Spravné nastavení statické IPv6 + firewalu

Araman · February 19, 2024, 9:32pm

Zdravím všechny,. Prosím o pomoc s nastavením IPv6…
Zapasím stím a spíš se do toho zamotávám.
Přímo ma routeru 6ka funguje .ale nedeleguje ji do lan.
co kde nastavit (v luci např.) abych to konečně rozjel.
diky za pomoc

Stepan_Dalecky · February 19, 2024, 11:19pm

Ahoj,
neni to tezke.

wan s ipv6 nebo tunel

Advanced Settings → Delegate IPv6 prefixes: zaskrtnuto
Advanced Settings → IPv6 assignment length: disabled

lan

Advanced Settings → Delegate IPv6 prefixes: nezaskrtnuto
Advanced Settings → IPv6 assignment length: 64
DHCP Server → IPv6 Settings → RA-Service: server mode
DHCP Server → IPv6 Settings → DHCPv6-Service: server mode
DHCP Server → Advanced Settings → DHCP-Options: 6,192.168.1.1 (pokud potrebujes IPv4 resolv)

Stepan_Dalecky · February 19, 2024, 11:21pm

Na ukazku

config interface 'lan'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option _turris_mode 'managed'
	option device 'br-lan'
	option defaultroute '0'
	option ip6assign '64'
	option delegate '0'

config interface 'wan6'
	option proto '6in4'
	option peeraddr 'xxx'
	list ip6prefix 'xxx::/64'
	option mtu '1280'

config dhcp 'lan'
	option interface 'lan'
	option start '100'
	option limit '150'
	option leasetime '12h'
	option dhcpv4 'server'
	option dhcpv6 'server'
	option ra 'server'
	list ra_flags 'managed-config'
	list ra_flags 'other-config'
	list dhcp_option '6,192.168.1.1'

vcunat · February 20, 2024, 9:38am

Já nemusel nastavovat nic, jen vyplnil (některá) pole v ReForis, sekci WAN/IPv6 (adresa, brána, prefix).

Araman · February 20, 2024, 3:04pm

Tak jsem to vše zadal snad správně , ale stále to nejde . něco někde přehlížím (asi) .a ještě jsem “rozbil” reforis záložku WAN
“Došlo k neznámé chybě v aplikačním programovém rozhraní.”

nicméně. ping na ipv6 adresu z turrise (přes ssh) jde bezprobému.
adresu ipv6 na počitače v síti asi taky. ale komunikace neprobíhá.

při pokusu i ping dostanu toto:
Destination port unreachable. nebo Destination host unreachable.

už fakt nevim

i tak diky za pomoc.
dhcp: **************************
config dhcp ‘lan’
option interface ‘lan’
option leasetime ‘21600’
option start ‘201’
option netmask ‘255.255.255.0’
list ra_flags ‘managed-config’
list ra_flags ‘other-config’
option dhcpv6 ‘server’
option ra ‘server’
option limit ‘35’
list dhcp_option ‘6,192.168.181.254’
list dns ‘2a0e:5340:100::11’
list dns ‘2a0e:5340:100::1’

firewall:**********************
config defaults
option input ‘ACCEPT’
option output ‘ACCEPT’
option forward ‘REJECT’
option synflood_protect ‘1’
option drop_invalid ‘1’

config zone
option name ‘lan’
option input ‘ACCEPT’
option output ‘ACCEPT’
option forward ‘ACCEPT’
option family ‘ipv4’
list network ‘lan’

config rule
option name ‘Allow-IPSec-ESP’
option src ‘wan’
option dest ‘lan’
option proto ‘esp’
option target ‘ACCEPT’
option enabled ‘0’

config rule
option name ‘Allow-ISAKMP’
option src ‘wan’
option dest ‘lan’
option dest_port ‘500’
option proto ‘udp’
option target ‘ACCEPT’
option enabled ‘0’

config include
option path ‘/etc/firewall.user’

config forwarding
option dest ‘lan’
option src ‘WG’

config forwarding
option dest ‘wan’
option src ‘lan’

config forwarding
option dest ‘WG’
option src ‘lan’

config forwarding
option dest ‘wan’
option src ‘WG’

config include ‘miniupnpd’
option type ‘script’
option path ‘/usr/share/miniupnpd/firewall.include’
option family ‘any’
option reload ‘1’

config include ‘bcp38’
option type ‘script’
option path ‘/usr/lib/bcp38/run.sh’
option family ‘IPv4’
option reload ‘1’

config rule
option dest_port ‘80’
option src ‘wan’
option name ‘HTTP’
option target ‘ACCEPT’

