Pages: [1] 2   En bas

Auteur Sujet: Mikrotik & IPv6  (Lu 4497 fois)

0 Membres et 1 Invité sur ce sujet

JayBee

  • Abonné Sosh fibre
  • *
  • Messages: 2
  • Paris 75
Mikrotik & IPv6
« le: 12 novembre 2023 à 16:08:35 »
Bonjour,

J'avais réussi à configurer IPv4 et IPv6 sur mon routeur Mikrotik RB5009UPr+S+IN avec un module optique GPON-ONU-34-20BI pour remplacer une Iivebox fibre Sosh en Juillet 2023.

En préparant une doc pour partager sur github, je me suis aperçu que ma configuration IPv6 ne fonctionne plus. ça a cessé de fonctionner entre Juillet 2023 et aujourd'hui (Novembre 2023).

Y a t il eu des modifications récentes pour les options DHCPv6 ou toute configuration IPv6 récemment entre juillet et novembre 2023 ?

En regardant sur wireshark (mirroring de l'interface SFP vers l'une des interfaces ethernet), je retrouve bien ma requête DHCPv6 avec mes options. Je trouve juste curieux de recevoir ça dans la réponse d'Orange à ma requête (je sais pas si c'est lié à mon problème IPv6):

Code: [Sélectionner]
DHCPv6
...
    Domain Search List
        Option: Domain Search List (24)
        Length: 34
        Domain name suffix search list
            List entry: PUT.access.orange-multimedia.net.

"PUT.access.orange-multimedia.net." Qu'est-ce que ça peut bien vouloir dire ? Est-ce normal ?

Sinon voici ma configuration Mikrotik:

- avec "0xXXXXXXXXXXXXXXXXXXXXXX..." comme valeur identique entre DHCPv4 option 90 et DHCPv6 option 11... (pour rappel l'IPv4 fonctionne, j'ai accès à internet)

Code: [Sélectionner]
/interface bridge
add admin-mac=AA:BB:CC:DD:EE:FF auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface vlan
add interface=sfp-sfpplus1 name=vlan832-orange-internet vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=60 name=vendorclass value="'sagem'"
add code=77 name=userclass value="'+FSVDSL_livebox.Internet.softathome.Livebox4'"
add code=90 name=authsend value=0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/ip pool
add name=dhcp_pool1 ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge name=dhcpv4
/ipv6 dhcp-client option
add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=16 name=classidentifier value=0x0000040e0005736167656d
add code=11 name=auth value=0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
add code=6 name=request value=0x000b001100170018
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (vlan832-orange-internet) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-orange-internet passthrough=yes
# in/out-bridge-port matcher not possible when interface (vlan832-orange-internet) is not slave
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-orange-internet passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=vlan832-orange-internet list=WAN
add interface=sfp-sfpplus1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add disabled=yes interface=ether1
add dhcp-options=vendorclass,userclass,authsend,clientid interface=vlan832-orange-internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=drop chain=forward comment="drop invalid forward" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=!LAN
add action=drop chain=forward comment="force LAN to use the router as DNS server" dst-port=53 in-interface-list=LAN log=yes protocol=udp
add action=accept chain=input comment="accept established,related input" connection-state=established,related
add action=accept chain=forward comment="accept established,related forward" connection-state=established,related
add action=accept chain=input comment="accept outgoing traffic input" in-interface-list=LAN
add action=accept chain=forward comment="accept outgoing traffic forward" in-interface-list=LAN
add action=accept chain=input comment="accept icmp input" protocol=icmp
add action=accept chain=input comment="accept dns input" dst-port=53 in-interface=vlan832-orange-internet protocol=udp
add action=accept chain=input comment="accept dhcp input" dst-port=67 in-interface=vlan832-orange-internet protocol=udp
add action=accept chain=input comment="accept ntp input" dst-port=123 in-interface=vlan832-orange-internet protocol=udp
add action=drop chain=input comment="Drop everything else input"
add action=drop chain=forward comment="Drop everything else forward"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-orange-internet src-address=192.168.88.0/24
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ipv6 dhcp-client
add add-default-route=yes default-route-distance=2 dhcp-options=auth,classidentifier,userclass,request interface=vlan832-orange-internet pool-name=Orange \
    rapid-commit=no request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=drop chain=forward comment="drop invalid forward" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6 forward" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6 forward" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=input comment="accept established,related input" connection-state=established,related
add action=accept chain=forward comment="accept established,related forward" connection-state=established,related
add action=accept chain=input comment="accept outgoing traffic input" in-interface-list=LAN
add action=accept chain=forward comment="accept outgoing traffic forward" in-interface-list=LAN
add action=accept chain=input comment="accept ICMPv6 input" protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute input" port=33434-33534 protocol=udp
add action=accept chain=input comment="accept dhcp input" dst-port=546 in-interface=vlan832-orange-internet protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="accept DHCPv6-Client prefix delegation input" dst-port=546 protocol=udp src-address=fe80::/10
add action=drop chain=input comment="Drop everything else input"
add action=drop chain=forward comment="Drop everything else forward"

