Sub-rede manualmente um prefixo IPv6 em vários roteadores MikroTik sem delegação de prefixo

O servidor DHCPv6 da MikroTik - que também oferece funcionalidade PD - tem sido um trabalho em andamento há anos e, portanto, queria evitar qualquer dependência dele. Este HowTo documenta como consegui isso para salvar outras pessoas resolvendo o mesmo problema novamente.

Portanto, se você estiver configurando sua rede para permitir que os hosts configurem automaticamente endereços IPv6 GUA em vários roteadores, mas também deseja uma alternativa à implementação do servidor DHCPv6 do MikroTik , continue lendo ...

0. Como ESCOPO:

Este HowTo irá instruir sobre como sub-rede manualmente um prefixo ::/48 e configurar (2) roteadores com Neighbor Discovery , RIPng habilitado e algumas rotas estáticas. Os hosts configurarão um endereço GUA na sub-rede da interface à qual eles se conectam.

Distribuição de prefixo , servidor DHCPv6 e cliente DHCPv6 NÃO são cobertos, pois não são usados ​​na configuração.

Também não detalho como o ::/48 roteia do roteador nº 1 para a Internet, pois isso pode ser específico da rede. ou seja, o ::/48 Hurricane Electric atribuído a mim ( GRÁTIS! ) rotas para fora de um túnel 6to4 enquanto você pode ter um ::/48 atribuído diretamente pelo seu ISP e não ter nada disso.

A segurança IPv6 é um assunto melhor tratado separadamente e fora do escopo deste HowTo. Se você não tiver um IPv6 FW configurado, depois de fazer tudo funcionar, basta desabilitar as interfaces IPv6 até configurar um conjunto de regras sensatas.

1. COMPATIBILIDADE:

Como essa configuração usa apenas Neighbor Discovery , interfaces endereçadas manualmente, RIPng e alguns Static Routing , ela deve ser imune a quebras em futuras atualizações do RouterOS .

Clientes testados para endereçamento automático com sucesso usando esta solução:

• Raspberry Pi4 : Executando o Buster usando DHCP
• MacBook : Executando OSX Catalina 10.15.3 , novamente, usando DHCP padrão
• IOS e iPadOS 13.41
• Windows : Uma VM do Virtualbox Windows 10 VM em execução no meu MacBook usando ponte

2. FERRAMENTAS DE TESTE IPv6:

Algumas ferramentas compatíveis com IPv6 para ajudá-lo a testar e solucionar problemas de sua configuração:

• Navegador : https://test-ipv6.com . Nota: Firefox móvel incompatível com endereços IPv6.
• IOS : aplicativo Hurricane Electric IOS ping e tracerouteendereços IPv6 de iPhones e iPads
• OSX :
  • ifconfig -a
  • netstat -r -f inet6
  • ping6
  • traceroute6
• Linux :
  • ip -6 addr show
  • ip -6 route show
  • route -6 -n
  • ping6
  • traceroute6 -r

2001:4860:4860:8888 é um bom endereço para testar a conectividade externa; DNS do Google .

3. ENDEREÇO ​​UNICAST GLOBAL (" GUA ") MANUAL ENDEREÇO ​​IPv6:

Usando um prefixo ::/48 de:

2001:db8:1d4f::/48

Vou ilustrar como eu sub-rede um ::/48 Hurricane Electric me atribuiu e enderecei manualmente as interfaces em (2) roteadores. O processo, no entanto, seria o mesmo para um não-Hurricane atribuído ::/48

3.1: LINKS PONTO A PONTO:

Neste exemplo, nossos (2) roteadores estão conectados entre si em ether2 usando endereços Local-Link fe80::/10 que se configuram automaticamente. Anúncios de roteador usados ​​para configuração de endereço automático são feitos usando esses endereços de link local fe80::/10, NÃO um Global Unicast Addresses (" GUA ").

Nota sobre links P-2-P em RoS v6 : Embora um ::/126 ou um ::/127 pareça a escolha óbvia, o suporte para ::/127 virá apenas em RoS v7 .

3.2 Roteador #1: ( RB4011 )

Conectado diretamente à Internet, expondo vários SSIDs para clientes sem fio. Embora existam muitas interfaces configuradas para IPv6 na minha RB4011, para simplificar o exemplo usaremos apenas:

• ether2 : Uplink para o Roteador #2 . Nenhum endereço GUA necessário.

• wlan1 : 2001:db8:1d4f: 10 ::1/64

• wlan2 : 2001:db8:1d4f: 11 ::1/64

• wlan3 : 2001:db8:1d4f: 12 ::1/64

• etc....

  /ipv6 address add address=2001:db8:1d4f:10::1 interface=wlan1 add address=2001:db8:1d4f:11::1 interface=wlan2 add address=2001:db8:1d4f:12::1 interface= wlan3

3.3 Roteador #2: ( RB951-2n )

Conectado ao Roteador #1 , expondo um único SSID para clientes sem fio.

