Tunel 6in4 od Netboxu na routeru MikroTik
Netbox
je poskytovatel Internetu v Brně a dalších městech. Od roku 2012 poskytuje službu adres IPV6 pomocí tunelu 6in4. Na svých stránkách má návody pro několik routerů, MikroTik mezi nimi není. Návody mi připadají dost zmatené a nemohl jsem se v nich ze začátku zorientovat. Proto tady uvádím můj postup.
Použité IP adresy:
Tunel - zdrojové IP adresy IPV4:
Můj router: 83.240.X.X (zjistit z https://whatismyipaddress.com nebo z nastavení na https://konto.netbox.cz)
Router Netboxu: 46.39.Y.Y (zjistit z nastavení na https://konto.netbox.cz)
Tunel - adresy tunelu IPV6:
Nejsou potřeba. Netbox patrně přijímá veškerý provoz ze zdrojové IP adresy pro tunel. Tj. není třeba tyto adresy nastavovat na rozdíl od tunelu pro Hurricane.
Zákaznická síť LAN - globální síť IPV6:
2a01:4240:Z:Z::/64 Přiděluje Netbox, pro každého zákazníka jinak.
Zákaznická síť LAN - brána - globální adresa IPV6:
2a01:4240:ZZ:ZZ::1 /64 - globální adresa IPV6 . Podle doporučení Netboxu je uvedena hostovská část ::1, můžete si tam dát i nějakou jinou, je to jedno.
Konfigurace Mikrotiku:
(podle WIKI MikroTiku pro Hurricane Electric):
1. Vytvoření tunelu:
2. Přidání statické cesty pro směrování globálně používaného rozsahu na rozhraní tunelu
Tímto se vytvoří tunel a nasměruje provoz do něj. Z routeru by měl začít fungovat ping - např. na DNS server Googlu 2001:4860:4860::8888:
SEQ HOST SIZE TTL TIME STATUS
0 2001:4860:4860::8888 56 56 7ms echo reply
1 2001:4860:4860::8888 56 56 7ms echo reply
2 2001:4860:4860::8888 56 56 7ms echo reply
sent=3 received=3 packet-loss=0% min-rtt=7ms
avg-rtt=7ms max-rtt=7ms
3. Nastavení sítě LAN:
Nastaví globální adresu IPV6 na rozhraní LAN (bridge1):
4. Nastavení propagace lokální sítě LAN (na rozhraní bridge1) v ohlášení směrovače (router advertisement, RA), aby připojené počítače mohly použít automatickou bezestavovou konfiguraci IP adres (SLAAC). Druhým příkazem se určí adresa sítě (prefix),posílaná v ohlášení směrovače. Připojené počítače tuto adresu sítě použijí pro automatickou konfiguraci vlastní adresy.
/ipv6 nd prefix add prefix=2a01:4240:Z:Z::/64 interface=bridge1 on-link=yes autonomous=yes
5. Nastavení IP adresy DNS serverů, které se posílají v ohlášeních směrovače, zde jsou použity IP adresy doporučené Netboxem. Můžete použít také DNS servery Googlu, pokud chcete.
V tomto nastavení posílá router ve svém ohlášení směrovače i výše uvedené IP adresy DNS serverů podle RFC-8106. OS Windows 7 tuto relativně novou vlastnost nepodporuje, jak jsem zjistil. Bude možná pro Windows10. Ale IV6 přesto funguje, DNS dotazy se posílají na DNS servery získané z DHCP IPV4. Nejlepší bude dodělat na Mikrotiku DHCP v.6, který Windows podporují a kde je už od začátku posílání adres DNS serverů. Naproti tomu Android zase DHCPv6 nepodporuje, umí jen automaticky přidělované adresy (SLAAC).
Ukázka provozu na IPV6:
Zde je vidět oznámení směrovače (RA - router advertisement).
Nefuguje to, co mám zkusit?
Stejné příkazy, jako jsou pro změnu konfigurace, se dají použít pro výpis aktuálního nastavení, pokud doplníme na konec příkaz print. Mělo by se vypsat to samé, co jsme zadávali.
