Туннельный брокер IPv6, настройка 6to4 туннеля в Mikrotik

Автор На чтение 6 мин

Если ваш интернет-провайдер до сих пор не предоставляет вам «нативный» IPv6, вы можете использовать туннель, специальную технологию. Это похоже на соединение IPv4 между вашей локальной сетью и миром IPv6.

Одним из методов создания такого моста является использование туннельного брокера. Это бесплатный сервис, который принимает и отправляет ваш IPv4-трафик, а также выдает вам настоящий IPv6-адрес и позволяет отправлять ваш IPv6-трафик в Интернет.

В этой статье мы настроим такой туннель 6to4 на роутере MikroTik шаг за шагом. Это позволит всем устройствам в вашей домашней или офисной сети использовать современный протокол IPv6 для выхода в Интернет, даже если ваш провайдер не поддерживает этот протокол.

Содержание
  1. Настройка туннеля для работы MikroTik с tunnelbroker (Туннельный брокер IPv6)
  2. Настройка DNS
  3. Настройка IPv6 в локальной сети
  4. Настройка IPv6 Firewall

Настройка туннеля для работы MikroTik с tunnelbroker (Туннельный брокер IPv6)

Настройка требует постоянного внешнего статического IPv4 адреса.

Первым шагом в MikroTik является проверка и включение пакета ipv6 через меню «Система» — «Пакеты». После включения пакета устройство необходимо перезагрузить с помощью меню «Система» — «Перезапуск».

Открываем сайт IPv6 Tunnel Broker https://tunnelbroker.net/, кнопка Register. Заполняем необходимые данные. Подтверждаем регистрацию пройдя по ссылке из письма. Входим в аккаунт. В меню User Functions выбираем Create Regullar Tunnel. В поле IPv4 Endpoint (Your side) вносим свой внешний IP адрес, ниже, для справки, в поле You are viewing from написан ваш текущий IP адрес. Если после ввода своего IP адреса появилось сообщение: IP is not ICMP pingable. Please make sure ICMP is not blocked. If you are blocking ICMP, please allow 66.220.2.74 through your firewall, то для указанного IP адреса разрешаем входящие ICMP пакеты.

МикроTik добавляет разрешающее правило (IP -> Фильтр) для IP адреса 66.220.2.74 в данном случае, а также интерфейс WAN ether10-wan в устройстве. Если это сообщение не выводится, следующее правило не нужно добавлять.

/ip firewall filter add chain=input src-address=<strong>66.220.2.74</strong> protocol=icmp in-interface=<strong>ether10-wan</strong> action=accept comment="IPv6 tunnelbroker check"

Добавляем правило к запрещающим правилам.

Выбираем понравившийся сервер из списка ниже; однако лучше выбирать сервер, который ближе к вашему местонахождению. Нажимаем кнопку «Создать туннель».

После создания конфигурации переходим на вкладку Example Configuration, в меню Select Your OS выбираем Mikrotik. В поле появятся три команды, которые необходимо скопировать и ввести в командной строке своего MikroTik.

Первая команда добавила новый матч 6 на 4. Новый интерфейс sit1 появится в списке интерфейсов.

Вторым шагом является добавление маршрута по умолчанию в таблицу маршрутизации IPv6. Это называется «Маршруты» в IPv6.

Назначение IPv6 адреса интерфейса sit1 определяется в третьей команде.

Мы добавляем правила в firewall, чтобы обеспечить корректную работу туннеля. Для примера адрес сервера 216.66.86.122, протокол=41 используется для инкапсуляции пакета IPv6 в пакет IPv4, а интерфейс WAN устройства ether10-wan.

/ip firewall filter add chain=input src-address=<strong>216.66.86.122</strong> protocol=<strong>41</strong> in-interface=<strong>ether10-wan</strong> action=accept /ip firewall filter add chain=output dst-address=<strong>216.66.86.122</strong> protocol=<strong>41</strong> out-interface=<strong>ether10-wan</strong> action=accept

Мы добавляем запрещающее правило к ранее созданному правилу.

При проверке работы IPv6 в командной строке MikroTik вводим следующее:

ping 2001:4860:4860::8888

Мы получаем положительные ответы, когда туннель работает нормально.

