RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

axel50397

Abonné Free fibre
Messages: 11
Saint-Mandé (94)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #36 le: 23 janvier 2022 à 02:46:58 »

@FiberDude Est-ce que tu pourrais faire un export de ta config tunnel + vlan stp, j'ai essayé de suivre ton tuto et celui ci, mais y'a certaines choses que j'arrive pas à faire, comme augmenter le MTU (Winbox affiche un message d'erreur), mettre l'IPv4 sur le tunnel IPIP6, etc… Ou alors j'ai pas bien compris ce qu'il faut faire.

Merci à toi

IP archivée

FiberDude

Abonné Free fibre
Messages: 25
St Orens (31)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #37 le: 25 janvier 2022 à 20:08:29 »

Hi all: je reviens suite à une absence prolongée du thread...

=> Je vais répondre aux messages depuis mon dernier post (Décembre 2019).

@technarf à propos des règles FW : ce n'est pas "normal", je n'explique pas pourquoi cela te fait perdre la connectivité et pourquoi le ping ne passes pas en v6...
Pistes :
Le nom de tes interfaces dans les ACLs peut-être : ce sont des alias que j'ai fait moi même :
Ex pour mes interfaces WAN & LAN :

Code: [Sélectionner]

/interface list
add name=WAN
add name=LAN

/interface list member
add interface=eth1 list=WAN
add interface="Root bridge" list=LAN

+ Je reposte mes ACL IPv6 qui ont évoluées depuis (!! l'ordre est important !!)

Les "address-list" :

Code: [Sélectionner]

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
add address=<MON_PREFIXE_IPv6>::/60 list=allowed

Les filtres :

Code: [Sélectionner]

/ipv6 firewall filter
add action=drop chain=input comment="INPUT : Drop invalid" connection-state=invalid in-interface-list=WAN log-prefix="DROP : IPv6 INPUT"
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." disabled=yes dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input comment="INPUT : Drop everything else" connection-state="" log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment="FWD : Drop everything else" in-interface-list=WAN log-prefix="DROP : IPv6 FORWARD"

@axel50397 à propos du IPIPv6 : ce n'est malheureusement pas l'objet du présent thread.
Ici on ne remplace pas totalement la Freebox (bien que j'aimerais bien y parvenir), on la laisse juste en mode bridge et on fait tout le reste et notamment la partie IPv6 à l'aide d'un routeur.
Je suppose que ta question concernant le tunnel IPIPv6 sont dans le cas on plug directement la fibre sur le routeur, mais je comprend qu'il faudrait plutôt utiliser un tunnel "6to4" ce qui correspondrais peut-être au "4rd" chez Free mais c'est seulement valable si tu es en zone "IPv6 natif" (= ZMD & ZTD ?? - cf liens plus bas)...
=> Je n'ai pas encore de certitude là dessus car je n'ai pas encore réussi à bypasser totalement la Freebox : je n'ai donc pas de conf fonctionnelle à te proposer coté Mikrotik pour cela... :'(

Concernant la MTU, chez Mikrotik, elle est peut être limitée par le matériel : par exemple je n'ai pas de "Jumbo frames" sur mon réseau local avec un RB2011 qui est pourtant "gigabit" et SFP...

Pour note/trace
Je suis tombé sur les pages/infos qui pourraient se révéler intéressantes pour y parvenir, mais je n'ai encore trouvé le temps d'exploiter tout cela :

Implémentation de IPv6 chez Free (PDF de 2009) : https://ripe58.ripe.net/content/presentations/ipv6-free.pdf
Bypass de la freebox avec un Mikrotik : https://schu.be/replace-freebox-with-mikrotik.html => Ce post me semble le plus prometteur : merci à son auteur Victor Schubert !!!
Le super post de EntertainingMuffin sur LaFibre.info qui remplace également sa Freebox par un Mikrotik mais en zone "6rd", mais cela reste un bonne source d'information/inspiration : https://lafibre.info/remplacer-freebox/tutovdsl6rd-remplacer-sa-freebox-par-un-routeur-mikrotik-tout-en-un/

Et pour finir la mise en place du 6rd sur un Mikrotik chez un autre FAI (Tweak) :

	# Dutch ISP Tweak offers IPv6 via 6rd. The commands below configure a mikrotik
	# RouterOS with 6rd. This was tested with RouterOS 6.46.1.
	#
	# First, you'll have to request IPv6 information from Tweak. You'll receive
	# a fixed IPv4 address and some other information. For the rest of this guide,
	# I assume the following information is received from Tweak:
	#
	# ===
	# IPv4 address: 185.227.123.123
	# IPv4 mask length: 22
	# 6RD border relay server IP: 217.19.16.12
	# IPv6 prefix: 2a02:58:54::/46
	# ===
	#
	# Before you can continue, you need to calculate the 6rd local prefix. You can
	# do this manually, or use a tool like ipv6calc.
	#
	# ipv6calc --action 6rd_local_prefix --6rd_prefix <IPv6 prefix> \
	# --6rd_relay_prefix <6RD border relay server IP>/<IPv4 mask length> <IPv4 address>
	#
	# So, with the example above, this results in
	# ipv6calc --action 6rd_local_prefix --6rd_prefix 2a02:58:54::/46 --6rd_relay_prefix 217.19.16.12/22 185.227.123.123
	# ==> 2a02:58:57:7b00::/56

	# Let's go!

	# Add the 6rd interface
	/interface 6to4
	add clamp-tcp-mss=yes disabled=no dscp=inherit !keepalive local-address=185.227.123.123 \
	name=6rd remote-address=217.19.16.12

	# Create an ipv6 pool. IPv6 pools group IPv6 addresses for further usage.
	/ipv6 pool
	add name=ipv6 prefix=2a02:58:57:7b00::/56 prefix-length=64

	# Add the IPv6 addresses
	/ipv6 address
	add address=::/64 advertise=yes disabled=no eui-64=no from-pool=ipv6 interface=bridge-lan no-dad=no
	add address=2a02:58:57:7b00::/56 advertise=no disabled=no eui-64=no from-pool="" interface=6rd no-dad=no

	# Configure the RouterOS IPv6 Neighbor Detection (nd) and stateless address autoconfiguration
	/ipv6 nd
	set [ find default=yes ] advertise-dns=no advertise-mac-address=yes disabled=no hop-limit=unspecified interface=all \
	managed-address-configuration=no mtu=1480 other-configuration=no ra-delay=3s ra-interval=3m20s-10m ra-lifetime=30m \
	reachable-time=unspecified retransmit-interval=unspecified

	# Configure the prefix information sent in Router Advertisement messages
	/ipv6 nd prefix default
	set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d

	# Add a IPv6 route to the global IPv6 unicast space
	/ipv6 route
	add distance=1 dst-address=2000::/3 gateway=6rd

	# This is it.
	# This should give you IPv6 connectivity via the 6rd infrastructure of Tweak

	#
	# Make sure to add an IPv6 firewall! The default firewall of a new mikrotik
	# router for IPv6 is
	#
	# /ipv6 firewall
	# address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
	# address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
	# address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
	# address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
	# address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
	# address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
	# address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
	# address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
	# address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
	# address-list add list=bad_ipv6 address=::224.0.0.0/100 comment="defconf: other"
	# address-list add list=bad_ipv6 address=::127.0.0.0/104 comment="defconf: other"
	# address-list add list=bad_ipv6 address=::/104 comment="defconf: other"
	# address-list add list=bad_ipv6 address=::255.0.0.0/104 comment="defconf: other"
	# filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
	# filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
	# filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
	# filter add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
	# filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
	# filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
	# filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
	# filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
	# filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
	# filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
	# filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
	# filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
	# filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
	# filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
	# filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
	# filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
	# filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
	# filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
	# filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
	# filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
	# filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
	# filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"

view raw tweak_6rd.rsc hosted with ❤ by GitHub

IP archivée

lc_lol

Abonné Free adsl
Messages: 28
Amiens (80)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #38 le: 13 février 2022 à 14:58:19 »

Bonjour, et tout d'abord un grand merci et bravo pour ce sujet, qui m'a été bien utile. Je "bloque" cependant sur mes propres besoins de configuration.