Ai-je oublié qqchse ?

Merci de pour votre aide..




IP archivée

filou59

  • Abonné Orange Fibre
  • *
  • Messages: 69
  • 59
Mikrotik & IPv6
« Réponse #1 le: 13 novembre 2023 à 21:23:56 »
Bonjour

il y quelques post qui parle de la mise en conformité des option orange, jette un œil sur celui-ci tu y trouveras surrement ton bonheur : https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/

IP archivée

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 233
  • THIONVILLE 57
Mikrotik & IPv6
« Réponse #2 le: 13 novembre 2023 à 21:52:53 »
Citation de: JayBee le 12 novembre 2023 à 16:08:35
Y a t il eu des modifications récentes pour les options DHCPv6 ou toute configuration IPv6 récemment entre juillet et novembre 2023 ?
Ai-je oublié qqchse ?
Bonjour,

Pour la première question, c'est non.
Pour la deuxième question, je vais répondre ceci, j'ai ouvert plusieurs tickets chez Mikrotik car j'ai plusieurs problèmes avec la configuration IPv6 et ce n'est pas lié à des changements chez Orange. J'ai un CCR2116-12G-4S+ ainsi qu'un CRS310-1G-5S-4S+ (switch 10G pour le LAN), les deux ont des problèmes spécifiques avec IPv6 avec la dernière version de RouterOS (7.12).
1) les RA sont mal formés (ils envoient le mauvais préfixe)
2) Le HW Offloading sur les ports du bridge sur les switchs CRS310 bloque certains paquets IPv6 et c'est aussi lié au IGMP snooping.

Je laisse tomber pour le moment IPv6 en attendant la résolution de mes tickets...

J'ai monté un labo sous gns3 (en émulant un routeur avec DHCPv6), les CHR en version 7.10.1 génèrent des RA corrects et les PC windows et Linux récupère une IPv6.

Bon courage.
IP archivée

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 532
  • Antibes (06) / Mercury (73)
Mikrotik & IPv6
« Réponse #3 le: 14 novembre 2023 à 08:12:55 »
Pas vu de RA mal formés de mon coté sur un CCR2004 (même s'il est vrai que c'est un bug recensé officiellement). D'ailleurs j'annonce 2 préfixes simultanément (un ULA et le GUA fourni par Orange).

Le problème du multicast IPv6 bloqué lorsqu'on active IGMP snooping est connu de longue date (et bizarrement à une époque il y avait le même sur mon Ubiquiti ES24), je doute d'une résolution rapide. Une des solutions possibles est de ne PAS activer IGMP snooping et de dédier un VLAN au seul décodeur TV (si c'est ça le problème), voir 2 VLAN si on a deux décodeurs (chaque décodeur seul dans propre VLAN).

En ce qui me concerne, totalement impossible de me passer d'IPv6, au moins en local, j'accède à TOUS mes services internes uniquement en IPv6 (j'ai un DNS local qui ne publie que des AAAA de mes adresses ULA). J'ai même un VPN wireguard site to site vers un VPS chez OVH qui est uniquement IPv6.