Настройка DNS

В MikroTik нет пункта настройки DNS во вкладке IPv6; вместо этого он настраивается во вкладке IP (IP -> DNS). В первых двух DNS серверах указываем IPv6 адреса Google: 2001:4860:4860::8888 и 2001:4860:4860::8844. Ниже приведены IPv4 DNS сервера, которые в настоящее время работают.

Настройка IPv6 в локальной сети

Для назначения IPv6 адресов клиентам локальной сети, интерфейсу (обычно это bridge), который служит шлюзом для устройств, находящихся внутри присваиваем IPv6 адрес из выданного нам пула Routed IPv6 Prefixes. Параметр advertise указываем yes.


/ipv6 address add address=<strong>2001:470:6f:XXXX::1/64</strong> advertise=yes disabled=no eui-64=no interface=<strong>bridge-local</strong>

Локальный мост — это интерфейс, который служит шлюзом для локальных устройств.

В Neighbor Discovery (IPv6 -> ND) отключаем запись по умолчанию для всех интерфейсов и добавляем запись для интерфейса локальной сети bridge-local, параметры advertise-mac-address и advertise-dns ставим yes.

/ipv6 nd disable [ find default ] /ipv6 nd add interface=<strong>bridge-local</strong> advertise-mac-address=yes advertise-dns=yes

На этом этапе устройства в локальной сети должны начинать получать адреса IPv6. Проверьте работу IPv6 с клиентского устройства.

Чтобы получить адрес 2001:4860:4860::8888, используйте клавиши Win+R и команду cmd.

У Unix: 2001:4860:4860::8888

Если ваш интернет-провайдер еще не поддерживает IPv6, но вам нужно с ним работать, можно использовать туннельный брокер, специальную технологию, которая передает IPv6-трафик через обычную IPv4-сеть. Одним из простых способов является настройка туннеля 6to4 на роутере MikroTik. Он автоматически упаковывает пакеты IPv6 в IPv4 и отправляет их к нужному узлу через Интернет. Настройка работает практически в любой сети, подключенной к Интернету, и не требует использования сторонних серверов. Это простой и быстрый способ начать использовать IPv6 уже сейчас.

Настройка IPv6 Firewall

Мы не забываем о безопасности устройств, подключенных к Интернету. Мы добавляем в Firewall (IPv6 -> Firewall) минимум необходимых правил для защиты от нежелательного трафика:

/ipv6 firewall filter add chain=input in-interface=<strong>ether10-wan</strong> action=drop connection-state=!established,related /ipv6 firewall filter add chain=input in-interface=<strong>sit1 </strong>action=drop connection-state=!established,related /ipv6 firewall filter add chain=forward in-interface=<strong>ether10-wan</strong> action=drop connection-state=!established,related /ipv6 firewall filter add chain=forward in-interface=<strong>sit1</strong> action=drop connection-state=!established,related

Интерфейс ether10-wan служит для фильтрации нежелательного трафика IPv6, который может поступать от провайдера.

Наш основной IPv6 трафик проходит через туннель sit1–6to4.

Наcтройка туннельного брокера или 6to4-туннеля Mikrotik — отличный способ получить доступ к миру IPv6, даже если ваш провайдер пока не раздает его вам. Это решение временное, но вполне эффективное, которое позволяет сразу же использовать современные сетевые протоколы.

Процесс настройки показывает, что он не слишком сложный. Важно внимательно вписывать адреса, полученные от брокера, и не забывать про firewall. Внедрение правильных правил безопасности обеспечит защиту вашей сети при выходе в Интернет IPv6.

Этот туннель служит мостом в будущее. Он позволит подготовить локальную сеть, протестировать работу приложений с IPv6 и просто удовлетворить здоровое любопытство. Вы будете полностью готовы к переходу, когда ваш провайдер начнет раздавать «родной» IPv6.

Поделиться с друзьями
Алексей Волков

Инженер систем автоматизации. Более 8 лет проектирую и внедряю системы умного дома для жилых и коммерческих объектов.

Оцените автора
Добавить комментарий

Мы используем файлы cookie на этом сайте для улучшения работы. Вы можете прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом без изменения настроек, вы даёте согласие на использование ваших cookie-файлов.