Ma config est très particulière (et sans doute très superflue, mais bon, je n'ai pas vraiment l'envie de remettre tout à plat immédiatement, et ça marche sans souci en IPV4 - au pire dites-vous que je pose mes questions pour ma culture

- désolé aussi si la solution figure dans vos échanges précédents, j'avoue que je débute vraiment en IPV6, j'ai lu les échanges attentivement et si elle y est, je ne l'ai pas comprise...).

Bref, je viens de passer en freebox Delta+Pop et le passage à Oqee m'a convaincu de tenter la migration en IPV6, que j'avais soigneusement esquivée jusqu'ici...

Pour dire un mot de mon réseau, en gros la freebox est en mode routeur (je n'ai pas renoncé aux fonctionnalités que ça apporte), elle est reliée à mon Mikrotik RB4011 GS. J'ai repris la config du premier post (au début sans trop les comprendre, mais j'assimile doucement

) et j'ai obtenu un sous-réseau IPV6 qui, visiblement, marche nickel. Du coup, Oqee fonctionne en filaire, mais bon, maintenant que j'ai sauté le pas, autant configurer tout mon réseau en IPV6...

Mon souci c'est que je redistribue mon wifi par un autre routeur sous dd-wrt, qui est connecté au LAN du Mikrotik (oui je sais, j'aurais dû prendre un RB4011 avec wifi, mais à l'époque j'avais pas envie de jeter mon routeur wifi qui marchait bien...). J'ai tenté divers réglages sur ce routeur, mais je ne parviens pas à connecter quoi que ce soit en IPV6 sur le wifi (aucune adresse attribuée aux machines connectées). Avant de me lancer dans de plus amples explorations, je voudrais lever un doute : j'ai lu sur les forums Mikrotik que lorsque le FAI fournit un préfixe en /64, on va au devant des plus grands malheurs pour faire du sous-réseau, parce que la plupart des matériels n'est pas configurée pour gérer des sous-réseaux à préfixes supérieurs à 64 (en gros, je lis à peu près partout qu'un FAI digne de ce nom devrait distribuer, au maximum, des /60).

Je comprends aussi que Free donne non pas un mais 8 préfixes /64, et que ça me permet de monter jusqu'à 7 sous-réseaux et/ou VLAN sur le Mikrotik. Yes, mais est-ce que fonctionnellement, je peux déléguer mon 2e préfixe à mon routeur wifi (typiquement, je ne peux pas "pointer" ce routeur en "Next hop" de la freebox car elle me réclame un lien local, et qu'elle ne le verra pas, vu qu'il y a le Mikrotik entre deux...) ?

En gros ça donnerait :

Internet<-> Freebox Delta <-> Mikrotik <-> Routeur wifi <-> Machines en Wifi
2a01:XXXX:XXXX:XXX0::/64 2a01:XXXX:XXXX:XXX1::/64 2a01:XXXX:XXXX:XXX2::/64

Ou est-ce que je suis condamné à avoir ma 2a01:XXXX:XXXX:XXX2 sur le mikrotik, parce qu'avec la config ci-dessus, le seul moyen de mettre un sous-réseau derrière le Mikrotik serait de lui donner un adressage en 2a01:XXXX:XXXX:XXX1:XYYY::/68 ?

Désolé si les questions sont bêtes et béotiennes... J'espère surtout qu'elles sont claires

Merci pour votre aide !

IP archivée

FloBaoti

Abonné MilkyWan
Messages: 1 300
34

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #39 le: 13 février 2022 à 18:56:40 »

Oubliez les préfixes autres que /64, et oubliez les adresses globales là où ce n'est pas nécessaire. Tous vos périphériques ont déjà une IPv6 automatiquement attribuée, une link-local (commence par fe80) et ça suffit pour faire du routage. Et vu la quantité de routeurs (inutiles) dans votre installatio, ça peut être intéressant de les utiliser.
En gros il suffit de faire une seconde délégation d'un autre /64 depuis la box sur le krotik. Puis de celui-ci router ce nouveau/64 vers le routeur suivant (wifi). Bref du simple routage quoi. Et ne pas oublier le routage dans l'autre sens ensuite. C'est ça quand on met des routeurs partout, faut router. Mais tous ces routeurs n'apportent rien. En v4 c'est d'ailleurs pas fameux puisuqils doivent tous faire un NAT a chaque fois bref c'est dégueulasse.

