RouterOS 配置电信 IPv6 求助

2022-01-21 09:47:59 +08:00
 Citrus

参照网上教程设置好了 RouterOS 的 IPv6 ,现在的情况是路由器和内网设备可以正常获取到 IPv6 地址,内网设备间也均可互通。但所有设备均无法通过 IPv6 ping 通外网的 IPv6 服务器,Windows 网络连接显示 IPv6 无网络访问权限。

其中,ether1 直连光猫,做 PPPoE 拨号 ether2 连交换机,交换机下再连所有内网设备

防火墙规则使用脚本:

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

具体配置如下:

2453 次点击
所在节点    问与答
13 条回复
jtshs256
2022-01-21 10:08:01 +08:00
ROS7 的话去掉 dhcpv6 client 里 add default route 的勾试下…
laincat
2022-01-21 10:21:41 +08:00
RouterOS ,开 ipv6 这么复杂的?=。=
wm5d8b
2022-01-21 12:25:47 +08:00
@laincat 感觉 op 搞错了,我拨号成功后,就配了一个 ipv6 client 和一个 ipv6 relay ,然后就好了
ZRS
2022-01-21 12:43:34 +08:00
https://www.v2ex.com/t/821681
dndx
2022-01-21 13:42:45 +08:00
先确定一下 ROS 的 IPv6 正常,再研究是不是转发问题。ROS 上 `/ping 2402:4e00::` 看看通不通,如果不通的话那局域网的机器更不可能通了。
Citrus
2022-01-21 14:54:18 +08:00
@jtshs256
@ZRS
原来还有这个 Bug ,去掉之后好像确实好了!晚上回去再测试一下。
Citrus
2022-01-21 14:55:42 +08:00
@dndx 这个是什么地址呀?我之前一直在用网上搜的一些 IPv6 DNS 做 ping 测试,但是全都不通,导致我也不知道是我选的地址有问题还是网的问题
Citrus
2022-01-21 17:24:33 +08:00
@jtshs256
@ZRS
@dndx
几位大佬,小弟又遇到了新的问题。现在内网访问外部的 IPv6 服务完全没有问题了,但是外网还是无法 ping 通内网的 IPv6 地址。这个是还需要做什么额外的配置么?我看了下防火墙,好像也没有任何拦截 ICMPv6 数据包的记录出现。
jtshs256
2022-01-21 21:50:01 +08:00
@Citrus ping6 的话这套防火墙配置就行,也不用额外配置。看下外网那边的环境,是否也有 v6 网,另外要是有代理也先关了试试。

@laincat 如果买 M 家硬件的话就不复杂,自带那套防火墙,剩下的点两下就完事了。坑的是不支持 /::ffff:ffff:ffff:ffff 这种规则。
Citrus
2022-01-22 00:25:47 +08:00
@jtshs256
我在外网弄了台腾讯云的服务器挂上了 IPv6 地址。安全组放通之后,只能单向通。
内网可以用 v6 地址访问外网服务器,ping 和 Web 服务均可。
但是外网服务器反向使用 v6 访问内网服务器,所有的都不通。
SSyang
2022-01-23 11:23:00 +08:00
单向可以出,不能入,大概率不是网络问题,可能是策略限制,建议排查防火墙或者看看厂商网络方面的限制策略,如果还没解决,建议可以咨询官方了解下,望采纳。
Citrus
2022-01-23 19:16:08 +08:00
@SSyang 我也觉得是策略问题,但是我这家用网络也没啥防火墙,唯一的出口路由的防火墙我也贴在上面了,并不清楚是哪天规则出了问题。。。
jtshs256
2022-01-24 10:47:26 +08:00
这套防火墙里放行了 ICMPv6 ,照理 ping6 是没问题的。可以先用手机 ping 下,排除是服务器那边的配置问题。iPhone 的话装个 iSH 就行。tcp 流量就手动开端口吧,反正这 v6 防火墙不支持匹配后缀

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/829616

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX