DHCPv6 aneb jak snadno přijít o rozum

travel21

Ahoj všem,
vím že se to tady už okrajově řešilo, ale nějak z toho nejsem moudrý.

Je někdo, komu funguje DHCPv6 na mikrotiku? Já to zkouším už tři noci a jsem zralej na bohnice. Zatím je mi úplně jedno jestli přiděluje správně DNS nebo TIME atp. Zkrátka chtěl jsem mít kontrolu nad sítí tak jsem nechal povolen Advertisement a na lokální rozhraní jsem na zkoušku nastavil local unicast address fdab::/64. Nastavil pool povolil DHCP v ND jsem zrušil Autonomous a povolil Managed Address Configuration. Ano linuxové stroje v mé síti správně nepožily autokonfiguraci což jsem chtěl a mají pouze link local address fe80xxxxx, až potud dobré ale to je všechno. V binding se mi žádné DUID neukazuje, takže to zřejmě nefunguje. Pro jistotu přikládám konfiguraci. V debianu stačí naistalovat quaggu a Isc-dhcp-server a všechno funguje do 10min. Proto nechápu proč je s tím v MK je takový problém. Nebo dělám někde chybu?

Address:

 #    ADDRESS							FROM-POOL 		INTERFACE			ADVERTISE
 0  G fdab:c:d:9243::/64									bridge1				  yes      
 1 DL fe80::4e5e:cff:fe70:c47e/64						bridge1				  no       
 2 DL fe80::4e5e:cff:fe70:c482/64						ether5-gateway		 no
 3 DL fe80::4e5e:cff:fe70:c480/64						ether3					no


Pool:

 #   NAME           PREFIX                    PREFIX-LENGTH
 0   ipv6-pool   fdab:c:d:9243::/64                64


DHCPv6 server:

name="ipv6-server" 
interface=bridge1
address-pool=ipv6-pool
lease-time=3d
authoritative=after-2sec-delay 
binding-script="" 
duid="000300014c5e0c70c47e" 


ND:

interface=bridge1 
ra-interval=3m20s-10m 
ra-delay=3s mtu=unspecified
reachable-time=unspecified
retransmit-interval=unspecified
ra-lifetime=30m
hop-limit=unspecified
advertise-mac-address=yes
advertise-dns=yes
managed-address-configuration=yes
other-configuration=no 


ND/Prefix

prefix=fdab:c:d:9243::/64
interface=bridge1
on-link=yes
autonomous=no
valid-lifetime=4w2d
preferred-lifetime=1w

Pokud by někdo věděl budu velmi vděčný. Vím že mohu použít autokonfiguraci ale ta neřeší vše, takže k ničemu.

Předem děkuji
Používám routerOS 6.33 na RB951Ui-2HnD

seppuku

:-)

IPv6 není IPv4 ..

máš to celý blbě :-)

- globálni adresa cos dal na bridge1 není adresa ale prefix

- nemůžeš z rozsahu /64 chtít přidělovat /64 prefixy

- autokonfigurace je dobrá cesta, co neřeší?

ludvik

- autokonfigurace je dobrá cesta, co neřeší?

Třeba to, že vlastně naprosto netušíš, komu co přiděluješ ...

travel21

:-)

IPv6 není IPv4 ..

máš to celý blbě :-)

- globálni adresa cos dal na bridge1 není adresa ale prefix

- nemůžeš z rozsahu /64 chtít přidělovat /64 prefixy

- autokonfigurace je dobrá cesta, co neřeší?

Aha, díky za upozornění, mám v tom pořád trochu hokej.

ipv6 kalkulačka mi ukazuje toto.

Adresa sítě - fdab::/64

První adresa v síti - fdab::

To je pro mě trochu zmatené. U ipv4 byla síť třeba 10.10.0.0/28 a první adresa 10.10.0.1/28

Takže oprava spočívá pouze v opravě globální adresy rozhraní bridge1 např. na fdab:/64?

Jinak s tou autokonfigurací je důvod právě to, že každý dostane dostane IP dle RA packetu a může brouzdat. Samozřejmě si ještě musí třeba ručně nastavit DNS a GW ale může. Když to ale chci nějak kontrolovat tak pak je DHCP dobré ale s vypnutou autokonfigurací. Na nějaké hotspoty nebo domácí síť ale nezpochybňuji výhody autokonfigu. Stejně ale neřeší vše, nebo už ano?

majklik

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

travel21

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

Ok pak ale tedy nechápu proč se v pool nastavuje prefix a délka prefixu když ho koncová stanice vidí právě z RA. Pokud nejde nastavit MK tak abych třeba klientovi přidělil adresu na základě DUID třeba fdab:/64 tak je to úplně k ho...