IP archivée

lc_lol

Abonné Free adsl
Messages: 28
Amiens (80)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #40 le: 13 février 2022 à 19:10:50 »

Merci pour votre réponse, oui, effectivement, c'est du super crado, je me repens... Mais c'est sympa d'avoir répondu malgré tout

Ok pour la délégation, je vais faire le routage comme il faut (et au printemps, grand nettoyage...)

IP archivée

Kaybi

Abonné Free fibre
Messages: 25
Le Cellier (44)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #41 le: 04 juillet 2024 à 14:51:48 »

Désolé de déterrer le sujet mais je ne trouve pas d'autre sujet plus récent qui touche à l'IPv6 avec une Freebox en mode bridge et un routeur Mikrotik!
J'ai suivi la configuration du premier post de ce sujet et j'arrive à pinger google depuis une machine sur mon réseau local (ping 2001:4860:4860::8888).

Par contre sur le site https://ipv6-test.com/ j'obtiens le maigre résultat de 4/20 avec un IPv6 à "NOT SUPPORTED"...
Pour donner un peu de contexte, je tente de configurer l'IPv4 sur mon réseau car je souhaite utiliser l'application OQEE de Free pour avoir la TV et il semblerait que l'IPv6 soit nécessaire.

Vous auriez des idées pour débloquer tout ça?

IP archivée

FiberDude

Abonné Free fibre
Messages: 25
St Orens (31)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #42 le: 05 juillet 2024 à 03:11:12 »

Hello Kaybi,
Indeed, tu déterre un vieux sujet là !

J'ai remis le nez dans mon post initial, et il ne me semble pas avoir omis de détails, mais ça fait longtemps.
Ma conf n'a pas changée depuis et ça fonctionne tjrs mais j'ai ajouté tellement de confs à mon MKT (et changé le RB2001 pour un plus récent/puissant) que c'est difficile de dire sans plus de détails ce qui pourrais ne pas aller chez toi...
Pour commencer, je suggérerais de regarder dans la conf de la box si il ne faut pas activer l'IPv6 (sur l'interface de config et sur le site de free avec ton login) mais il ne devrais pas avoir besoin de cela normalement.
Ensuite, il faut que tu décompose le pb: est-ce le MKT ou ton PC qui ne parviens pas à faire de l'IPv6 ?

Ex: tu peux pinger depuis le MKT

Code: [Sélectionner]

[xxx@MikroTik hAPax2] > /tool/ping 2001:4860:4860::8888
  SEQ HOST                                     SIZE TTL TIME       STATUS
    0 2001:4860:4860::8888                       56 112 12ms634us  echo reply
    1 2001:4860:4860::8888                       56 112 12ms243us  echo reply
    2 2001:4860:4860::8888                       56 112 12ms763us  echo reply
    3 2001:4860:4860::8888                       56 112 12ms605us  echo reply
    4 2001:4860:4860::8888                       56 112 12ms830us  echo reply
    sent=5 received=5 packet-loss=0% min-rtt=12ms243us avg-rtt=12ms615us max-rtt=12ms830us

En effet, c'est un point que je n'ai pas abordé, mais la config des clients du réseau peux également être une peu complexe...
Est ce que ton PC à bien une IPv6 (= il sait faire du SLAAC ou faut-il mettre un DHCP IPv6) ?
Perso je suis sous Linux avec du SLAAC et les téléphones/tablettes Android n'ont pas de pb non plus (19/20 sur https://ipv6-test.com/), mais j'ai jamais testé avec un Windows ou un Mac...

Je peux aussi te donner un export de ma conf si cela te dit, mais faudrait que je passes un peu de temps à enlever les parties sensibles (MAC, Key Wireguard, noms de réseaux,...), mais je te préviens et elle est vraiment bien "poilue" et ça sous entends que tu maîtrise le CLI de ton MKT: dit moi si cela te conviendrais pour pas que j'y passes du temps pour rien !
Sinon, essaie de donner plus de détails/contexte pour que je puisses t'aider mieux que ca...