La seule limitation "gênante" que j'ai avec IPv6 sur Mikrotik est l'impossibilité de maitriser le préfixe associé aux interfaces de LAN, ils sont choisis aléatoirement dans le pool. Chez moi chaque /64 contient l'ID du VLAN auquel il est attribué (par exemple 2a01:abcd:defg:aa10::/64 pour le VLAN 10). Limitation levée par la non utilisation du pool, remplacé par un script exécuté à chaque renew du lease DHCP6-PD.
IP archivée

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 532
  • Antibes (06) / Mercury (73)
Mikrotik & IPv6
« Réponse #4 le: 14 novembre 2023 à 08:24:44 »
Citation de: JayBee le 12 novembre 2023 à 16:08:35
Ai-je oublié qqchse ?
Alors moi je n'envoie pas l'option 6 (j'utilise le paramètre request à la place) et j'envoie l'option 17 (la LB le fait):

Code: [Sélectionner]
/ipv6 dhcp-client option add code=17 name=option17 value=0x000005580006000e495056365f524551554553544544
/ipv6 dhcp-client add add-default-route=yes default-route-distance=210 dhcp-options=vendor-class-identifier,authsend,userclass,option17 interface=V832-ORANGE pool-name=P-ORANGE rapid-commit=no request=prefix script=dhcp6-lease use-interface-duid=yes use-peer-dns=no
IP archivée

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 233
  • THIONVILLE 57
Mikrotik & IPv6
« Réponse #5 le: 14 novembre 2023 à 10:04:19 »
Citation de: JayBee le 12 novembre 2023 à 16:08:35
"PUT.access.orange-multimedia.net." Qu'est-ce que ça peut bien vouloir dire ? Est-ce normal ?

Pour ta question au sujet du "PUT.access.orange-multimedia.net." --> Aucune idée, fe80::ba0:bab envoie dhcpv6.search_list_entry == "NCY.access.orange-multimedia.net." sur ma LB5.

Au niveau de ta configuration, je vois potentiellement plusieurs problèmes :
1) Je ne vois pas d'adresse IPv6 assignée à une interface de ton LAN (/ipv6 address)
2) Je ne vois pas la de ND sur le LAN (mais peut-être que c'est parce que tu as laissé la configuration par défaut)
3) Tu as aussi # in/out-bridge-port matcher not possible when interface (vlan832-orange-internet) is not slave ce qui me laisse penser que ta règle ne fonctionne pas.

Je n'utilise que les options 11, 15, 16 supplémentaires et je reçois bien le préfixe. Est-ce que tu reçois au moins le préfixe IPv6 ?

Citation de: zoc le 14 novembre 2023 à 08:12:55
Pas vu de RA mal formés de mon coté sur un CCR2004 (même s'il est vrai que c'est un bug recensé officiellement). D'ailleurs j'annonce 2 préfixes simultanément (un ULA et le GUA fourni par Orange).

ccr2116.png : 2 préfixes envoyés (aucun des 2 correspondait au seul préfixe défini sur l'interface)


lab.png : 1 seul préfixe dans mon lab GNS3 avec routerOS 7.10.1


Citation de: zoc le 14 novembre 2023 à 08:12:55
La seule limitation "gênante" que j'ai avec IPv6 sur Mikrotik est l'impossibilité de maitriser le préfixe associé aux interfaces de LAN, ils sont choisis aléatoirement dans le pool. Chez moi chaque /64 contient l'ID du VLAN auquel il est attribué (par exemple 2a01:abcd:defg:aa10::/64 pour le VLAN 10). Limitation levée par la non utilisation du pool, remplacé par un script exécuté à chaque renew du lease DHCP6-PD.
Pas posible de faire du DHCPv6 au lieu du SLAAC avec le PD d'Orange ?
Je m'étais posé la question et fait quelques tests sans succès (mais avec le problème du Bridge HW Offloading + IGMP Snooping, j'ai laissé tombé pour le moment ...)

Citation de: zoc le 14 novembre 2023 à 08:12:55
J'ai même un VPN wireguard site to site vers un VPS chez OVH qui est uniquement IPv6.
--> Vu mes problèmes IPv6, j'ai la même chose en IPv6 un Wireguard avec un VPS OVH qui fait du failover entre ma connexion fibre et 4G ;) Tu l'utilises pour une autre raison ?
IP archivée

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 532
  • Antibes (06) / Mercury (73)
Mikrotik & IPv6
« Réponse #6 le: 14 novembre 2023 à 11:23:46 »
Citation de: pinomat le 14 novembre 2023 à 10:04:19
Pour ta question au sujet du "PUT.access.orange-multimedia.net." --> Aucune idée, fe80::ba0:bab envoie dhcpv6.search_list_entry == "NCY.access.orange-multimedia.net." sur ma LB5.
Pour moi c'est un signe que la téléphonie chez Orange va migrer en IPv6. Ce type de search-list est actuellement aussi retourné par le serveur DHCP IPv4 d'Orange et est explicitement utilisé pour atteindre le serveur SIP le plus proche du client.

