Ma se attacco il router di mia sorella alla mia FTTH....

Matwolf

Ma qual è il tuo obbiettivo esattamente?

Ad ogni modo, il modem può funzionare sulla tua linea, ma solo se lo configuri con la tua VLAN e le tue credenziali.

Se usi le sue non funziona.

frakka

Matwolf

Grazie, era quello che mi serviva sapere.
Farò i test sulla mia linea e poi adeguerò il prefix.

frakka

Testare il corretto funzionamento della configurazione di IPv6, principalmente.
Ho visto la guida sul sito per configurare IPv6 sui Mikrotik ma volevo fare qualche test prima di portarglielo a casa e installarlo.

ML00AA

frakka Se segui la guida e imposti l'indirizzo dell'interfaccia con la voce "from prefix" verrà automaticamente adeguato in caso di renumbering dell'interfaccia WAN, ad esempio perché cambia il codice cliente 🙂

Occhio solo alle regole firewall, eventualmente tieniti una VPN v4 per entrare e correggere le configurazioni.

Pianeta fibra identifica il cliente dal nome utente della PPPoE ma anche dalla coppia SVLAN/CVLAN... non so cosa accada se il BRAS si vede arrivare una terna che non corrisponde con quanto a gestionale, magari @PF-Matteo può dire di più.
Sicuro come poco, se usi il tag VLAN sbagliato sulla WAN (100 invece che 835) non ricevi proprio nulla 😃

emilio

ma davvero a tua sorella serve ipv6?
IMHO forse tra un po' avrà senso, ma ad oggi ipv6 potrebbe portarle solo rogne , se non le serve per smanettare e studiarselo un po' (e immagino non sia così, se fa configurare a te il router).

frakka

Infatti sono io quello che se lo sta studiando (e che si sta studiando pure i Mikrotik)...
Per questo approfitto anche della sua connessione!!

Non saprei che rogne possa darle, anche questa sarà materia di studio...

LSan

frakka Non saprei che rogne possa darle, anche questa sarà materia di studio...

Alcuni servizi (ad esempio Paramount Plus, app Android, ecc ecc) di tanto in tanto funzionano a singhiozzo o non partono ecc ecc. Disabiliti IPv6 e tutto torna magicamente a posto....

frakka

ML00AA
Ecco, questa cosa della "coppia SVLAN/CVLAN" non me la ricordavo, grazie. Vabbè, credo comunque di aver risolto.

Il setup è abbastanza elaborato: Ho preso un template da un forum Mikrotik e ci ho rimesso mano: Sostanzialmente prevede una WAN e 3 VLAN "interne" (rete privata, ospiti, domotica e mgmt). Ogni VLAN è associata ad un porta ethernet ed ad un SSID wifi a 2Ghz e 5 Ghz (tranne la mgmt che non ha wifi). C'è una VPN wireguard che vorrei impostare come rotta predefinita per una della VLAN ma il policy routing (ed in generale il traffico attraverso la VPN) ancora non mi sta funzionando bene, ci devo studiare un po'.
La rete di mgmt l'ho lasciata perchè era nel template e volevo provare ma quasi sicuramente la toglierò per accorparla alla rete privata (altrimenti non sarebbe possibile neppure usare l'app di Mkt per le operazioni base sul router).
La linea prevede IPv4 non pubblico quindi è tutto abbastanza "facile"...

Per la parte IPv6, sicuramente mia sorella non se ne fa nulla ma io non ho avuto tempo di sistemarmelo a casa (per ora) quindi mi sono sfogato sulla sua linea...
Ho trovato la guida di PianetaFibra per i mikrotik e guardato quella ufficiale ma, ovviamente, è adeguata a configurazioni più "easy". Stasera comunque, mettendo assieme la guida ed un post trovato sul forum di fibra.click, sono riuscito a mettere insieme i pezzi e far funzionare correttamente IPv6. Se non vi dispiace, vorrei un parere:

# WAN /ipv6 dhcp-client add interface=PianetaFibra pool-name="PF-IPV6-POOL" rapid-commit=no request=prefix comment=PianetaFibra /ipv6 address add from-pool="PF-IPV6-POOL" interface=PianetaFibra comment="PianetaFibra interfaccia esterna del router" address="2a02:29e0:xxxx:yyy0::1"
In questo modo l'interfaccia PPPoE si prende l'IP "1" della prima /64 assegnata al mio account (/56). Ha senso una cosa del genere? In un altro post ho visto che veniva assegnato l'IP al bridge invece che all'interfaccia PPPoE ma la cosa mi lascia un po' perplesso.
Così pare funzionare ed il router ping in IPv6 verso internet.