IP archivée

Kaybi

Abonné Free fibre
Messages: 25
Le Cellier (44)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #43 le: 05 juillet 2024 à 09:17:41 »

Je ne m'attendais pas à une réponse si rapide, merci FiberDude!

J'ai l'impression qu'autant mon PC (windows), que mon téléphone (android), que mon Mikrotik hAP ax3 arrivent à faire de l'IPv6... En tout cas j'ai bien une adresse IPv6 préfixée par celle de Free (2a01:e0a:xxx:xxx1:....).
Je ping bien depuis toutes mes machines et également depuis mon routeur avec succès!

Sur l'espace abonné de Free je ne vois rien de réellement spécifique à l'IPv6 (j'ai bien mon préfixe IPv6 qui s'affiche) et pour information je suis en fullstack sur l'IPv4.
Du côté http://mafreebox.freebox.fr, l'IPv6 est bien activée, j'ai tout configuré comme sur le premier post.

Je ne pense pas que ta configuration m'aidera plus que ça, donc ne perds pas de temps à me l'anonymiser pour me l'envoyer

Tout ce que je constate c'est que je n'ai que 4/20 (6/20 ce matin par alternance) et que je n'arrive pas à voir le streaming sur l'appli OQEE de Free...

Voilà ma config à moi, qui est assez maigre puisque je gère tout ce qui est un peu plus avancé sur une autre machine:
(J'ai enlevé tout ce qui est relatif à l'IPv4, au wifi, et ai anonymisé mes IPs)

Code: [Sélectionner]

[mikrotik_admin@MikroTik] > export
# 2024-07-05 09:04:47 by RouterOS 7.15.2
# software id = K3SX-T28X
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment="LAN Bridge" name=bridge_lan port-cost-mode=short
/interface ethernet
set [ find default-name=ether1 ] comment=LAN poe-out=off
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
set [ find default-name=ether5 ] comment=WAN
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface bridge port
add bridge=bridge_lan interface=wifi1 internal-path-cost=10 path-cost=10
add bridge=bridge_lan interface=wifi2 internal-path-cost=10 path-cost=10
add bridge=bridge_lan interface=ether1 internal-path-cost=10 path-cost=10 trusted=yes
add bridge=bridge_lan interface=ether2 internal-path-cost=10 path-cost=10
add bridge=bridge_lan interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge_lan interface=ether4 internal-path-cost=10 path-cost=10
/ipv6 settings
set accept-router-advertisements=yes
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge_lan list=LAN
add interface=ether5 list=WAN
/ipv6 route
add disabled=no distance=1 dst-address=::/0 gateway=2a01:e0a:xxx:xxx0::1 routing-table=main \
    scope=30 target-scope=10
/ipv6 address
add address=2a01:e0a:xxx:xxx0::2 interface=ether5
add address=2a01:e0a:xxx:xxx1::1 interface=bridge_lan
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
add address=2a01:e0a:xxx:xxx0::/60 list=allowed
/ipv6 firewall filter
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input comment="INPUT : Drop everything else" connection-state="" log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment="FWD : Drop everything else" in-interface-list=WAN log-prefix="DROP : IPv6 FORWARD"
/ipv6 nd
set [ find default=yes ] disabled=yes
add hop-limit=64 interface=ether5
add hop-limit=64 interface=bridge_lan managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m

IP archivée

FiberDude

Abonné Free fibre
Messages: 25
St Orens (31)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #44 le: 05 juillet 2024 à 09:34:28 »

Indeed, cela devrais fonctionner si tu as des IPs correspondantes au préfixes: je suppose que tu vois ces IPs dans "/ipv6/neighbor" (+ filtre sur le status "reachable")... et que donne un "/interface/bridge/port print" ?

+ Tu as bien désactivé le FW de la box ?
=> Il vaut mieux faire le FW avec le MKT comme la box bloque les pings et que IPv6 suppose que les pings passent.
(mais il faut par contre bien penser à ajouter des drops explicites pour ne pas exposer tes machines sur le grand méchant net !!)