Citer
Pas posible de faire du DHCPv6 au lieu du SLAAC avec le PD d'Orange ?
Sans doute, mais SLAAC c'est quand même plus simple.

Citer
--> Vu mes problèmes IPv6, j'ai la même chose en IPv6 un Wireguard avec un VPS OVH qui fait du failover entre ma connexion fibre et 4G ;) Tu l'utilises pour une autre raison ?
Mon VPS OVH fait office de SMTP sortant (pour contourner le blocage du port 25). Le VPN n'était pas strictement nécessaire (d'ailleurs au début je n'en n'avais pas et j'utilisais l'authentification par certificat numérique sur mon Postfix chez OVH pour autoriser ou non le relais SMTP). Au même titre, je fais de l'OSPFv3 dans ce tunnel wireguard. Totalement inutile vu le nombre de routes, mais totalement indispensable pour un network geek comme moi ;)
IP archivée

JayBee

  • Abonné Sosh fibre
  • *
  • Messages: 2
  • Paris 75
Mikrotik & IPv6
« Réponse #7 le: 20 novembre 2023 à 01:25:37 »
Bonsoir,

Merci pour vos réponses riches.

Voici mes réponses aux questions de pinomat:

Citer
1) Je ne vois pas d'adresse IPv6 assignée à une interface de ton LAN (/ipv6 address)
J'avais suivi ce tutoriel https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg533294/#msg533294, et effectivement après relecture elles manquaient...

Citer
2) Je ne vois pas la de ND sur le LAN (mais peut-être que c'est parce que tu as laissé la configuration par défaut)

C'est bien ça:

Citer
3) Tu as aussi # in/out-bridge-port matcher not possible when interface (vlan832-orange-internet) is not slave ce qui me laisse penser que ta règle ne fonctionne pas.

Oui bien vu

J'ai réussi à refaire fonctionner l'IPv6 en utilisant un bridge avec le VLAN orange dedans et j'ai modifié tous mes paramètres pour que ça soit un bridge au lieu du vlan comme nom d'interface.

Voici donc ma nouvelle configuration:

Code: [Sélectionner]
/interface bridge
add admin-mac=AA:BB:CC:DD:EE:FF auto-mac=no comment=defconf name=bridge-lan
add name=bridge-wan protocol-mode=none
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface vlan
add interface=sfp-sfpplus1 name=vlan832-orange-internet vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=60 name=vendorclass value="'sagem'"
add code=77 name=userclass value="'+FSVDSL_livebox.Internet.softathome.Livebox4'"
add code=90 name=authsend value=0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/ip pool
add name=dhcp_pool1 ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge-lan name=dhcpv4
/ipv6 dhcp-client option
add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=16 name=classidentifier value=0x0000040e0005736167656d
add code=11 name=auth value=0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
add code=6 name=request value=0x000b001100170018
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-orange-internet
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-orange-internet
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-lan comment=defconf interface=ether6
add bridge=bridge-lan comment=defconf interface=ether7
add bridge=bridge-lan comment=defconf interface=ether8
add bridge=bridge-lan interface=ether1
add bridge=bridge-wan interface=vlan832-orange-internet
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add interface=bridge-wan list=WAN
add interface=sfp-sfpplus1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge-lan network=192.168.88.0
/ip dhcp-client
add disabled=yes interface=ether1
add dhcp-options=vendorclass,userclass,authsend,clientid interface=bridge-wan
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=drop chain=forward comment="drop invalid forward" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=!LAN
add action=drop chain=forward comment="force LAN to use the router as DNS server" dst-port=53 in-interface-list=LAN log=yes protocol=udp
add action=accept chain=input comment="accept established,related input" connection-state=established,related
add action=accept chain=forward comment="accept established,related forward" connection-state=established,related
add action=accept chain=input comment="accept outgoing traffic input" in-interface-list=LAN
add action=accept chain=forward comment="accept outgoing traffic forward" in-interface-list=LAN
add action=accept chain=input comment="accept icmp input" protocol=icmp
add action=accept chain=input comment="accept dns input" dst-port=53 in-interface=bridge-wan protocol=udp
add action=accept chain=input comment="accept dhcp input" dst-port=67 in-interface=bridge-wan protocol=udp
add action=accept chain=input comment="accept ntp input" dst-port=123 in-interface=bridge-wan protocol=udp
add action=drop chain=input comment="Drop everything else input"
add action=drop chain=forward comment="Drop everything else forward"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-wan src-address=192.168.88.0/24
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=bridge-lan
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=auth,classidentifier,userclass dhcp-options=auth,classidentifier,userclass interface=vlan832-orange-internet pool-name=pool_FT_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=drop chain=forward comment="drop invalid forward" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6 forward" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6 forward" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=input comment="accept established,related input" connection-state=established,related
add action=accept chain=forward comment="accept established,related forward" connection-state=established,related
add action=accept chain=input comment="accept outgoing traffic input" in-interface-list=LAN
add action=accept chain=forward comment="accept outgoing traffic forward" in-interface-list=LAN
add action=accept chain=input comment="accept ICMPv6 input" protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute input" port=33434-33534 protocol=udp
add action=accept chain=input comment="accept dhcp input" dst-port=546 in-interface=bridge-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="accept DHCPv6-Client prefix delegation input" dst-port=546 in-interface=bridge-wan protocol=udp src-address=fe80::/10
add action=drop chain=input comment="Drop everything else input"
add action=drop chain=forward comment="Drop everything else forward"