Jestli to teda chápu dobře tak prefix v pool zařídí, že DHCP pošle na hosta prefix třeba fdab::/64 a zbytek se vygeneruje z čeho a kde? Na koncové stanici?

bach

Majklik to píše správně.

Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

bach

Celé je to o tom, že Mikrotik nepodporuje DHCPv6, umí jen DHCPv6-PD, což je přidělování síťových prefixů sítím a ne jednotlových IPv6 adres hostům. Respektive umí ještě stateless DHCPv6, které slouží pouze k předání DNS adres a domén klientovi a používá se jako doplňek k SLAAC.

Jinka použít pouze DHCPv6 s vypnutou autokonfigurací s SLAAC lze jen v kontrolovaném prostředí, kde vím, že klienti DHCPv6 podporují. N to se spoléhat nedá a spousta klientů to neumí a dle specifikace podporují jen SLAAC pro získání IPv6 adresy a brány a k tomu případně to bezestavové DHCPv6 pro získání adres DNS serverů.

U IPv6 je adresa fdab:: naprosto korektní, nemusí se začínat až od 1. le něco má občas s takovou adresou problémy a nebere ji

Jestli to teda chápu dobře tak prefix v pool zařídí, že DHCP pošle na usera prefix třeba fdab::/64 a zbytek se vygeneruje z čeho a kde? Na koncové stanici?

Do poolu dáváš z jak velkého segmentu se mají rozsekat jak velké segmenty

Zbytek vygenerujes na LAN části routeru pomocí EUI64

travel21

Majklik to píše správně.

Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Na spojovačku by ale měl stačit link local address? Nebo ten je jen pro příchozí spojení? na managment?

travel21

Majklik to píše správně.

Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.

Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

bach

Majklik to píše správně.

Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.

Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Díky

Nastavení klientského mikrotika:

RB750:

ipv6 dhcp-client

add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no

ipv6 address

add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

travel21

Majklik to píše správně.

Já jsem to nasadil tak, že mam advertisment na rozsahu interface,ale lidem nedovoluji s těmito adresami komunikovat do internetu. Slouží jako spojovačka na WAN routeru. Pomocí DHCP6-PD a DUID rozdávám segment do vnitřní části routeru zákazníka a tyto adresy už mohou do internetu a jsou jednoznačně identifikovatelné.

Tohle je zajímavé řešení.

Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Díky

Nastavení klientského mikrotika:

RB750:

ipv6 dhcp-client

add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no

ipv6 address

add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

Dobře pokud ale mám povolen RA na hlavním MK a autokonfiguraci tak bych na opozitu nemusel používat DHCP6-klienta? Klientský router by na WAN měl použít autokonfiguraci, tedy prefix halvního routeru doplněn o EUI64 ze své MAC?

bach

A nastaveni na straně A:

/ipv6 dhcp-server

add address-pool=pool1 authoritative=yes disabled=no interface=sit lease-time=1d name=server1

/ipv6 pool

add name=pool1 prefix=2a02::/59 prefix-length=64

- každej klient dostane nějakou /64 z toho /59 range

/ipv6 address

add address=2a02:/64 interface=sit

A zápis klienta, padaji tam dynamicky,ale je lepsi si udelat z toho statiku

/ipv6 dhcp-server binding

add address=2a02::/64 disabled=no duid=0x1111111111 iaid=1 life-time=1d

/ipv6 nd

set advertise-dns=yes

/ipv6 nd prefix

add interface=ether1 prefix=2a02::/32

bach

Tohle je zajímavé řešení.

Nic méně zkoušel jsem nastavit dva mikrotiky: MK1 gateway a MK2 zákazník, jsou propojeny nanostationama M5 s WDS bridge takže transparentní spoj jako kabelem.

Na MK1 jsem nastavil rozsah ipv6 s autokonfigurací a poolem. Čekal jsem, že mikrotik zákazníka se na opozit portu nastaví sám na stejný subnet a použije autokonfiguraci. To se mi ale nestalo. Při ruční konfiguraci, kdy jsem nastavil IPv6 ručně si pingnu a všechno funguje. Může být problémem ten bridge a nebo je nutné ještě něco donastavit na klientovi?

Díky

Nastavení klientského mikrotika:

RB750:

ipv6 dhcp-client

add interface=ether1 pool-name=IPv6lan use-peer-dns=yes add-default-route=yes disabled=no

ipv6 address

add interface=ether2 advertise=yes from-pool=IPv6lan eui-64=yes address=::/64 disabled=no

Tím definuji, že dostanu pool-name=IPv6lan , kterej použiju do vnitřní sítě.

bach

Řešeních bude samozřejmě vícero, tohle je moje nasazení s DHCP6-PD na mikrotiku. Jinak jako klienty jsem už vyzkoušel několik druhů zařízení (MK, Genexis, Dlink, Gaoke,...) a funguje to.

travel21

Tak to je mazec. Díky moc. Jdu se trápit

majklik

Ok pak ale tedy nechápu proč se v pool nastavuje prefix a délka prefixu když ho koncová stanice vidí právě z RA. Pokud nejde nastavit MK tak abych třeba klientovi přidělil adresu na základě DUID třeba fdab:/64 tak je to úplně k ho...

