8.3 Konfigurácia IPv6 na smerovači MikroTik

Na zariadeniach MikroTik je protokol IPv6 štandardne povolený, no môžeme to preveriť cez WinBox ponuku IPv6 → Settings.

Konfigurácia WAN rozhrania

Automatická konfigurácia cez SLAAC

Hoci to nie je obvyklé, aj smerovač môže IPv6 sieť prijať automaticky cez SLAAC, obvykle z WAN rozhrania. K tomu je potrebné zapnúť prijímanie RA (nastavenie Accept Router Advertisements v ponuke IPv6 → Settings na hodnotu „yes“).

Po každej zmene nastavenia protokolu IPv6 v tejto ponuke by sme mali vykonať reštart zariadenia.

Po zapnutí tejto funkcie sa smerovač nakonfiguruje automaticky a nie je potrebné riešiť nič ďalšie. Konkrétne prijme:

• prefix adresy, zvyšok adresy si doplní cez EUI-64 - bude vidieť v IPv6 → Addresses;
• adresu brány pre všetko (::/0) - bude v IPv6 → Routes s príznakom „g“ (ako lokálna linková adresa);
• DNS server, bude v IP → DNS → Dynamic Servers (nastavenia DNS sú spoločné pre IPv4 i IPv6).

Čo znamená predvolené nastavenia na hodnotu „yes if forwarding disabled“?

Znamená presne to, čo uvádza - teda prijímanie RA bude zapnuté len vtedy, keď bude voľba IPv6 Forward vypnutá. V predvolenom nastavení je však IPv6 Forward zapnuté, a teda prijímanie RA vypnuté.

Čo znamená „IPv6 Forward“ a čo sa stane, ak ho vypnem?

Toto nastavenie zapína smerovanie v IPv6, teda robí smerovač smerovačom. Ak by sme ho vypli, náš MikroTik prestane preposielať pakety z jedného rozhrania na druhé, teda prestane byť smerovačom a stane sa v podstate koncovým zariadením s viacerými rozhraniami. Podobné nastavenie je aj pre IPv4.

Zapnutie prijímania RA cez SLAAC je síce pohodlné a v domácom prostredí aj vyhovujúce, no pokiaľ ponecháme nastavenie Accept Router Advertisements On na predvolene hodnote „all“, zapnutie sa bude týkať všetkých sieťových rozhraní, čo môže to predstavovať bezpečnostné riziko - ktokoľvek by mohol náš smerovač presvedčiť, aby sa stal súčasťou jeho siete. Preto je na smerovači vhodnejšie možnosť Accept Router Advertisements vypnúť a adresy konfigurovať staticky, prípadne prijímanie RA obmedziť len na WAN rozhrania (je potrebné vytvoriť Interface List).

Statická konfigurácia

Pokiaľ chceme smerovaču nastaviť IPv6 adresu staticky, dosiahneme to cez IPv6 → Addresses. Ak konfigurujeme WAN rozhranie, musíme myslieť aj na predvolenú bránu a DNS, teda vykonať tri kroky:

1. cez IPv6 → Addresses nastaviť vlastnú adresu na WAN rozhranie (prípadne zadať len prefix a využiť EUI-64) a voľbu Advertise vypneme (nemá zmysel oznamovať adresu na WAN rozhraní);

   

2. cez IPv6 → Routes nastaviť IPv6 adresu východzej brány (Gateway) od nášho ISP, tú chceme použiť pre spojenie so všetkými verejnými sieťami, teda ako cieľ (Dst. Address) uvedieme 2000::/3 (pokiaľ nám stačí prístup „len do internetu“ a nepoužívame napríklad ULA adresy - vtedy by sme uviedli cieľ ::/0);

   

3. cez IP → DNS nastaviť IPv6 adresu DNS servera (Servers) - využiť môžeme aj obľúbené verejné DNS servery (pozri nižšie);

   

   • v prípade, že na WAN rozhraní je aktívny DHCPv6 server (postačuje aj bezstavový), môžeme DNS server získať aj automaticky: cez IPv6 → DHCPv6 Client zvolíme správne rozhranie (WAN) a požiadavku (Request) obmedzíme len na info.
     

V škole je pre výučbu sietí určená adresa 2001:4118:1c:d100::/64, pričom bránou i DNS serverom je 2001:4118:1c:d100::1.

