fbpx

Como configurar um roteador MikroTik (RouterBoard) para aceitar IPv6

Como configurar um roteador MikroTik (RouterBoard) para aceitar IPv6

Boas notícias! Por padrão, a maioria dos roteadores MikroTik deve suportar IPv6 – entretanto, o pacote IPv6 não é habilitado por padrão em muitos sistemas RouterOS. Antes de começar, você precisará habilitar o pacote IPv6 executando o seguinte comando:

Configurando seu roteador MikroTik (RouterBoard) para aceitar IPv6

Observação: este guia pressupõe que você já tenha um serviço de Internet ativo via IPv4 e que esteja usando os nomes de interface padrão.

/system package enable ipv6

Necessario reboot para aplicação

  1. Primeiro, diremos ao roteador para aceitar anúncios IPv6, configurar nosso cliente / servidor DHCP IPv6 e habilitar a descoberta de vizinho para nossa rede local:
/ipv6 settings
set accept-router-advertisements=yes
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-out1 pool-name=delegation \
    pool-prefix-length=56 request=address,prefix
/ipv6 dhcp-server
add address-pool=delegation interface=bridge1 name=dhcp1
/ipv6 nd
set [ find default=yes ] interface=bridge ra-interval=20s-1m
  1. Dependendo da versão do OS do roteador que você está usando, também pode ser necessário ajustar algumas das atribuições de endereço automático que o roteador criou após a etapa 1. Se o endereço IPv6 atribuído ao seu roteador via cliente DHCP IPv6 aparecer na sua lista de endereços IPv6 como um /64prefixo , precisaremos excluir a atribuição e reatribuí-la como um IP individual ( /128):
/ipv6 address
add address=<your IPv6 address>/128 advertise=no interface=pppoe-out1
  1. Se o seu roteador não atribuiu automaticamente à interface de LAN primária o primeiro endereço IPv6 em sua delegação (o /56), agora também precisaremos atribuí-lo (lembre-se de substituir o seu próprio endereço abaixo):
/ipv6 address
add address=::e68d:8cff:fecb:9377 eui-64=yes from-pool=delegation interface=bridge1
  1. Em seguida, você pode desejar adicionar uma regra de fixação IPv6 MSS:
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=pppoe-out1 passthrough=yes protocol=tcp tcp-flags=syn
  1. Finalmente, agora você deve configurar algumas regras de firewall IPv6 – embora não seja estritamente obrigatório, é uma boa prática e ajudará a proteger sua rede contra ataques. Se você não tem certeza de quais regras você precisa, aqui está o conjunto padrão de regras de firewall fornecidas pela MikroTik:
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" \
    src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" \
    dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=!LAN

Se tudo estiver funcionando, agora você deve conseguir navegar na Internet IPv6. Sugerimos o uso de um site como https://ipv6test.google.com/ ou http://ip6.me para validar se o IPv6 está funcionando conforme o esperado.

Ainda preso?

Cada um dos dispositivos em sua rede agora deve receber um endereço IPv6 além do endereço IPv4 que já recebem – se alguns de seus dispositivos não receberem um endereço IPv6, primeiro tente desligá-los e ligá-los novamente. Se eles ainda não receberam um endereço IPv6, entre em contato com o fabricante do dispositivo, pois pode haver etapas adicionais para habilitar o IPv6 para o dispositivo.

Se você seguiu as etapas acima e ainda não conseguiu, entre em contato com o suporte para obter ajuda.

Deixe uma resposta

0