Native IPv6 met MikroTik router - bèta

Sinds gisteren heb ik native IPv6 op mijn Tweak aansluiting, dit is momenteel enkel nog beschikbaar voor bèta testers dus de configuratie werkt niet out of the box.

Zelf heb ik internet + bellen van Tweak, dus de verbinding zit op VLAN 34. Ik heb dit VLAN in mijn configuratie de naam Tweak gegeven.

/interface vlan
add comment="Tweak default connection VLAN 34" interface=sfp1 name=Tweak vlan-id=34

Als het nog niet geactiveerd is moet je het IPv6 package activeren op je MikroTik router.
Daarna kan je via de IPv6 DHCP client de configuratie verkrijgen. Let hierbij op de naam van het interface, die moet gelijk zijn aan de naam van het VLAN of als je internet only hebt gelijk aan de naam van je WAN interface (sfp1 of ether1).

/ipv6 dhcp-client
add add-default-route=yes interface=Tweak pool-name=TweakIPv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no

Als bovenstaande commando gelukt is dan krijgt de router een IPv6 address en prefix, je kunt dit in de webinterface controleren of op de console met /ipv6 dhcp-client print
Ook moet je in de console nu kunnen pingen naar publieke IPv6 adressen, dat kan je controleren met /ping 2606:4700:4700::1111

Om de clients op het LAN ook te voorzien van een IPv6 adres moet je een address met advertisement toevoegen. Let op dat je hier dezelfde pool gebruikt als bij de dhcp-client en de juiste interface (normaal gesproken bridge).

/ipv6 address
add address=::1 from-pool=TweakIPv6 interface=bridge

Als het goed is krijgen de computers op het LAN nu een IPv6 adres. Dit kan je testen door de pagina https://ipv6-test.com te openen in een browser.

Let op! Alles staat nu open!, de hele wereld heeft nu toegang tot alle IPv6 apparaten op het LAN met open poorten!
Daarom moet de ipv6 firewall geconfigureerd worden, dit heb ik gedaan aan de hand van https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall

/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
add address=2a02:58:XXXX:XXXX::/56 comment="local IPv6 clients" list=allowed

Vul op de plek van XXXX:XXXX jouw eigen prefix in

/ipv6 firewall filter
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=drop chain=input in-interface=Tweak src-address=fe80::/16
add action=accept chain=input comment="allow access to router from allowed addresses" disabled=yes src-address-list=allowed
add action=drop chain=input comment="drop all other to router"
add action=accept chain=forward comment="accept established/related and work with new packets" connection-state=established,related
add action=drop chain=forward comment="drop invalid packets" connection-state=invalid
add action=accept chain=forward comment="accept new connections from clients to internet" in-interface=!Tweak
add action=drop chain=forward comment="drop everything else"

De input chain zorgt ervoor dat de router zelf beschermd wordt.
De forward chain zorgt ervoor dat het netwerk achter de router beschermd wordt.
Ook in de firewall configuratie staat 2 maal de naam van het WAN interface (in mijn geval Tweak).

Je kunt ook eerst het /ipv6 firewall filter aanmaken en daarna het /ipv6 address toevoegen, in dat geval ben je direct beschermd tegen aanvallen van buiten.

Mijn configuratie:

  • MikroTik hEX S www.wimoodshop.nl/products/1136/hEX+S
  • SFP-3524S-20-SC - OPTIC www.wimoodshop.nl/products/1104/SFP-3524S-20-SC±+OPTIC
  • UF-SM-PATCH kabel www.wimoodshop.nl/products/1535/UFiber+UF-SM-PATCH-UPC-APC

Het kan zijn dat je een andere patch kabel nodig hebt, dit hangt af van je aansluitpunt.
Ook kan het zijn dat je de juiste kabel al hebt gekregen bij je media converter of router.
De blauwe connector (SC/UPC) gaat in de SFP module.

2 likes