MikroTik — 6in4 или IPv6 без поддержки провайдера

[fuCtor]

А машины внутри сети будут доступны по ipv6? Настраивал по одной из инструкций в сети, там еще получалась от HE зона в /48 и использовалась для раздачи внутри сети.

[chelaxe]

Да. Машины внутри сети будут доступны по ipv6. Адреса у них будут (из условия статьи) 2001:470:2e3b:5fe::/64 сети выданной .Hurricane Electric.

[themiron]

в данном случае настроен туннель 6in4 через электриков.
туннель 6to4 немного другое, у него другие принципы формирования префикса и нет зависимости (явной) от брокера

[chelaxe]

Спасибо об этом не знал. Подправил.

[k3NGuru]

Не сильно хочется доверять свой IP стороннему сервису, причем там даже сертификата безопасности нет.

[DLag]

Вы доверяете свой IP всем сайтам на которые заходите.
Чем этот сервис хуже?

[core]

Проблема в том что если вы захотите использовать IPv6 без IPv4 то вам понадобятся IPv6 адреса DNS-серверов. Микротик может раздавать их по ND но не может по DHCPv6 а Windows наоборот может получать их по DHCPv6 и не может по ND, что очень неудобно — приходится прописывать адреса DNS-серверов вручную.

[themiron]

для этого можно использовать sourceforge.net/projects/rdnssd-win32/

[shifttstas]

AirPort от Apple оказывается тоже поддерживает такой режим работы, весьма интересно

[merlin-vrn]

Да все сейчас поддерживают. Вон, коллега 6to4 замутил на OpenWRT. Zyxelы новые, если я не ошибаюсь, поддерживают из коробки.

[themiron]

новые как раз не поддерживают, асусы — с черным интерфейсом поддерживают все подряд, static, dhcpv6(pd), 6in4, 6to4, 6rd

[icCE]

AirPort о Apple принимает от radvd ipv6.

[icCE]

Езе дополнение.
У HE есть теперь ddns. Если у вас динамический ip, можно написать скрипт который будет обращатся к HE и обновлять ip в dns записи.
Естественно вам нужен домен, но эта не такая большая проблема на текущий момент.

[icCE]

>Интерфейсом BRIDGE у меня объединены внутренние ethernet порты и беспроводной интерфейс, также в сети раздается IPv4

Вопрос, а зачем объединять внутренние eth bridge? если для этого можно сделать на уровне switch?

[chelaxe]

Именно так у меня и сделано, а в интерфейс BRIDGE объединены wlan и ether-master. Про это писать здесь нет смысла, ведь статья не об этом.

[icCE]

если wlan то понятно. Без этого не как.

[merlin-vrn]

Ну почему же никак. В своё время меня удивило устройство Cisco 877W. Там в свитче шесть портов: процессор, встроенная точка доступа и четыре выведены наружу. Можно, конечно, точку доступа и проводные развязать виланами, а можно оставить свитчу, тогда будет бридж не программный (и даже, если я правильно понимаю, не cef — именно что аппаратно всё обрабатывается микросхемой).

[icCE]

в mikrotik или bridge или route делать на беспроводную карту. Аппаратно к ней не достучатся.
Т.е. wlan не является частью switch.

Vlan в microtik то же очень интересно реализован. Я бы сказал своеобразно.

Достаточно посмотреть статью www.lanmart.ru/blogs/how-to-become-isp-3

P.S. Хотя конечно я могу ошибся.

[k0ldbl00d]

Адрес шлюза почему-то висит в unreacheable и, соответственно, не пингуется с роутера (RB751-2HnD). Не сталкивались с таким?

[chelaxe]

Доступен ли адрес сервера? Адрес (из условия статьи): 236.63.85.135, может изменить его? Посмотрите сервера поближе и проверьте их через Looking Glass

[k0ldbl00d]

Да, через LG почему-то не трассируется адрес, выданный мне как публичный.

[k0ldbl00d]

Всё разрешилось, оказывается у меня наглухо был зарезан весь input в ipv4-фаерволе для внешнего интерфейса. Вот и резался 6to4.

[iXF]

По-моему с 6to4 гемора меньше в разы.

[merlin-vrn]

но и глючит он посильнее

[iXF]

например?

[merlin-vrn]

Он основан на Anycast-адресах 192.88.99.0/24. Т.е. сразу много провайдеров анонсируют эту сеть, и твои пакеты попадают к тому, который топологически ближе.

А не факт, что этот провайдер вообще нормально работает. То сбойнёт у него что-нибудь, то канал загружен. То он перестанет быть топологически ближе — такие перестройки интернета происходят сплошь и рядом, и на работе Anycast сказываются.

А то вообще твой провайдер в свою очередь фильтрует анонсы этой сети (и такое видел), так что через него вообще 6to4 работать не будет никак.