1. Tunel
Flags: X - disabled, R - running
0 R ;;; Netbox - tunel 6in4
name="Tunel6in4" mtu=1280 actual-mtu=1280 local-address=83.240.X.X remote-address=46.39.Y.Y dscp=inherit clamp-tcp-mss=yes
dont-fragment=no
[admin@MikroTik] >
2. Statická cesta do tunelu
Flags: X - disabled, R - running
0 R ;;; Netbox - tunel 6in4
name="Tunel6in4" mtu=1280 actual-mtu=1280 local-address=83.240.X.X remote-address=46.39.Y.Y dscp=inherit clamp-tcp-mss=yes
dont-fragment=no
[admin@MikroTik] >
- Zde se vypíše obsah routovací tabulky. Jeden záznam (č.0) je pro směrování globálního rozsahu směrem do tunelu. Cílem je tunel 6to4. Druhý zýznam (č.1)je pro místní síť LAN.
3. Nastavení sítě LAN
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
0 DL address=fe80::3:53f0:4c44/64 from-pool="" interface=Tunel6in4 actual-interface=Tunel6in4 eui-64=no advertise=no no-dad=no
1 G ;;; LAN IPV6
address=2a01:4240:Z:Z::1/64 from-pool="" interface=bridge1 actual-interface=bridge1 eui-64=no advertise=yes no-dad=no
2 DL address=fe80::ba69:f4ff:fe2d:28e9/64 from-pool="" interface=bridge1 actual-interface=bridge1 eui-64=no advertise=no no-dad=no
3 DL address=fe80::ba69:f4ff:fe2d:28e3/64 from-pool="" interface=ether1 actual-interface=ether1 eui-64=no advertise=no no-dad=no
[admin@MikroTik] >
- Zde jsou vidět adresy IPV6 pro všechna rozhraní, kde IPV6 běží. Číslo 0 je adresa tunelu, je použita jen lokální linková adresa (link local), která má platnost jen v rámci jedné sítě. Mikrotik tyto adresy generuje sám, na rozdíl od jiných systémů je nelze nijak ovlivnit. Č. 1 je adresa sítě LAN (bridge1), tyto IP jsou dostupné z Internetu. Č. 2 je lokální linková adresa pro rozhraní LAN (bridge1), č.3 je zase pro rozhraní ether1, tj. směrem k Netboxu.
Flags: X - disabled, I - invalid, * - default
0 * interface=bridge1 ra-interval=3m20s-10m ra-delay=3s mtu=unspecified reachable-time=unspecified retransmit-interval=unspecified
ra-lifetime=30m hop-limit=unspecified advertise-mac-address=yes advertise-dns=yes managed-address-configuration=yes
other-configuration=yes
[admin@MikroTik] >
[admin@MikroTik] > /ipv6 nd prefix print
Flags: X - disabled, I - invalid, D - dynamic
0 D prefix=2a01:4240:53f0:4c44::/64 interface=bridge1 on-link=yes autonomous=yes valid-lifetime=4w2d preferred-lifetime=1w
[admin@MikroTik] >
- Zde je potřeba zadat dva příkazy. Prvním se ukáže nastavení prohlášení směrovače.
- Druhým je vidět adresu sítě (prefix), který MikroTik posílá v ohlášení směrovače a kterou připojené počítače použijí pro automatickou konfiguraci vlastní adresy.
5. Adresy DNS serverů
dynamic-servers: 83.240.0.214,83.240.0.135
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 41KiB
[admin@MikroTik] >
- V prvním řádku jsou adresy serverů zadávané v konfiguraci.
- Druhý řádek je nazván dynamic, tyto IP adresy si MikroTik převzal automaticky pomocí protokolu DHCP od Netboxu, MikroTik má zapnuto DHCP klienta.
Doplnění 11-2021
Podle rady na https://telekomunikace.cz/d/19398-IPV6-zakladni-nastaveni/78 je vhodné posílat v ND velikost MTU. Bez toho mohou být některé webové stránky nedostupné a chyba se obtížně detekuje. Přes tunel neprojdou pakety standardní velikosti 1 500 bajtů.
Popis od Mikrotiku:
https://wiki.mikrotik.com/wiki/Manual:IPv6/ND
mtu (unspecified | integer[0..4294967295]; Default: unspecified)
The
MTU option is used in router advertisement messages to insure that all
nodes on a link use the same MTU value in those cases where the link MTU
is not well known.
• unspecified - do not send MTU option.