scope=10

Tímto se vytvoří tunel a nasměruje provoz do něj. Z routeru by měl začít fungovat ping - např. na DNS server Googlu 2001:4860:4860::8888:

[admin@MikroTik] > ping 2001:4860:4860::8888 SEQ HOST SIZE TTL TIME STATUS 0 2001:4860:4860::8888 56 56 7ms echo reply 1 2001:4860:4860::8888 56 56 7ms echo reply 2 2001:4860:4860::8888 56 56 7ms echo reply sent=3 received=3 packet-loss=0% min-rtt=7ms avg-rtt=7ms max-rtt=7ms

3. Nastavení sítě LAN:

Nastaví globální adresu IPV6 na rozhraní LAN (bridge1):

/ipv6 address add address=2a01:4240:Z:Z::1 interface=bridge1 advertise=yes comment="LAN IPV6"

4. Nastavení propagace lokální sítě LAN (na rozhraní bridge1) v ohlášení směrovače (router advertisement, RA), aby připojené počítače mohly použít automatickou bezestavovou konfiguraci IP adres (SLAAC). Druhým příkazem se určí adresa sítě (prefix),posílaná v ohlášení směrovače. Připojené počítače tuto adresu sítě použijí pro automatickou konfiguraci vlastní adresy.

/ipv6 nd set advertise-dns=yes comment="Propagace pomoci SLAAC" interface=bridge1 0 /ipv6 nd prefix add prefix=2a01:4240:Z:Z::/64 interface=bridge1 on-link=yes autonomous=yes

5. Nastavení IP adresy DNS serverů, které se posílají v ohlášeních směrovače, zde jsou použity IP adresy doporučené Netboxem. Můžete použít také DNS servery Googlu, pokud chcete.

/ip dns set allow-remote-requests=yes servers=2001:4cc8:0:4:0:5:0:1,2001:4cc8:0:4:0:6:0:1

V tomto nastavení posílá router ve svém ohlášení směrovače i výše uvedené IP adresy DNS serverů podle RFC-8106. OS Windows 7 tuto relativně novou vlastnost nepodporuje, jak jsem zjistil. Bude možná pro Windows10. Ale IV6 přesto funguje, DNS dotazy se posílají na DNS servery získané z DHCP IPV4. Nejlepší bude dodělat na Mikrotiku DHCP v.6, který Windows podporují a kde je už od začátku posílání adres DNS serverů. Naproti tomu Android zase DHCPv6 nepodporuje, umí jen automaticky přidělované adresy (SLAAC).

Ukázka provozu na IPV6:

Zde je vidět oznámení směrovače (RA - router advertisement).

Nefuguje to, co mám zkusit?

Stejné příkazy, jako jsou pro změnu konfigurace, se dají použít pro výpis aktuálního nastavení, pokud doplníme na konec příkaz print. Mělo by se vypsat to samé, co jsme zadávali.

1. Tunel

[admin@MikroTik] > /interface 6to4 print detail Flags: X - disabled, R - running 0 R ;;; Netbox - tunel 6in4 name="Tunel6in4" mtu=1280 actual-mtu=1280 local-address=83.240.X.X remote-address=46.39.Y.Y dscp=inherit clamp-tcp-mss=yes dont-fragment=no [admin@MikroTik] >

2. Statická cesta do tunelu

Zde se vypíše obsah routovací tabulky. Jeden záznam (č.0) je pro směrování globálního rozsahu směrem do tunelu. Cílem je tunel 6to4. Druhý zýznam (č.1)je pro místní síť LAN.

3. Nastavení sítě LAN

[admin@MikroTik] > /ipv6 address print detail Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local 0 DL address=fe80::3:53f0:4c44/64 from-pool="" interface=Tunel6in4 actual-interface=Tunel6in4 eui-64=no advertise=no no-dad=no 1 G ;;; LAN IPV6 address=2a01:4240:Z:Z::1/64 from-pool="" interface=bridge1 actual-interface=bridge1 eui-64=no advertise=yes no-dad=no 2 DL address=fe80::ba69:f4ff:fe2d:28e9/64 from-pool="" interface=bridge1 actual-interface=bridge1 eui-64=no advertise=no no-dad=no 3 DL address=fe80::ba69:f4ff:fe2d:28e3/64 from-pool="" interface=ether1 actual-interface=ether1 eui-64=no advertise=no no-dad=no [admin@MikroTik] >

Zde jsou vidět adresy IPV6 pro všechna rozhraní, kde IPV6 běží. Číslo 0 je adresa tunelu, je použita jen lokální linková adresa (link local), která má platnost jen v rámci jedné sítě. Mikrotik tyto adresy generuje sám, na rozdíl od jiných systémů je nelze nijak ovlivnit. Č. 1 je adresa sítě LAN (bridge1), tyto IP jsou dostupné z Internetu. Č. 2 je lokální linková adresa pro rozhraní LAN (bridge1), č.3 je zase pro rozhraní ether1, tj. směrem k Netboxu.

4. propagace lokální sítě LAN - ohlášení směrovače

[admin@MikroTik] > /ipv6 nd print detail Flags: X - disabled, I - invalid, * - default 0 * interface=bridge1 ra-interval=3m20s-10m ra-delay=3s mtu=unspecified reachable-time=unspecified retransmit-interval=unspecified ra-lifetime=30m hop-limit=unspecified advertise-mac-address=yes advertise-dns=yes managed-address-configuration=yes other-configuration=yes [admin@MikroTik] > [admin@MikroTik] > /ipv6 nd prefix print Flags: X - disabled, I - invalid, D - dynamic 0 D prefix=2a01:4240:53f0:4c44::/64 interface=bridge1 on-link=yes autonomous=yes valid-lifetime=4w2d preferred-lifetime=1w [admin@MikroTik] >

Zde je potřeba zadat dva příkazy. Prvním se ukáže nastavení prohlášení směrovače.
Druhým je vidět adresu sítě (prefix), který MikroTik posílá v ohlášení směrovače a kterou připojené počítače použijí pro automatickou konfiguraci vlastní adresy.

5. Adresy DNS serverů

[admin@MikroTik] > /ip dns print servers: 2001:4cc8:0:4:0:5:0:1,2001:4cc8:0:4:0:6:0:1 dynamic-servers: 83.240.0.214,83.240.0.135 allow-remote-requests: yes max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s max-concurrent-queries: 100 max-concurrent-tcp-sessions: 20 cache-size: 2048KiB cache-max-ttl: 1w cache-used: 41KiB [admin@MikroTik] >

V prvním řádku jsou adresy serverů zadávané v konfiguraci.
Druhý řádek je nazván dynamic, tyto IP adresy si MikroTik převzal automaticky pomocí protokolu DHCP od Netboxu, MikroTik má zapnuto DHCP klienta.

Doplnění 11-2021

Podle rady na https://telekomunikace.cz/d/19398-IPV6-zakladni-nastaveni/78 je vhodné posílat v ND velikost MTU. Bez toho mohou být některé webové stránky nedostupné a chyba se obtížně detekuje. Přes tunel neprojdou pakety standardní velikosti 1 500 bajtů.

Popis od Mikrotiku:
https://wiki.mikrotik.com/wiki/Manual:IPv6/ND
mtu (unspecified | integer[0..4294967295]; Default: unspecified)

The MTU option is used in router advertisement messages to insure that all nodes on a link use the same MTU value in those cases where the link MTU is not well known.
• unspecified - do not send MTU option.