[themiron]

Да, некоторое количество крупных провайдеров держит у себя anycast relay, и могут фильтровать.
Но не все так плохо, в качестве релея ничего не мешает указать любой публичный unicast адрес 6to4 роутера.

[merlin-vrn]

Ну вот и гемор появился… А изначально мысль была о том, что «гемора меньше в разы».

[themiron]

в разы и остается, регистрация не нужна, обновление адреса локального эндпоина не нужно (не у всех статика), входящее icmp echo не нужно, из-за ассиметрии входящий туннельный трафик скорее дойдет, чем не дойдет, если даже на ближайшем релее проблемы. мало?
и да, reverse dns тоже возможен.

[dimzon541]

Согласен, мне тоже кажется что 6to4 проще
И адрес: вместо 192.88.99.0/24 можно любой другой релей прописать

[MonkAlbino]

Пробовал TunnelBroker от HE. Огорчил очень сильно Youtube — все ролики хотели грузиться по IPv6, следовательно пропускаются через сервера HE и только потом уходят уже ко мне. В общем было ужасно медленно, иногда даже 360p не хотело пролазить.
Также огорчило, что все все сервера физически расположены в Европе, поэтому пинг из Омска через сеть Билайна был под 100-120 только до серверов. Ну и трафик весь гоняется через ту же Европу.

[chinamario]

Странно, когда пользовался, ютутб через Hurricane Electric шустро грузил даже 1080p, 20-30мбит без проблем. Но у меня и пинги были пониже, до серверов 70-80. Могу посоветовать попробовать Sixxs, у них есть сервер в Санкт-Петербурге (им сейчас и пользуюсь, пинг 10-15, но замороченная регистрация), либо tb.netassist.ua, но у них отсутствует коннект с теми кто пользуется 6to4 (teredo и прочие).

[Decker]

Спасибо за статью! Как раз решил сделать первый шаг в мир IPv6… настроил все на Mikrotik'е — IPv6 работает, www.test-ipv6.com — 10 из 10. Но есть одна странность, после того как поднялся туннель тот же tunnelbroker.net по IPv6 перестал открываться. Хотя и пингуется. Т.е. имеем следующую картинку:

Скрытый текст

C:\Users\Decker\Desktop\!IPv6>ping -6 tunnelbroker.net

Обмен пакетами с tunnelbroker.net [2001:470:0:63::2] с 32 байтами данных:
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс
Ответ от 2001:470:0:63::2: время=198мс

Статистика Ping для 2001:470:0:63::2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 198мсек, Максимальное = 198 мсек, Среднее = 198 мсек

Однако:

Скрытый текст

wget.exe -6 https://tunnelbroker.net/ --no-check-certificate
--2015-05-15 04:43:58--  https://tunnelbroker.net/
Resolving tunnelbroker.net (tunnelbroker.net)... 2001:470:0:63::2
Connecting to tunnelbroker.net (tunnelbroker.net)|2001:470:0:63::2|:443... connected.

И на этом все «висит». Хотя тот же самый google.com или yandex.com превосходно открываются:

Скрытый текст

C:\Users\Decker\Desktop\!IPv6>wget.exe -6 https://google.com/ --no-check-certificate
--2015-05-15 04:45:03--  https://google.com/
Resolving google.com (google.com)... 2a00:1450:4001:801::1000
Connecting to google.com (google.com)|2a00:1450:4001:801::1000|:443... connected.
WARNING: cannot verify google.com's certificate, issued by `/C=US/O=Google Inc/CN=Google Internet Authority G2':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 302 Found
Location: https://www.google.de/?gfe_rd=cr&ei=nk9VVfOADsSG8QfFuoHoCw [following]
--2015-05-15 04:45:03--  https://www.google.de/?gfe_rd=cr&ei=nk9VVfOADsSG8QfFuoHoCw
Resolving www.google.de (www.google.de)... 2a00:1450:4001:801::101f
Connecting to www.google.de (www.google.de)|2a00:1450:4001:801::101f|:443... connected.
WARNING: cannot verify www.google.de's certificate, issued by `/C=US/O=Google Inc/CN=Google Internet Authority G2':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

В чем может быть причина?

[Decker]

Разобрался:

Скрытый текст

/ipv6 firewall mangle add action=change-mss chain=forward in-interface=sit1 new-mss=1220 protocol=\ tcp tcp-flags=syn tcp-mss=1221-65535
/ipv6 firewall mangle add action=change-mss chain=forward new-mss=1220 out-interface=sit1 protocol=\ tcp tcp-flags=syn tcp-mss=1221-65535

Приведенные правила для IPv6 Firewall в Mikrotik исправляют ситуацию.

[neowisard]

Долго бился с тем что при адресах от электриков (штаты) начинается катавасия с блокировками части трафика (тупил кинопоиск на телеке, госуслуги с ума сходили и т.п) - перешел на российской брокера ip4market.ru, нашел в википедии.