• ether2 : 2001:db8:1d4f: 20 ::1/64 Uplink para o Roteador #1 . NOTA : Endereço GUA adicionado para acesso ao WebFig

• éter3 : 2001:db8:1d4f: 21 ::1/64

• éter4 : 2001:db8:1d4f: 22 ::1/64

• éter5 : 2001:db8:1d4f: 23 ::1/64

• wlan1 : 2001:db8:1d4f: 24 ::1/64

  /ipv6 address add address=2001:db8:1d4f:20::1 interface=ether2-master add address=2001:db8:1d4f:21::1 interface=ether3 add address=2001:db8:1d4f:22::1 interface=ether4 adicionar endereço=2001:db8:1d4f:23::1 interface=ether5 adicionar endereço=2001:db8:1d4f:24::1 interface=wlan1

3.4 Roteadores Adicionais:

Se houvesse um terceiro roteador, usaríamos 2001:db8:1d4f: 30 ::X/64, incrementando a sub-rede em 10 e usaríamos um endereço de host "1". Se estiver expondo muitos SSIDs, é sugerido que você incremente as sub-redes em múltiplos pares maiores que 10 para manter as coisas organizadas.

3.5 Endereçamento do Host:

Depois que os endereços GUA dos roteadores forem configurados nos roteadores e outras etapas a seguir forem concluídas, os hosts de rede configurarão automaticamente um endereço GUA via SLAAC da mesma sub-rede da interface do roteador à qual estão se conectando. ou seja, usando o plano de endereçamento acima para o Roteador #2 , um host conectado ao AP wlan1 do Roteador #2 irá configurar automaticamente um endereço GUA de:

• 2001:db8:1d4f: 24 :: PrivacyExtensionConfiguredByHost

4. ROTEAMENTO IPv6:

4.1 RIP: TODOS os roteadores

1. Roteamento > RIPng : Habilite RIPng em todas as interfaces de roteador em todos os roteadores

   /routing interface de extração adicionar

2. Roteamento > RIPng > Configurações de RIPng : Habilite " Redistribuir Rotas Estáticas "

   /routing ripng set redistribute-static=yes

4.2 Rotas estáticas: Router #1 SOMENTE

1. IPv6 > Rotas : No Roteador #1 , adicione rotas estáticas às interfaces de uplink para o Roteador #2 (e quaisquer roteadores adicionais) conectados ao Roteador #1 . Usando o plano de endereçamento, isso seria:

2001:db8:1d4f:**20**::1/64

    /ipv6 route
    add distance=1 dst-address=2001:db8:1d4f:20::1/128 gateway=\
        ether2-AP2-RB951-2n

5. DESCOBERTA DE VIZINHOS ("ND")

O Neighbor Discovery (ND) é usado para resolução de endereço de camada de link (semelhante ao ARP) e configuração automática de endereço. O ND é parte integrante de TODAS as configurações automáticas de endereços IPv6 - SLAAC , DHCPv6 Server & Prefix Delegation (PD).

IPv6 > ND > Adicionar novo : em cada roteador, adicione apenas as interfaces que os clientes se conectarão e usarão paraconfiguração de endereço automático SLAAC . Observe que os MTUs estão configurados para 1280, pois esse é o tamanho usado pela Hurricane Electric que roteia o ::/48 que eles atribuíram a mim.

Para o roteador nº 1 , isso seria:

• wlan1

• wlan2

• wlan3

    /ipv6 nd
    set [ find default=yes ] disabled=yes other-configuration=yes
    add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan2 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan3 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  

Para o roteador nº 2 , isso seria:

• éter3

• éter4

• éter5

• wlan1

    /ipv6 nd
    set [ find default=yes ] disabled=yes hop-limit=64 interface=ether2-master \
        mtu=1280 other-configuration=yes ra-lifetime=10m reachable-time=10m \
        retransmit-interval=10m
    add hop-limit=64 interface=ether3 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=ether4 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=ether5 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
    add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
        ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  

NOTA DE SEGURANÇA : Há um problema de segurança usando ND RA's (Router Announcements) para configuração de endereço automático. Um invasor com acesso à rede conectada pode injetar um RA na rede, acionando um dispositivo para adicionar um endereço IPv6 ou rota padrão.

6. Definir fontes de DNS e NTP IPv6:

DNS:

IP > DNS : Adicione uma fonte DNS IPv6, como2001:4860:4860::8888(Google) à fonte IPv4:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,2001:4860:4860::8888

NTP:

Sistema > Cliente NTP : Adicione uma fonte NTP IPv6, como2610:20:6f15:15::27a fonte IPv4:

/system ntp client
set enabled=yes primary-ntp=216.239.35.0 secondary-ntp=2610:20:6f15:15::27

7. PERMITIR ACESSO ADMINISTRADOR:

Se você quiser usar um endereço IPv6 para acesso Webfig ou SSH, não esqueça de atualizar:

IP > Serviços e adicione uma(s) sub-rede(s) para permitir acesso administrativo ao MikroTik.

Conclusão:

A essa altura, você deve ter o endereço automático dos clientes configurando os endereços IPv6 GUA. Se você identificar algum erro/omissão, por favor me avise para que eu possa atualizar a documentação.

Não se esqueça de passar algum tempo configurando o IPv6 > Firewall e reforçando a segurança, ou pelo menos desabilitar as interfaces IPv6 até que você tenha tempo para isso. Espero que você tenha achado isso útil e tenha ajudado você a se atualizar rapidamente.