Obľúbené verejné DNS servery:

• DNS4EU bez blokovania: 2a13:1001::86:54:11:100 a 2a13:1001::86:54:11:200
• DNS4EU s blokovaním malware: 2a13:1001::86:54:11:1 a 2a13:1001::86:54:11:201
• DNS4EU s blokovaním malware a obsahu pre dospelých: 2a13:1001::86:54:11:12 a 2a13:1001::86:54:11:212
• DNS4EU s blokovaním malware, obsahu pre dospelých a reklamy: 2a13:1001::86:54:11:11 a 2a13:1001::86:54:11:211
• Cloudflare bez blokovania: 2606:4700:4700::1111 a 2606:4700:4700::1001
• Cloudflare s blokovaním malware: 2606:4700:4700::1112 a 2606:4700:4700::1002
• Cloudflare s blokovaním malware a obsahu pre dospelých: 2606:4700:4700::1113 a 2606:4700:4700::1003
• Google: 2001:4860:4860::8888 a 2001:4860:4860::8844

Konfigurácia LAN cez SLAAC

Situácia je odlišná na LAN rozhraní - tomu chceme nielen prideliť IPv6 adresu staticky, ale aj poskytovať adresy svojim klientom, čiže posielať im SLAAC informácie cez RA správy. To dosiahneme jednoducho: cez IPv6 → Addresses nastavíme LAN rozhraniu vlastnú adresu (prípadne len prefix a EUI-64) a necháme zapnutú voľbu Advertise, ktorá zabezpečí odosielanie RA s prefixom siete. Smerovač, ktorý odosiela RA, sa automaticky chápe ako predvolená brána do ostatných sietí.

V škole sú pre experimentovanie pri výučbe sietí určené LAN siete 2001:4118:1c:deXX::/64, pričom na rozhraní učebne musí byť adresa 2001:4118:1c:d100::XX/64.

V RA správe sa vždy nachádzajú informácie o prefixe adresy a o LLA (lokálnej linkovej adrese) brány, ktorým sa automaticky stáva odosielajúci smerovač. Nenachádza sa tam však informácia o DNS serveri, čo môžeme zmeniť v IPv6 → ND (Neighbor Discovery) → Interfaces. Môžeme tu pridať špecifické nastavenia pre konkrétne rozhranie alebo zmeniť všeobecné nastavenia pre všetky rozhrania (all). Vhodné sú tieto dve voľby nastavenia:

• voľba Advertise MAC Address prikladá k oznámeniu rovno aj MAC adresu smerovača, teda klient nemusí dodatočne zisťovať MAC adresu brány (cez Neighbor Discovery Protocol) a vie na ňu hneď odosielať rámce;
• nastavenie Advertise DNS umožňuje poskytnúť DNS server - musí však byť nastavený nejaký s IPv6 adresou v položke DNS Servers (typicky zadávame adresu smerovača samotného), inak bude poskytovať IPv6 server definovaný v IP → DNS.
  

Bude po všetkých týchto nastaveniach už fungovať internetové pripojenie klientom v LAN?

Žiaľ, obvykle nie. Klient získa IPv6 adresu so správnym prefixom, dostane bránu i DNS server, takže môže odoslať paket komukoľvek (a príjemcovi naozaj aj bude doručený), lenže odpoveď nenájde cestu späť. Náš smerovač totiž paket z LAN odoslal „nadriadenému“ (typicky smerovaču ISP), ale ten nepozná našu LAN, nevie o nej. Museli by sme mu zadať trasu. V ďalšej kapitole sa však naučíme tento problém elegantne a automatizovane vyriešiť.

Optimalizácia pre zrýchlenie reakcií

Tieto nastavenia by mali byť postačujúce pre fungovanie IPv6 siete, no v rámci optimalizácie je ešte vhodné skrátiť intervaly vysielania RA správ. Pôvodné hodnoty sú veľmi konzervatívne a príliš pomalé pre modernú rýchlu dobu. Konkrétne:

• RA Interval určuje interval odosielania RA správy. Nejde o jednu konkrétnu hodnotu, ale rozsah, z ktorého sa vždy náhodne určí konkrétna hodnota. V predvolenom nastavení (200-600) to teda znamená, že RA sa pošle najskôr po 3 minútach a 20 sekundách a najneskôr do 10 minút. To je príliš dlhá doba - môže sa stať, že zariadenie sa po zapnutí ešte 10 minút nedozvie svoju IPv6 sieť (a teda nebude mať ani adresu).
  • Rozumné nastavenie je 60-180 s - RA správa sa bude odosielať aspoň raz za 3 minúty.
• RA Lifetime (nazývaný aj Router Lifetime) určuje dobu platnosti brány z RA správy. Pôvodná hodnota 1800 s znamená, že získaná brána bude platiť pol hodiny od posledného RA, čo je príliš veľa, keď sa napríklad prepne pripojenie na druhého ISP. Štandard určuje pravidlo, že táto hodnota má byť aspoň 3-násobkom maximálnej hodnoty RA intervalu.
  • Rozumná hodnota je teda napríklad 600 s (10 minút).

Hoci to láka, nie je rozumné vyššie uvedené hodnoty nastavovať príliš nízko, napríklad RA posielať každých 10 sekúnd. Multicast prevádzka totiž prebúdza zariadenia na Wi-Fi, aby tieto informácie spracovali, čo zvyšuje vybíjanie ich batérie.

Ďalšie „pomalé nastavenia“ nájdeme v ponuke na záložke IPv6 → ND (Neighbor Discovery) → Prefixes, pod tlačidlom Default. Predvolené hodnoty slepo nasledujú pôvodný štandard z 90. rokov. V čase návrhu IPv6 sa rátalo s tým, že prefix dostaneme od ISP „navždy“ a nepredpokladali, že sa budeme prepínať medzi viacerými sieťami, či dostávať dynamické prefixy. Tiež bolo bežné, že k internetu sa pripojíme len „na chvíľu“, ale prefix siete musí zostať v LAN aj po odpojení sa od internetu na niekoľko dní.

Doba sa však zmenila, a preto je vhodné zmeniť tieto hodnoty:

• Preferred Lifetime určuje, ako dlho od posledného RA oznámenia sa môže používať IPv6 prefix. Po uplynutí tejto doby zariadenie už adresu nesmie používať pre nové spojenia, no ešte zostane v systéme s označením „deprecated“ (zastaraný) a môže sa ešte používať pre už otvorené spojenia.
  • Keďže sa RA odosiela každých pár minút, pôvodných 7 dní predstavuje značne prehnanú dobu, ktorú môžeme smelo znížiť na 4 hodiny.
• Valid Lifetime určuje, ako dlho od posledného RA oznámenia sa môže používať zastaraný IPv6 prefix pre existujúce spojenia. Po uplynutí tejto doby sa prefix (a IPv6 adresa s ním) zo systému odstráni.
  • Pôvodných 30 dní je príliš veľa, úplne bude stačiť 1 deň. Vďaka tomu nebudú neaktuálne adresy strašiť v systéme ešte mesiac po zmene.

DNS server pre staršie zariadenia

Ako sme už spomínali v predošlej kapitole, niektoré staršie zariadenia môžu mať problém prijímať informácie o DNS cez RA správy. Vtedy príde vhod SLAAC v spojení s bezstavovým DHCPv6 serverom, keď sa posielajú informácie o DNS serveri aj cez DHCPv6. Použije sa ten DNS server, ktorý je zadaný v IP → DNS. K tomu je potrebné navyše nastaviť:

• v IPv6 → ND (Neighbor Discovery) → Interfaces  zapnúť voľbu Other Configuration;
• cez IPv6 → DHCP Server pridať DHCPv6 server pre dané rozhranie - nie je potrebné nastavovať žiadny Pool.
  

NTP server

Ku základným nastaveniam smerovača patrí aj nastavenie presného času z NTP servera. Servery z projektu pool.ntp.org sú prezentované štandardne len cez IPv4 adresy, pre IPv6 je potrebné použiť meno s predponou „2.“, teda napríklad 2.pool.ntp.org, 2.europe.pool.ntp.org, 2.sk.pool.ntp.org.

Žiaľ, aktuálna implementácia NTP klienta v MikroTik RouterOS pri zadaní doménového mena používa len IPv4 adresu. Pre použitie NTP servera cez IPv6 je potrebné zadať priamo IPv6 adresu, napríklad pre NTP servery Cloudflare sú to 2606:4700:f1::1 a 2606:4700:f1::123.