Jestli to teda chápu dobře tak prefix v pool zařídí, že DHCP pošle na hosta prefix třeba fdab::/64 a zbytek se vygeneruje z čeho a kde? Na koncové stanici?

Je třeba rozlišovat, DHCPv6 přiděluje IPv6 adresy koncovým hostům, to Mkrotik neumí. Umí jen přidělit pomocí DHCPv6-PD celý prefix, který obvyle se přiděluje routeru, aby jej použil dál. A jak to dál udělá, je věc/problém toho routeru.

Ano, mám pool o veliksoti třeba /52 a z něj přiděluji bloky o velikosit /60 koncovým routerům zákazníků, co dál s tím udělá tne router, to je jeho věc (přidělí na vntzřní intefejsy po blocích /64 a dilních 64 bitů mu buď přednastavím nebo si je vygeneruje pomocí EUI64.

Na spojovačku by ale měl stačit link local address? Nebo ten je jen pro příchozí spojení? na managment?

Ano, na spojovačce mezi mým routerem a routerme zákazníka vůbec nemusí být globální IPv6 adresy, funguje to přes link-local adresy.

Dneska je to pro IPv6 i best practise, že mezi routery vůbec nemají být globální adresy. Router má jen jendu /128 globální adresu na loopbacku. IPv6 adresy jsou jen na segmentech, kde jsou koncové počítače.

Dobře pokud ale mám povolen RA na hlavním MK a autokonfiguraci tak bych na opozitu nemusel používat DHCP6-klienta? Klientský router by na WAN měl použít autokonfiguraci, tedy prefix halvního routeru doplněn o EUI64 ze své MAC?

U IPv6 se rozlišují obecně 3 druhy zařízení:

koncové stanice,

router,

koncový router.

Pouze koncové stanice mají dovoleno se nakonfigruovat pomocí autokonfigurace, routery to mají zakázáno. Nyní po novu je dovolenou pouze pro koncové domácí routery, aby se také přijmuly nastavení pomocí autokonfigurace na WAN portu. A toto se musí výslovně povolit:

/ipv6 settings set accept-router-advertisements=yes

DHCPv6-PD klient se musí použít vždy, abych získal prefix, který pak může domácí router použít na své LAN straně. Pokud nemám potřebu se spojovat na WAN stranu routeru, tak je zbytečné zapínat tu konfiguraci wan strany.

majklik

/ipv6 address

add address=2a02:/64 interface=sit

...

/ipv6 nd

set advertise-dns=yes

/ipv6 nd prefix

add interface=ether1 prefix=2a02::/32

Nemáš chybu v tom 2a02::/32? Pokud, tak by mělo být /64, protože autokonfigurace funguje pouye pro /64 prefixy.

A pokud náhodou výše to "address=2a02:/64 interface=sit" odkazuje také na ether1, tak to máš zdvojeně. Bud na interface definuješ IPv6 adresu s /64 a zapneš u ní advertise, pak ji ND začne propagovat nebo ji nenastavíš/nepovolíš advertise a pak můžu vysloveně propagovat prefix přes to /ipv6 nd prefix, je zbytečné nastavovat oboje.

bach

/ipv6 address

add address=2a02:/64 interface=sit

...

/ipv6 nd

set advertise-dns=yes

/ipv6 nd prefix

add interface=ether1 prefix=2a02::/32

Nemáš chybu v tom 2a02::/32? Pokud, tak by mělo být /64, protože autokonfigurace funguje pouye pro /64 prefixy.

Díky za upozornění. Na ostatních routerech to nemám. Pozůstatek po testování

travel21

Ok abych to tedy shrnul:

- Ty jsi tedy vytvořil pool na hlavním MK který přiděluje přes "WAN" rozhraní klienta celý 64bit subnet na jeho lokální interface pomocí DHCPv6-DP.

- To celé za pomoci DHCP klienta, který si přes WAN rozhraní klienta zjistí prefix z daného pool a použije ho na svůj pool pro lokální síť.

- Celkem tedy rozděluješ 32 sítí o velikosti 64, takže max.32 potenciální klientů

Asi jsem to pochopil. Jediné co mi neštimuje je to, že když tedy má klientům (MK) přidělit každému jiný pool v mém případě:

fdab::/64 -> fdab/64

proč mi prvnímu klientovi dal pool sama sebe tedy fdab::/64? Je pravda, že se to v binding dá přepsat na tu statiku ale je to tak správně?

Díky za odpověď...

Další stránka »