chelaxe Aug 5 2013 at 16:03

MikroTik — 6in4 или IPv6 без поддержки провайдера

3 min

86K

Network technologies*IPv6*

+17

Comments 36

fuCtor Aug 5 2013 at 16:31

А машины внутри сети будут доступны по ipv6? Настраивал по одной из инструкций в сети, там еще получалась от HE зона в /48 и использовалась для раздачи внутри сети.

chelaxe Aug 5 2013 at 16:39

Да. Машины внутри сети будут доступны по ipv6. Адреса у них будут (из условия статьи) 2001:470:2e3b:5fe::/64 сети выданной .Hurricane Electric.

themiron Aug 5 2013 at 16:36

в данном случае настроен туннель 6in4 через электриков.
туннель 6to4 немного другое, у него другие принципы формирования префикса и нет зависимости (явной) от брокера

chelaxe Aug 5 2013 at 16:44

Спасибо об этом не знал. Подправил.

k3NGuru Aug 5 2013 at 16:42

Не сильно хочется доверять свой IP стороннему сервису, причем там даже сертификата безопасности нет.

-3

DLag Aug 5 2013 at 20:50

Вы доверяете свой IP всем сайтам на которые заходите.
Чем этот сервис хуже?

core Aug 5 2013 at 16:50

Проблема в том что если вы захотите использовать IPv6 без IPv4 то вам понадобятся IPv6 адреса DNS-серверов. Микротик может раздавать их по ND но не может по DHCPv6 а Windows наоборот может получать их по DHCPv6 и не может по ND, что очень неудобно — приходится прописывать адреса DNS-серверов вручную.

themiron Aug 5 2013 at 17:28

для этого можно использовать sourceforge.net/projects/rdnssd-win32/

shifttstas Aug 5 2013 at 19:11

AirPort от Apple оказывается тоже поддерживает такой режим работы, весьма интересно

merlin-vrn Aug 5 2013 at 19:25

Да все сейчас поддерживают. Вон, коллега 6to4 замутил на OpenWRT. Zyxelы новые, если я не ошибаюсь, поддерживают из коробки.

themiron Aug 5 2013 at 19:48

новые как раз не поддерживают, асусы — с черным интерфейсом поддерживают все подряд, static, dhcpv6(pd), 6in4, 6to4, 6rd

icCE Aug 6 2013 at 08:12

AirPort о Apple принимает от radvd ipv6.

icCE Aug 6 2013 at 08:14

Езе дополнение.
У HE есть теперь ddns. Если у вас динамический ip, можно написать скрипт который будет обращатся к HE и обновлять ip в dns записи.
Естественно вам нужен домен, но эта не такая большая проблема на текущий момент.

icCE Aug 6 2013 at 08:32

>Интерфейсом BRIDGE у меня объединены внутренние ethernet порты и беспроводной интерфейс, также в сети раздается IPv4

Вопрос, а зачем объединять внутренние eth bridge? если для этого можно сделать на уровне switch?

chelaxe Aug 6 2013 at 08:42

Именно так у меня и сделано, а в интерфейс BRIDGE объединены wlan и ether-master. Про это писать здесь нет смысла, ведь статья не об этом.

icCE Aug 6 2013 at 08:45

если wlan то понятно. Без этого не как.

merlin-vrn Aug 6 2013 at 08:48

Ну почему же никак. В своё время меня удивило устройство Cisco 877W. Там в свитче шесть портов: процессор, встроенная точка доступа и четыре выведены наружу. Можно, конечно, точку доступа и проводные развязать виланами, а можно оставить свитчу, тогда будет бридж не программный (и даже, если я правильно понимаю, не cef — именно что аппаратно всё обрабатывается микросхемой).

icCE Aug 6 2013 at 08:53

в mikrotik или bridge или route делать на беспроводную карту. Аппаратно к ней не достучатся.
Т.е. wlan не является частью switch.

Vlan в microtik то же очень интересно реализован. Я бы сказал своеобразно.

Достаточно посмотреть статью www.lanmart.ru/blogs/how-to-become-isp-3

P.S. Хотя конечно я могу ошибся.

UFO just landed and posted this here

k0ldbl00d Aug 6 2013 at 09:28

Адрес шлюза почему-то висит в unreacheable и, соответственно, не пингуется с роутера (RB751-2HnD). Не сталкивались с таким?

chelaxe Aug 6 2013 at 10:11

Доступен ли адрес сервера? Адрес (из условия статьи): 236.63.85.135, может изменить его? Посмотрите сервера поближе и проверьте их через Looking Glass

k0ldbl00d Aug 6 2013 at 20:19

Да, через LG почему-то не трассируется адрес, выданный мне как публичный.

k0ldbl00d Aug 6 2013 at 21:14

Всё разрешилось, оказывается у меня наглухо был зарезан весь input в ipv4-фаерволе для внешнего интерфейса. Вот и резался 6to4.

iXF Aug 6 2013 at 11:43

По-моему с 6to4 гемора меньше в разы.

-1

merlin-vrn Aug 6 2013 at 11:55

но и глючит он посильнее

iXF Aug 6 2013 at 13:11

например?

merlin-vrn Aug 6 2013 at 13:13

Он основан на Anycast-адресах 192.88.99.0/24. Т.е. сразу много провайдеров анонсируют эту сеть, и твои пакеты попадают к тому, который топологически ближе.