# LAN /ipv6 address add from-pool="PF-IPV6-POOL" interface=RetePrivata comment="PianetaFibra rete privata" address="2a02:29e0:xxxx:yyy1::1" /ipv6 address add from-pool="PF-IPV6-POOL" interface=ReteOspiti comment="PianetaFibra rete ospiti" address="2a02:29e0:xxxx:yyy2::1" /ipv6 address add from-pool="PF-IPV6-POOL" interface=MGMT comment="PianetaFibra rete management" address="2a02:29e0:xxxx:yyff::1"
Inizialmente ho avuto un po' di difficoltà con questo passaggio, i client non si prendevano l'IP. Io cercando di configurare un server DHCPv6 su ogni VLAN perchè il template di mkt questo suggeriva e, ancora, il ND veniva proprio disabilitato. Mi pare lo considerassero insicuro.
Ho provato invece come avete fatto voi, assegnando un indirizzo IP /64 su ogni interfaccia VLAN e i client hanno preso subito l'IPv6 e sono stati in grado di navigare subito. Il ND, a quanto ho capito, è una delle nuove figosità di IPv6 ma è davvero sicuro o espone (anche in caso di errori di configurazione, che possono sempre capitare) a rischi di sicurezza importanti?

#IPv6 Neighbour Discovery /ipv6 nd set [ find default=yes ] managed-address-configuration=yes other-configuration=yes hop-limit=64 interface=BR1 disabled=no /ipv6 settings/set accept-redirects=no
Ecco.. Qui mi sarei aspetto di dover abilitare il ND sulle singole VLAN invece tutto funziona solo se è associato al bridge. Perchè?

E qui le regole di firewall:
`/ipv6 firewall filter
add chain=input action=accept comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="accept DHCPv6-Client prefix delegation."
add chain=input action=drop in-interface-list=WAN log=yes log-prefix="IPv6_DropLL_from_public - " src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" src-address-list=TRUSTED
add action=drop chain=input

add chain=forward action=accept comment=established,related connection-state=established,related
add chain=forward action=drop comment=invalid connection-state=invalid log=yes log-prefix="IPv6_Invalid - "
add chain=forward action=accept comment=icmpv6 in-interface-list=!WAN protocol=icmpv6
add chain=forward action=accept comment="Rete Locale" in-interface-list=!WAN src-address-list=TRUSTED
add chain=forward action=drop log-prefix="IPv6 - "`
Ho provato un nmap dalla rete interna verso l'IP del router e mi rileva le porte 22/80/etc... aperte. Da internet (ho provato da una macchina dell'ufficio con IPv6) le medesime porte risultano correttamente "filtered".
I test online di verifica IPv6 passano tutti a punteggio pieno.

Potrebbe andare o ci sono degli errori da verificare?

ML00AA

frakka C'è una VPN wireguard che vorrei impostare come rotta predefinita per una della VLAN ma il policy routing (ed in generale il traffico attraverso la VPN) ancora non mi sta funzionando bene, ci devo studiare un po'.

Memisa che ti devi guardare i VRF... 😉

frakka La rete di mgmt l'ho lasciata perchè era nel template e volevo provare ma quasi sicuramente la toglierò per accorparla alla rete privata (altrimenti non sarebbe possibile neppure usare l'app di Mkt per le operazioni base sul router).

Hmmm... no, se hai da firewall l'abilitazione al traffico inbound verso il router (e non solo il mero forwarding) e i servizi ascoltano sull'IP del router su quella VLAN l'applicazione funziona.

frakka Per la parte IPv6, sicuramente mia sorella non se ne fa nulla

Oddio... la maggior parte del traffico delle CDN va nativo via IPv6, sgravi tutta la parte di NATing sia tua sia lato provider. Per l'utente finale è assolutamente trasparente e fin qui non ci piove, ma tra averlo e non averlo, sempre meglio che ci sia.

frakka /ipv6 address add from-pool="PF-IPV6-POOL" interface=PianetaFibra comment="PianetaFibra interfaccia esterna del router" address="2a02:29e0:xxxx:yyy0::1"