config rule
option dest_port ‘443’
option src ‘wan’
option target ‘ACCEPT’
option name ‘HTTPS’

config rule
option target ‘ACCEPT’
list proto ‘icmp’
option src ‘wan’
option name ‘ICMPv4’
option family ‘ipv4’
option limit ‘10/second’

config rule
option target ‘ACCEPT’
list proto ‘icmp’
option src ‘wan6’
option name ‘ICMPv6’
option family ‘ipv6’
option limit ‘10/second’

config rule
option dest_port ‘22’
option src ‘WG’
option name ‘SSH’
option target ‘ACCEPT’

config zone
option name ‘wan’
option input ‘REJECT’
option output ‘ACCEPT’
option mtu_fix ‘1’
option sentinel_minipot ‘1’
option sentinel_fwlogs ‘1’
option haas_proxy ‘1’
option sentinel_dynfw ‘1’
option masq ‘1’
option forward ‘ACCEPT’
option family ‘ipv4’
list network ‘wan’

config zone
option name ‘wan6’
option output ‘ACCEPT’
option forward ‘ACCEPT’
option input ‘ACCEPT’
option family ‘ipv6’

config rule ‘wan_ssh_turris_rule’
option name ‘wan_ssh_turris_rule’
option enabled ‘0’
option target ‘ACCEPT’
option dest_port ‘22’
option proto ‘tcp’
option src ‘wan’

config rule ‘wan_http_turris_rule’
option name ‘wan_http_turris_rule’
option enabled ‘0’
option target ‘ACCEPT’
option dest_port ‘80’
option proto ‘tcp’
option src ‘wan’

config rule ‘wan_https_turris_rule’
option name ‘wan_https_turris_rule’
option enabled ‘0’
option target ‘ACCEPT’
option dest_port ‘443’
option proto ‘tcp’
option src ‘wan’

config rule
option src ‘wan6’
option name ‘ipv6’
option dest ‘lan’
option target ‘ACCEPT’
option family ‘ipv6’

config include ‘sentinel_firewall’
option type ‘script’
option path ‘/usr/libexec/sentinel/firewall.sh’
option family ‘any’
option reload ‘1’

network: *****************
config device ‘dev_wan’
option name ‘eth2’

config device ‘br_lan’
option name ‘br-lan’
option type ‘bridge’
list ports ‘lan1’
list ports ‘lan2’
list ports ‘lan3’
list ports ‘lan4’
list ports ‘lan5’

config interface ‘lan’
option proto ‘static’
option _turris_mode ‘managed’
option broadcast ‘192.168.1.255’
option device ‘br-lan’
option ip6assign ‘64’
option ip6ifaceid ‘::1’
option delegate ‘0’
list ipaddr ‘192.168.1.1/24’

config interface ‘wan’
option proto ‘static’
option ipaddr ‘XX.XX.XX.XX’
option gateway ‘YY.YY.YY.YY’
option netmask ‘255.255.255.224’
option device ‘eth2’
list dns ‘8.8.8.8’
option ipv6 ‘1’
option delegate ‘0’

config interface ‘wan6’
option device ‘@wan’
option proto ‘static’
option ip6gw ‘AAAA:BBBB:CCCC:DDDD::1’ (správné adresy od ISP zadány)
option ip6prefix ‘aaaa:bbbb:cccc::/56’
list ip6addr ‘dddd:eeee:ffff:gggg::20/125’

Ondrej_Caletka · February 21, 2024, 2:56pm

Konfigurace vypadá správně. Co počítače v LAN, mají IPv6 adresu? Jak vypadá traceroute ze zařízení v LAN někam do IPv6 Internetu? A jak vypadá z routeru?

Délka prefixu /125 u IP adresy je poměrně neobvyklá. Není to překlep? Taky je zvláštní, že IP adresa končí na ::20, zatímco adresa brány na ::1. Při délce prefixu /125 to znamená, že neleží ve stejné podsíti.

Je jisté, že to daný ISP má správně? Funguje to s nějakým jiným routerem?

Araman · February 21, 2024, 5:06pm

diky za reakci. adresy jsou zde pozměněné . v konfiguraci jsou správné od ISP. (ipv6 :75/125 a gw :70 a prefix pro moji síť)

problém zdá se vyřesen … smazana konfigurace a znovu
po zadání všech náležitostí viz rady výše. a několikátá kontrola zatržítek ,restarty , a adresy jsou kde mají být na pc a komunikuji .

kde přesně byla chyba . asi v umistění IPv6 adresy WAN6 vs WAN … kdy se LUCI a ReForis občas nedohodnou.
dekuji všem