[RouterOS] Hinet 固定制 IPv6 設定教學

去年說好要生的教學拖到現在才寫不好意思
這兩天終於擠出一點時間可以寫教學

如果設定完還是無法使用IPv6,請按下Reset Configuration清空設定資料後再手動設定

教學分成4個部分
1. IPv6設定
2. DNSv6設定
3. 防火牆設定,防止DNS amplification attack
4. 路由器底下的裝置需要Static IPv6的設定方式

前置作業:向中華電信申請IPv6 Dual Stack服務
這部分不再贅述,若有不明的狀況可以直接殺去直營櫃台問


1.1 查詢分配到的IPv6
https://enoc.hinet.net/eNoc/
登入帳號為「線路編號」
第一次登入請撥企業客服取得密碼

網管即時監視→列表顯示→列表內容最右邊的「查詢」

申請成功後會多一個IPv6的欄位如下圖


1.2 RouterOS IPv6設定
※不需要設定Pool,路由器會自動藉由ND配發IPv6給底下的裝置
中華電信配的LAN網段為/56(256個/64),我們要使用ND來給路由器底下的裝置所以要手動把「/56」換成「/64」
修改並匯入下面的設定後,請記得確認兩邊的「Advertise」是否都有打勾

並且注意IPv6 ND的部分是否跟下圖的設定一樣 (不必去管隔壁的Prefixes頁面)

/ipv6 dhcp-server
add disabled=no interface=LAN name="DHCPv6 Server"
/ipv6 address
add address=2001:****:116:ff00::1/64 interface=WAN
add address=2001:****:116::/64 interface=LAN
/ipv6 nd
set [ find default=yes ] advertise-dns=yes other-configuration=yes

/ipv6 route
add distance=1 gateway=2001:****:116:ff00::ffff


2. DNS設定
我比較偏好用Google DNS,IPv4和IPv6的前後順序沒有差別
底下設定的順序:主要DNS、次要DNS、主要DNSv6、次要DNSv6
/ip dns
set allow-remote-requests=yes servers=\
8.8.8.8,8.8.4.4,2001:4860:4860::8888,2001:4860:4860::8844


3.1 DNSv6 防火牆規則設定(IPv6)
/ipv6 firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=::/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=::/0


3.2 DNS 防火牆規則設定(IPv4)
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=0.0.0.0/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=0.0.0.0/0


3.3 Change TCP MSS
最後別忘記加上change tcp mss的規則
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=no \
protocol=tcp tcp-flags=syn
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=no \
protocol=tcp tcp-flags=syn


4. 在電腦上設定固定IPv6
目前RouterOS ND不支援配發固定IPv6給底下的設備,有需求的朋友只能靠自己在電腦上手動設定IPv6
這邊只給Windows 8.1的設定範例
注意事項:
(1) IPv6必須和路由器的IPv6 LAN address在同一個prefix內
(2) 電腦上的預設閘道為路由器的IPv6 LAN address
2015-01-26 13:55 #1
eavictor wrote:
目前RouterOS ND不支援配發固定IPv6給底下的設備,有需求的朋友只能靠自己在電腦上手動

IPv6的固定IP就是Prefix + 設備的MAC Address中間插入FFFE,另一組變動的是暫時IPv6位址,這個是為了安全性,所以會變,而通常上網時都會優先使用暫時IPv6位址。
感謝大大分享,正在找固定ip設定ivp6的方法,按照你的方式我的ipv6還是不正常

ipv6的ND裡面要設定嗎?
感謝分享,之前分享器設固定IPV6花了不少時間才搞定,問題就出在/56要換成/64,當時要有此篇就可省下不少時間。在此幫推好文!
¡¡¡ ɹɐǝʎ ʍǝu ʎddɐH ¡¡¡ 2017年雞年到,祝大家心想事成。
eavictor大
可否請問一下你的固定ip怎麼設定上網呢?我系統回復原廠後不會設定了,可否把所有的流程po一遍給我參考設定
aaa9 wrote:
eavictor大可...(恕刪)


您指的是IPv4的部分嗎?
若是IPv4的部分「囧&囧の網路筆記」有教學
http://blog.cscworm.net/?p=1843

最後補上masqurade規則即可
/ip firewall nat add chain=srcnat action=masquerade dst-ddress=0.0.0.0/0 out-interface=WAN
log=no log-prefix=""





IPv6 ND要設定,直接修改Interface頁面default的值就可以
Prefixes頁面內的值都是自動建立的,不需要手動設定
WINBOX設定會和圖中相同
心得交流一下
小弟家中也是使用ROUTEROS,中華電信的固2
根據小弟的前輩幫小弟家中的ROUTEROS設定的IPV6,電腦是可以自動拿到V6的IP

跟大大的差異就是在設定WAN跟LAN的IP的時候,Advertise都是沒打勾的
這樣LAN的就可以設定為/56了

其他的設定大致都一樣
小弟家中的電腦都可以自動拿到分配的IP
不需要自行設定

lpause wrote:
心得交流一下小弟家中...(恕刪)


大大的設定會讓路由器後面的電腦拿不到DNSv6
也因為電腦沒有DNSv6的IP
做DNS查詢的時候會把全部的查詢往DNSv4送

目前的解決方法只有手動在每一台電腦內設定DNSv6的資訊
小弟路由器後面的電腦使用上都沒有問題
V6的IP也都取得正常,沒有問題
上測試網站也沒問題








lpause wrote:
小弟路由器後面的電腦...(恕刪)


我晚點改設定測試看看,這兩天在接觸Ubiquiti的設備
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結