pctine wrote:
再談 Hinet I...(恕刪)
謝謝pctine兄的補完。
當初也是覺得既然IPv6是DHCP的Client端來設定,那麼Address應該自動代出才是。
另一串討論裡面,ej83jp6兄也有提及address可以引用pool,address會自動代上。
再來凹p大一下,IPv6的Firewall可以再進一步分享嗎?
derliang wrote:
再來凹p大一下,IPv6的Firewall可以再進一步分享嗎?...(恕刪)
這部份和 IPv4 firewall 是一樣的, 只是少了 NAT 這一項(IPv6也不需NAT了), 其他的設定和 IPv4 firewall 都相同, 你看原廠文件都懶的再寫了就曉得.
IPv6/Firewall
FB: Pctine
連接 IPv6 網路的方法相當多, 之前介紹過 Dual Stack, 另一種是採用 Tunnel Broker, 此種只要已有 IPv4 連網, 就可以透過簡單的設定達到.
本身 HiNet 也提供 IPv6 Tunnel Broker 服務, 但它必須搭配 gogoclient 特定的軟體連線, 並無法在 Router 中設定, 此處介紹的是 Tunnelbroker.net 所提供的免費服務. 它除了提供 IPv6 tunnel broker service, 另外也可建立 "regual tunnel", 即根據你連線的 IPv4 IP, 配發固定的 IPv6 prefix.
官方文件: My first IPv6 network
這篇實作大多參考原廠文件完成, 但省略了一些較用不著的部份, 設定上簡單了些.
首先至 tunnelbroker.net 註冊一免費帳號, 並申請 "create regular tunnel", 完成後會將一些 IPv4/IPv6 server & client 的相關參數全數列給你. 接著將相關參數代入下列 script 即可.
create regular tunnel 是根據你連線欲建立 IPv6 tunnel 的 IPv4 來配發給你一組 prefix, 所以你必須有一個固定 WAN IP, 若使用動態IP連網的可至 ISP 申請 PPPoE 配發固定 IP 即可.
# 建立 IPv6 6to4 interface (ipv4 server & client address)
/interface 6to4
add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no local-address=\
114.32.xxx.xx mtu=1480 name=sit1 remote-address=66.220.18.42
# Assign wan IPv6 address (IPv6 client IP address)
/ipv6 address
add address=2001:470:c:b9b::2/64 advertise=no comment="tunnelbroker.net wan" \
disabled=no eui-64=no interface=sit1
# Assign lan IPv6 address (routed IPv6 prefix)
add address=2001:470:d:b9b::1/64 advertise=yes comment="tunnelbroker.net lan" \
disabled=no eui-64=no interface=ether2-lan
# 建立 IPv6 pool
/ipv6 pool
add name=ipv6_pool1 prefix=2001:470:d:b9b::/64 prefix-length=64
# IPv6/ND
/ipv6 nd
set [ find default=yes ] advertise-dns=yes interface=ether2-lan \
managed-address-configuration=yes
/ipv6 nd prefix
add interface=ether2-lan prefix=2001:470:d:b9b::/64
# 建立 static route
/ipv6 route
add comment=tunnelbroker.net disabled=no distance=1 dst-address=::/0 gateway=\
sit1 scope=30 target-scope=10
這樣就完成了, 最後再去 test-ipv6.com 測試看看.
結論
雖然 tunnelbroker.net 在全球提供不少 IPv6 Tunnel server, 不過並沒有台灣的主機, 從國外的主機出去畢竟繞了一圈會慢了些, 但至少它提供的服務很完整, 至於國內是否有 ISP 提供類似的服務, 這就要再找找了(之前中研院計算中心似乎有提供此服務).
參考資源
台灣提供 Tunnel Broker 服務列表
IPv4 endpoint updater (若WAN為動態IP,可參考此篇)
FB: Pctine
官方文件: Interface/SSTP
剛接觸 RouterOS 在它 PPP 底下一大堆 server, 真的搞不清楚做什麼用的, 原來提供這麼多 service 各有其妙用, 昨天看到一篇有關於 SSTP 的說明:
Secure Socket Tunneling Protocol (SSTP) is the way to transport PPP tunnel over SSL 3.0 channel. The use of SSL over TCP port 443 allows SSTP to pass through virtually all firewalls and proxy servers.
這不就是小弟要的, 之前中國十八大時很多和 China 建立的 VPN 不能 work, 像 PPTP, IPSEC 這些很多原本用的好好的, 那段時間就一直很不穩定, 很多網友提到用 OpenVPN 解決, 但當時對此一點概念也沒有, 也尚未購買 RouterBoard, 所以就一直挨到十八大後, VPN 就陸陸續續正常了.
這裡實作的是 RouterOS site-to-site SSTP VPN Tunnel, 步驟非常簡單, 而 MikroTik 對自家本身的 router 對連也不需要憑證, 就把 server enable 起來建立帳號就差不多完成了, 透過 443 port 應該就不會再被 block 掉了吧!
Server side: (192.168.38.0/24)
enable sstp server
ps:如果遠端管理 ip service 有用到 443 port, 請記得將其 disable, 或是將遠端管理改為其他 port number. (把 443 port 留給 SSTP 用吧)
建立帳號供 client side 連線. local address & remote address 是做為對接的 IP address. Routes 為 sstp tunnel 建立起來後要 routing 到 client side 的 static route.
Client side: (192.168.22.0/24)
interface > add sstp-client, 設定 server ip & login username and password.
ip route 建立一 static route 至 server side subnet.
這樣就完成所有的設定了, 做法和 PPTP site-to-site 類似, 但利用 SSTP tunnel 應該更有助於 '翻牆' 吧! 至於 SSTP client to server 做法, 日後再來看看吧!
FB: Pctine
有網友詢問關於 RouterOS WEB UI 中文化的問題. 附件是網路上流傳的版本, 其原始檔應該是來自於中國, 小弟只是把裡面的一些廣告及少部份用語稍修改過了. 直接解開托拉到 files skins 目錄下即可.
重新登入 RouterOS web UI 即變成中文了. 自己覺得用字不妥處, 可以從 'Design Skin' 修改. 不過建議還是用英文版的啦! 翻成中文後反而有些地方看不懂. 要恢復成原文, 就直接砍掉此檔即可.
附加壓縮檔: 201303/mobile01-2838e16eaea4a6d8ab2cbf4fba907702.zip
適用於 RouterOS 各版本.
其他參考資料
Design Skin 教學
FB: Pctine
內文搜尋
從 APP 打開
X