[RouterOS] Hinet 固定制 IPv6 設定教學

eavictor

eavictor
個人積分：6分
文章編號：54214665

6分

樓主

2015-01-26 13:55

去年說好要生的教學拖到現在才寫不好意思

這兩天終於擠出一點時間可以寫教學

如果設定完還是無法使用IPv6，請按下Reset Configuration清空設定資料後再手動設定

教學分成4個部分
1. IPv6設定
2. DNSv6設定
3. 防火牆設定，防止DNS amplification attack
4. 路由器底下的裝置需要Static IPv6的設定方式

前置作業：向中華電信申請IPv6 Dual Stack服務
這部分不再贅述，若有不明的狀況可以直接殺去直營櫃台問

1.1 查詢分配到的IPv6
https://enoc.hinet.net/eNoc/
登入帳號為「線路編號」
第一次登入請撥企業客服取得密碼

網管即時監視→列表顯示→列表內容最右邊的「查詢」

申請成功後會多一個IPv6的欄位如下圖

1.2 RouterOS IPv6設定
※不需要設定Pool，路由器會自動藉由ND配發IPv6給底下的裝置
中華電信配的LAN網段為/56(256個/64)，我們要使用ND來給路由器底下的裝置所以要手動把「/56」換成「/64」
修改並匯入下面的設定後，請記得確認兩邊的「Advertise」是否都有打勾

並且注意IPv6 ND的部分是否跟下圖的設定一樣 (不必去管隔壁的Prefixes頁面)

/ipv6 dhcp-server
add disabled=no interface=LAN name="DHCPv6 Server"
/ipv6 address
add address=2001:****:116:ff00::1/64 interface=WAN
add address=2001:****:116::/64 interface=LAN
/ipv6 nd
set [ find default=yes ] advertise-dns=yes other-configuration=yes
/ipv6 route
add distance=1 gateway=2001:****:116:ff00::ffff

2. DNS設定
我比較偏好用Google DNS，IPv4和IPv6的前後順序沒有差別
底下設定的順序：主要DNS、次要DNS、主要DNSv6、次要DNSv6

/ip dns
set allow-remote-requests=yes servers=\
8.8.8.8,8.8.4.4,2001:4860:4860::8888,2001:4860:4860::8844

3.1 DNSv6 防火牆規則設定(IPv6)

/ipv6 firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=::/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=::/0

3.2 DNS 防火牆規則設定(IPv4)

/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=0.0.0.0/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=0.0.0.0/0

3.3 Change TCP MSS
最後別忘記加上change tcp mss的規則

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=no \
protocol=tcp tcp-flags=syn
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=no \
protocol=tcp tcp-flags=syn

4. 在電腦上設定固定IPv6
目前RouterOS ND不支援配發固定IPv6給底下的設備，有需求的朋友只能靠自己在電腦上手動設定IPv6
這邊只給Windows 8.1的設定範例
注意事項：
(1) IPv6必須和路由器的IPv6 LAN address在同一個prefix內
(2) 電腦上的預設閘道為路由器的IPv6 LAN address

2015-01-26 13:55 發佈

文章關鍵字 RouterOS Hinet 固定制 IPV6 設定教學

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54214935

664分

2樓

2015-01-26 14:13

eavictor wrote:
目前RouterOS ND不支援配發固定IPv6給底下的設備，有需求的朋友只能靠自己在電腦上手動

IPv6的固定IP就是Prefix + 設備的MAC Address中間插入FFFE，另一組變動的是暫時IPv6位址，這個是為了安全性，所以會變，而通常上網時都會優先使用暫時IPv6位址。

aaa9

aaa9
個人積分：1分
文章編號：54221180

1分

3樓

2015-01-26 21:34

感謝大大分享，正在找固定ip設定ivp6的方法，按照你的方式我的ipv6還是不正常

ipv6的ND裡面要設定嗎？

powerliu

powerliu
個人積分：99分
文章編號：54222005

99分

4樓

2015-01-26 22:23

感謝分享，之前分享器設固定IPV6花了不少時間才搞定，問題就出在/56要換成/64，當時要有此篇就可省下不少時間。在此幫推好文！

¡¡¡ ɹɐǝʎ ʍǝu ʎddɐH ¡¡¡ 2017年雞年到，祝大家心想事成。

aaa9

aaa9
個人積分：1分
文章編號：54234842

1分

5樓

2015-01-27 17:31

eavictor大
可否請問一下你的固定ip怎麼設定上網呢？我系統回復原廠後不會設定了，可否把所有的流程po一遍給我參考設定

eavictor

eavictor
個人積分：6分
文章編號：54236259

6分

樓主

2015-01-27 19:35

aaa9 wrote:
eavictor大可...(恕刪)

您指的是IPv4的部分嗎？
若是IPv4的部分「囧&囧の網路筆記」有教學
http://blog.cscworm.net/?p=1843

最後補上masqurade規則即可

/ip firewall nat add chain=srcnat action=masquerade dst-ddress=0.0.0.0/0 out-interface=WAN
log=no log-prefix=""

IPv6 ND要設定，直接修改Interface頁面default的值就可以
Prefixes頁面內的值都是自動建立的，不需要手動設定
WINBOX設定會和圖中相同

lpause

lpause
個人積分：86分
文章編號：54239949

86分

7樓

2015-01-28 0:10

心得交流一下
小弟家中也是使用ROUTEROS，中華電信的固2
根據小弟的前輩幫小弟家中的ROUTEROS設定的IPV6，電腦是可以自動拿到V6的IP

跟大大的差異就是在設定WAN跟LAN的IP的時候，Advertise都是沒打勾的
這樣LAN的就可以設定為/56了

其他的設定大致都一樣
小弟家中的電腦都可以自動拿到分配的IP
不需要自行設定

eavictor

eavictor
個人積分：6分
文章編號：54756895

6分

樓主

2015-03-07 17:14

lpause wrote:
心得交流一下小弟家中...(恕刪)

大大的設定會讓路由器後面的電腦拿不到DNSv6
也因為電腦沒有DNSv6的IP
做DNS查詢的時候會把全部的查詢往DNSv4送

目前的解決方法只有手動在每一台電腦內設定DNSv6的資訊

lpause

lpause
個人積分：86分
文章編號：54758203

86分

9樓

2015-03-07 19:37

小弟路由器後面的電腦使用上都沒有問題
V6的IP也都取得正常，沒有問題
上測試網站也沒問題

eavictor

eavictor
個人積分：6分
文章編號：54760069

6分

樓主

2015-03-07 22:12

lpause wrote:
小弟路由器後面的電腦...(恕刪)

我晚點改設定測試看看，這兩天在接觸Ubiquiti的設備