IP archivée

Kaybi

Abonné Free fibre
Messages: 25
Le Cellier (44)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #45 le: 05 juillet 2024 à 09:43:56 »

Tout à fait, je vois bien ces IPs dans les neighbors en reachable

Voilà le résultat de la commande /interface/bridge/port print:

Code: [Sélectionner]

[mikrotik_admin@MikroTik] > /interface/bridge/port print
Flags: I - INACTIVE
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
#   INTERFACE            BRIDGE         HW   PVID  PRIORITY  PATH-COST  INTERNAL-PATH-COST  HORIZON
0   wifi1                bridge_lan             1  0x80             10                  10  none   
1   wifi2                bridge_lan             1  0x80             10                  10  none   
2   ether1               bridge_lan     yes     1  0x80             10                  10  none   
3   ether2               bridge_lan     yes     1  0x80             10                  10  none   
4 I ether3               bridge_lan     yes     1  0x80             10                  10  none   
5 I ether4               bridge_lan     yes     1  0x80             10                  10  none

Je confirme que je n'ai pas activé le FW de la box!

IP archivée

Kaybi

Abonné Free fibre
Messages: 25
Le Cellier (44)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #46 le: 05 juillet 2024 à 10:48:54 »

Je suis retourné sur https://ipv6-test.com/ et j'ai eu un score de 12/20 (sans modification de ma part), en rafraichissant je retombe à 4/20.
Par contre information intéressante, dans la partie IPv6 connectivity je n'ai à priori pas de SLAAC?

Capture d'écran 2024-07-05 104807.png (79.88 ko, 1168x637 - vu 173 fois.)

IP archivée

FiberDude

Abonné Free fibre
Messages: 25
St Orens (31)

RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON

« Réponse #47 le: 05 juillet 2024 à 12:43:03 »

Cool ! C'est plutôt une bonne nouvelle ce que je vois sur ton screenshot !
+ Ca veux dire que mon "tuto" est tjrs d'actualité

=> Il fallait peut être juste attendre un peu que l'OS décide de bien vouloir l'utiliser (ou un reboot Windows ?

).

Pour la partie SLAAC, cela dépends de ton OS: mais suite test de mon côté, j'ai aussi SLAAC à NO: je fais peut être erreur sur qu'est le SLAAC...
Normalement on detecte cela avec une IPv6 de la forme 2a01:e0a:<ton préfixe free>:<1er HEX de la MAC + 2><2eme HEX de la MAC>:<3eme HEX>ff:fe<4eme HEX>:<5eme HEX><6eme HEX>
Cette form divulge l'adresse MAC et est statique: c'est un risque... Cependant la machine dispos de plusieurs IPv6 (cf mon exemple ci dessous) dont celle donnée en exemple précédemment, mais l'OS priorise normalement l'usage de l'IPv6 "temporaire": il faut regarder par là !

Dans mon exemple, ma machine à également une IP statique en :10 pour des raison pratiques sur mon réseau, mais elle utilise la temporaire qui a encore du temps de validité "left" (en bleu) pour sortir:
ip a
(...)
2: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc fq_codel state UP group default qlen 10000
link/ether 70:86:c2:4a:dd:5d brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/24 brd 10.0.0.255 scope global enp0s31f6
valid_lft forever preferred_lft forever
inet6 2a01:e0a:<mon préfixe>:55c:5c79:4caa:feed/64 scope global temporary dynamic
valid_lft 549854sec preferred_lft 31312sec
inet6 2a01:e0a:<mon préfixe>:aa31:ba8f:144c:e7f6/64 scope global temporary deprecated dynamic
valid_lft 463596sec preferred_lft 0sec
inet6 2a01:e0a:<mon préfixe>:c84e:5b5a:27ce:fc80/64 scope global temporary deprecated dynamic
valid_lft 377339sec preferred_lft 0sec
inet6 2a01:e0a:<mon préfixe>:7286:c2ff:fe4a:dd5d/64 scope global dynamic mngtmpaddr
valid_lft 2591913sec preferred_lft 604713sec
inet6 2a01:e0a:<mon préfixe>::10/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::7286:c2ff:fe4a:dd5d/64 scope link
valid_lft forever preferred_lft forever

2024-07-05_12-28.png (67.72 ko, 1084x587 - vu 175 fois.)

IP archivée

Auteur Sujet: RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON (Lu 23154 fois)