ML00AA
Ecco, questa cosa della "coppia SVLAN/CVLAN" non me la ricordavo, grazie. Vabbè, credo comunque di aver risolto.
Il setup è abbastanza elaborato: Ho preso un template da un forum Mikrotik e ci ho rimesso mano: Sostanzialmente prevede una WAN e 3 VLAN "interne" (rete privata, ospiti, domotica e mgmt). Ogni VLAN è associata ad un porta ethernet ed ad un SSID wifi a 2Ghz e 5 Ghz (tranne la mgmt che non ha wifi). C'è una VPN wireguard che vorrei impostare come rotta predefinita per una della VLAN ma il policy routing (ed in generale il traffico attraverso la VPN) ancora non mi sta funzionando bene, ci devo studiare un po'.
La rete di mgmt l'ho lasciata perchè era nel template e volevo provare ma quasi sicuramente la toglierò per accorparla alla rete privata (altrimenti non sarebbe possibile neppure usare l'app di Mkt per le operazioni base sul router).
La linea prevede IPv4 non pubblico quindi è tutto abbastanza "facile"...
Per la parte IPv6, sicuramente mia sorella non se ne fa nulla ma io non ho avuto tempo di sistemarmelo a casa (per ora) quindi mi sono sfogato sulla sua linea...
Ho trovato la guida di PianetaFibra per i mikrotik e guardato quella ufficiale ma, ovviamente, è adeguata a configurazioni più "easy". Stasera comunque, mettendo assieme la guida ed un post trovato sul forum di fibra.click, sono riuscito a mettere insieme i pezzi e far funzionare correttamente IPv6. Se non vi dispiace, vorrei un parere:
# WAN
/ipv6 dhcp-client add interface=PianetaFibra pool-name="PF-IPV6-POOL" rapid-commit=no request=prefix comment=PianetaFibra
/ipv6 address add from-pool="PF-IPV6-POOL" interface=PianetaFibra comment="PianetaFibra interfaccia esterna del router" address="2a02:29e0:xxxx:yyy0::1"
In questo modo l'interfaccia PPPoE si prende l'IP "1" della prima /64 assegnata al mio account (/56). Ha senso una cosa del genere? In un altro post ho visto che veniva assegnato l'IP al bridge invece che all'interfaccia PPPoE ma la cosa mi lascia un po' perplesso.
Così pare funzionare ed il router ping in IPv6 verso internet.
# LAN
/ipv6 address add from-pool="PF-IPV6-POOL" interface=RetePrivata comment="PianetaFibra rete privata" address="2a02:29e0:xxxx:yyy1::1"
/ipv6 address add from-pool="PF-IPV6-POOL" interface=ReteOspiti comment="PianetaFibra rete ospiti" address="2a02:29e0:xxxx:yyy2::1"
/ipv6 address add from-pool="PF-IPV6-POOL" interface=MGMT comment="PianetaFibra rete management" address="2a02:29e0:xxxx:yyff::1"
Inizialmente ho avuto un po' di difficoltà con questo passaggio, i client non si prendevano l'IP. Io cercando di configurare un server DHCPv6 su ogni VLAN perchè il template di mkt questo suggeriva e, ancora, il ND veniva proprio disabilitato. Mi pare lo considerassero insicuro.
Ho provato invece come avete fatto voi, assegnando un indirizzo IP /64 su ogni interfaccia VLAN e i client hanno preso subito l'IPv6 e sono stati in grado di navigare subito. Il ND, a quanto ho capito, è una delle nuove figosità di IPv6 ma è davvero sicuro o espone (anche in caso di errori di configurazione, che possono sempre capitare) a rischi di sicurezza importanti?
#IPv6 Neighbour Discovery
/ipv6 nd set [ find default=yes ] managed-address-configuration=yes other-configuration=yes hop-limit=64 interface=BR1 disabled=no
/ipv6 settings/set accept-redirects=no
Ecco.. Qui mi sarei aspetto di dover abilitare il ND sulle singole VLAN invece tutto funziona solo se è associato al bridge. Perchè?
E qui le regole di firewall:
`/ipv6 firewall filter
add chain=input action=accept comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="accept DHCPv6-Client prefix delegation."
add chain=input action=drop in-interface-list=WAN log=yes log-prefix="IPv6_DropLL_from_public - " src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" src-address-list=TRUSTED
add action=drop chain=input
add chain=forward action=accept comment=established,related connection-state=established,related
add chain=forward action=drop comment=invalid connection-state=invalid log=yes log-prefix="IPv6_Invalid - "
add chain=forward action=accept comment=icmpv6 in-interface-list=!WAN protocol=icmpv6
add chain=forward action=accept comment="Rete Locale" in-interface-list=!WAN src-address-list=TRUSTED
add chain=forward action=drop log-prefix="IPv6 - "`
Ho provato un nmap dalla rete interna verso l'IP del router e mi rileva le porte 22/80/etc... aperte. Da internet (ho provato da una macchina dell'ufficio con IPv6) le medesime porte risultano correttamente "filtered".
I test online di verifica IPv6 passano tutti a punteggio pieno.
Potrebbe andare o ci sono degli errori da verificare?