Porovnat verze

Stará verze 11

changes.mady.by.user VojtaLhota

Uloženo na

v porovnání s

Nová verze Aktuální

changes.mady.by.user Vecino

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.

Pokud mám RouterOS 7, mohu si zjednodušit následující kroky pomocí tohoto skriptu.

  • upravím si proměnné dle https://ripe.hkfree.org/
  • skript si zkopíruju a v termínálu vložím
  • zkontorluji, zda vše proběhlo bez chyby
  • zkopíruji si v ospf interfaces-template dle IPv4 a upravím (popis ve skriptu)



Zapnout IPv6 a forwarding

...

Nastavit vlastní adresu pro router

Ideální je IPv6 adresu pro management routeru posadit na interface lo tedy loopback, který je neustále dostupný.

Tip: V RouterOS meší než 7.14 se loopback lo nastavuje tak, že se vytvoří samotný bridge bez portů. Pozná se tak, že L2 MTU je 65535. Bridge s porty má L2 MTU 1514. Mikrotik od verze 7.14 lo již zviditelnil a lze s ním pracovat jako s jakýmkoliv jiným rozhraním přes menu Interfaces ... stejně tak ho můžete adresovat.

/interface bridge
add name=loopback-ipv6 protocol-mode=none

Na tento loopback si pak můžeme pověsit "pěknou globální IPv6 adresu", která nám bude sloužit primárně pro správu routeru například a bude snadno zapamatovatelná.

Na interface routeru doporučuji vždy nasazovat IPv6 adresu s prefixem /64 (pokud tam chcete adresovat více zařízení) nebo /128 (pokud vám stačí jen jedna adresa pro management). Vyvarujte se adresovat velké prefixy /40, /44 a /48 pokud vyloženě nevíte co děláte - přináší to problémy a nestandardní chování. Například nefunguje redistribute static apod.

 
/ipv6 address
add address=2a01:168:xxxx::1/64 advertise=no interface=loopback-ipv6

RouterOS 7.14+ (tady si již nemusíme / nepotřebujeme vypomáhat přes bridge):
/ipv6 address
add address=2a01:168:xxxx::1/64 advertise=no interface=loPro přístup na router přes ipv6. Je jedno, na kterém interface adresa bude. Protože RouterOS nemá  lo , vybereme interface na kterém jsou připojenci.

RouterOS 6 i 7

/ipv6 address add address=2a01:168:5830::/64 interface=bridge1 no-dad=yes advertise=no

...

RouterOS 6 i 7

/ipv6 firewall filter

add action=accept chain=input comment="link-local traffic OK" src-address=fe80::/10

add action=reject chain=input comment="No new ex-hkfree incoming connections on IPv6 (this router)" connection-state=new protocol=!icmpv6 reject-with=icmp-admin-prohibited src-address=!2a01:168::/29

Tip: Alternativa pokud na routeru zbytečně nechci stavový firewall (connection-state) viz. výše, ale čistý bezstavový: 

/ipv6 firewall address-list
add address=2a01:168::/29 comment=hkfree list=allowed
add address=fe80::/16 comment=link-local list=allowed
add address=ff02::/16 comment=multicast list=allowed

/ipv6 firewall filter
add action=accept chain=input comment="allow ospfv3" protocol=ospf
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input comment="drop all"



Routování - OSPFv3

Nahodit OSPFv3 (IPv6) instance. Vše nastavit stejně jako v OSPFv2 (IPv4) instanci, kromě redistribute static = as type 1.

...

Blok kódu
/ipv6 route
add comment="Souhrnna agregovana routa" distance=1 dst-address=2a01:168:5800::/44 type=unreachable


# RouterOS 7.xx
/ipv6 route
add blackhole comment="Souhrnna agregovana routa" disabled=no distance=1 dst-address=2a01:168:5800::/44


Zadat filtr na odchozí routy šířené přes OSPF ven. Žádný subnet menší než /48 nesmí ven. 

Blok kódu
/routing filter
add action=discard chain=ospf-out prefix-length=49-128


# RouterOS 7.xx
/routing filter rule
add chain=OSPFv3-out disabled=no rule="if (dst-len<=48) { accept }"

Důležitý je zadat type = discard a distance = 1. Tím vznikne tzv. "blackhole" routa.

...