А не факт, что этот провайдер вообще нормально работает. То сбойнёт у него что-нибудь, то канал загружен. То он перестанет быть топологически ближе — такие перестройки интернета происходят сплошь и рядом, и на работе Anycast сказываются.

А то вообще твой провайдер в свою очередь фильтрует анонсы этой сети (и такое видел), так что через него вообще 6to4 работать не будет никак.

themiron Aug 6 2013 at 15:32

Да, некоторое количество крупных провайдеров держит у себя anycast relay, и могут фильтровать.
Но не все так плохо, в качестве релея ничего не мешает указать любой публичный unicast адрес 6to4 роутера.

merlin-vrn Aug 6 2013 at 15:35

Ну вот и гемор появился… А изначально мысль была о том, что «гемора меньше в разы».

themiron Aug 6 2013 at 15:41

в разы и остается, регистрация не нужна, обновление адреса локального эндпоина не нужно (не у всех статика), входящее icmp echo не нужно, из-за ассиметрии входящий туннельный трафик скорее дойдет, чем не дойдет, если даже на ближайшем релее проблемы. мало?
и да, reverse dns тоже возможен.

dimzon541 Aug 6 2013 at 16:52

Согласен, мне тоже кажется что 6to4 проще
И адрес: вместо 192.88.99.0/24 можно любой другой релей прописать

MonkAlbino Aug 11 2013 at 10:27

Пробовал TunnelBroker от HE. Огорчил очень сильно Youtube — все ролики хотели грузиться по IPv6, следовательно пропускаются через сервера HE и только потом уходят уже ко мне. В общем было ужасно медленно, иногда даже 360p не хотело пролазить.
Также огорчило, что все все сервера физически расположены в Европе, поэтому пинг из Омска через сеть Билайна был под 100-120 только до серверов. Ну и трафик весь гоняется через ту же Европу.

chinamario Sep 10 2013 at 20:33

Странно, когда пользовался, ютутб через Hurricane Electric шустро грузил даже 1080p, 20-30мбит без проблем. Но у меня и пинги были пониже, до серверов 70-80. Могу посоветовать попробовать Sixxs, у них есть сервер в Санкт-Петербурге (им сейчас и пользуюсь, пинг 10-15, но замороченная регистрация), либо tb.netassist.ua, но у них отсутствует коннект с теми кто пользуется 6to4 (teredo и прочие).

Decker May 15 2015 at 04:48

Спасибо за статью! Как раз решил сделать первый шаг в мир IPv6… настроил все на Mikrotik'е — IPv6 работает, www.test-ipv6.com — 10 из 10. Но есть одна странность, после того как поднялся туннель тот же tunnelbroker.net по IPv6 перестал открываться. Хотя и пингуется. Т.е. имеем следующую картинку:

Скрытый текст

C:\Users\Decker\Desktop\!IPv6>ping -6 tunnelbroker.net

Обмен пакетами с tunnelbroker.net [2001:470:0:63::2] с 32 байтами данных:
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс

Статистика Ping для 2001:470:0:63::2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 198мсек, Максимальное = 198 мсек, Среднее = 198 мсек

Однако:

Скрытый текст

wget.exe -6 https://tunnelbroker.net/ --no-check-certificate
--2015-05-15 04:43:58--  https://tunnelbroker.net/
Resolving tunnelbroker.net (tunnelbroker.net)... 2001:470:0:63::2
Connecting to tunnelbroker.net (tunnelbroker.net)|2001:470:0:63::2|:443... connected.

И на этом все «висит». Хотя тот же самый google.com или yandex.com превосходно открываются:

Скрытый текст

C:\Users\Decker\Desktop\!IPv6>wget.exe -6 https://google.com/ --no-check-certificate
--2015-05-15 04:45:03--  https://google.com/
Resolving google.com (google.com)... 2a00:1450:4001:801::1000
Connecting to google.com (google.com)|2a00:1450:4001:801::1000|:443... connected.
WARNING: cannot verify google.com's certificate, issued by `/C=US/O=Google Inc/CN=Google Internet Authority G2':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 302 Found
Location: https://www.google.de/?gfe_rd=cr&ei=nk9VVfOADsSG8QfFuoHoCw [following]
--2015-05-15 04:45:03--  https://www.google.de/?gfe_rd=cr&ei=nk9VVfOADsSG8QfFuoHoCw
Resolving www.google.de (www.google.de)... 2a00:1450:4001:801::101f
Connecting to www.google.de (www.google.de)|2a00:1450:4001:801::101f|:443... connected.
WARNING: cannot verify www.google.de's certificate, issued by `/C=US/O=Google Inc/CN=Google Internet Authority G2':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

В чем может быть причина?

Decker May 15 2015 at 09:58

Разобрался:

Скрытый текст

/ipv6 firewall mangle add action=change-mss chain=forward in-interface=sit1 new-mss=1220 protocol=\ tcp tcp-flags=syn tcp-mss=1221-65535
/ipv6 firewall mangle add action=change-mss chain=forward new-mss=1220 out-interface=sit1 protocol=\ tcp tcp-flags=syn tcp-mss=1221-65535

Приведенные правила для IPv6 Firewall в Mikrotik исправляют ситуацию.

neowisard Apr 12 2023 at 12:45

Долго бился с тем что при адресах от электриков (штаты) начинается катавасия с блокировками части трафика (тупил кинопоиск на телеке, госуслуги с ума сходили и т.п) - перешел на российской брокера ip4market.ru, нашел в википедии.

Show the best of all time