IP archivée

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 233
  • THIONVILLE 57
Mikrotik & IPv6
« Réponse #8 le: 23 novembre 2023 à 08:59:27 »
Citation de: zoc le 14 novembre 2023 à 11:23:46
Mon VPS OVH fait office de SMTP sortant (pour contourner le blocage du port 25). Le VPN n'était pas strictement nécessaire (d'ailleurs au début je n'en n'avais pas et j'utilisais l'authentification par certificat numérique sur mon Postfix chez OVH pour autoriser ou non le relais SMTP). Au même titre, je fais de l'OSPFv3 dans ce tunnel wireguard. Totalement inutile vu le nombre de routes, mais totalement indispensable pour un network geek comme moi ;)
Intéressant à rappeler pour le blocage du port 25.

Citation de: zoc le 14 novembre 2023 à 11:23:46
Totalement inutile vu le nombre de routes, mais totalement indispensable pour un network geek comme moi

C'est aussi de la cultute personnelle, est-ce vraiment inutile de se cultiver ?! :D J'avais aussi fait de l'OSPF (v2 je crois avec Ubiquiti), c'était strictement inutile, que je l'ai enlevé quelques temps plus tard ;)

Pour IPv6, Mikrotik a corrigé en v7.12.1 le problème des RA. C'est beaucoup mieux pour le moment.
What's new in 7.12.1 (2023-Nov-17 13:38):
*) ipv6 - do not send out IPv6 RA deprecate message for re-used prefix;

Personnellement, c'est du super matos Mikrotik, mais il y a des bugs à tout va et parfois pour trouver l'origine d'une panne lorsqu'on met en place des nouveaux services devient le chemin de croix...  J'ai rencontré récemment eu un problème lors du renouvellement DHCP d'Orange (ce n'était pas le premier), impossible de récupérer une IP. Aujourd'hui, je n'ai pas trouvé l'origine, car après un downgrade du switch+router puis upgrade vers la même version que j'avais --> je récupère une IP... J'avais temporairement remis la livebox qui n'a eu aucun problème. Bref, l'OS manque de maturité.


IP archivée

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 233
  • THIONVILLE 57
Mikrotik & IPv6
« Réponse #9 le: 23 novembre 2023 à 11:49:50 »
Citation de: JayBee le 20 novembre 2023 à 01:25:37
J'ai réussi à refaire fonctionner l'IPv6 en utilisant un bridge avec le VLAN orange dedans et j'ai modifié tous mes paramètres pour que ça soit un bridge au lieu du vlan comme nom d'interface.

Bonne nouvelle !
IP archivée

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 078
  • Toulon (83)
    • HSGMII intégriste
Mikrotik & IPv6
« Réponse #10 le: 30 mars 2024 à 18:13:40 »
Ping

IPv6 ne passe plus non plus chez moi. je chercherai également.
IP archivée

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 233
  • THIONVILLE 57
Mikrotik & IPv6
« Réponse #11 le: 30 mars 2024 à 21:58:39 »
Hello,
A priori, aucun problème chez moi avec l'IPv6 à partir du routeur.
IP archivée
Pages: [1] 2   En haut