Non ti serve l'IPv6 sulla WAN, è una punto-punto, funziona benissimo lo stesso anche solo con il link local. Per il resto nel campo address metti solo ::1, il resto dell'indirizzo lo prende dal pool, altrimenti il renumbering non potrà mai funzionare. Non ho mai provato sinceramente a mettere ad esempio come address 0:0:0:3::1 per dire per vedere se "fonde" correttamente i 56 bit dati dalla PD e gli altri espliciti per comporre la subnet (es. Pool 2001:db8:3000::/56, Address 0:0:0:3::1 mi aspetto assegni all'interfaccia l'indirizzo generato 2001:db8:3003::1/64). Prima occasione provo.

frakka E qui le regole di firewall:

Attenzione che l'interfaccia PIanetaFibra sia correttamente inclusa nel gruppo WAN, per il resto mi pare OK.

frakka Ecco.. Qui mi sarei aspetto di dover abilitare il ND sulle singole VLAN invece tutto funziona solo se è associato al bridge. Perchè?

Hmmmm... non lo so. Son sincero. BTW, sicuro di aver abilitato il VLAN filtering nel bridge? Altrimenti fa cose strane e non stai effettivamente segmentando le reti.

frakka Io cercando di configurare un server DHCPv6 su ogni VLAN perchè il template di mkt questo suggeriva

E ti serve effettivamente, perché se è vero che l'IP del router viene rilevato dai RA, altre informazioni come ad esempio il DNS resolver possono essere ottenute solo dai lease DHCPv6.
L'indirizzamento autogenerato con SLAAC richiede solo i RA, quindi se hai anche una configurazione che ti distribuisce un DNSv4 valido potrebbe essere che tutto ti funzioni anche senza DHCPv6 ma non è proprio "carino". 😉

frakka

ML00AA Memisa che ti devi guardare i VRF... 😉

Eh, sicuramente quella è una strada. Ma dovrebbe essere sufficiente anche il solo "policy routing" anche se non mi è ancora riuscito di farlo funzionare... Se mi metto una VRF in casa il mio capo mi percula per gli anni a venire!!

ML00AA Hmmm... no, se hai da firewall l'abilitazione al traffico inbound verso il router (e non solo il mero forwarding) e i servizi ascoltano sull'IP del router su quella VLAN l'applicazione funziona.

Sì, ma a quel punto viene meno l'utilità di avere una VLAN di management... Tanto vale che la tolgo e lascio l'accesso al router solo dalla rete privata tanto a casa sua ci sarà questo router e forse un cAP.
La VLAN di mgmt la riciclo per casa, appena avrò tempo di rimettere mano anche da me.

ML00AA Non ti serve l'IPv6 sulla WAN, è una punto-punto, funziona benissimo lo stesso anche solo con il link local. Per il resto nel campo address metti solo ::1, il resto dell'indirizzo lo prende dal pool

Ok.

ML00AA Non ho mai provato sinceramente a mettere ad esempio come address 0:0:0:3::1 per dire per vedere se "fonde" correttamente i 56 bit dati dalla PD e gli altri espliciti per comporre la subnet (es. Pool 2001:db8:3000::/56, Address 0:0:0:3::1 mi aspetto assegni all'interfaccia l'indirizzo generato 2001:db8:3003::1/64).

Temo di no... Ho provato anche a vedere se riuscivo a fare delle operazioni sommando valori interi al prefix, il problema è che non sarebbe un'operazione in base decimale ma hex ed il motore di scripting dei mktik non mi pare riesca a farle. Ci sono quindi dei valori che devo inserire nel rsc di configurazione "hardcoded" e non possono essere ricalcolati semplicemente partendo dal prefix. Se ti riesce, fammi sapere.

ML00AA sicuro di aver abilitato il VLAN filtering nel bridge?

Credo di sì... Anche l'assegnazione delle diverse network tra le varie vlan funziona correttamente.

ML00AA E ti serve effettivamente

Ok, così mi torna. Grazie!

Cam.

Ciao, (scrivo dal profilo della sorella ma sono sempre io...)
ho configurato il router a casa con le mie credenziali prima di portarlo dall sorellina: da casa funzionava tutto correttamente.
Ho reimpostato la VLAN a 100 sull'intefaccia PPPoE e sostituito le credenziali ma l'interfaccia non sale, i log del router riportano solo la sequenza "initializing, connecting, terminating, disconnected" che si ripete senza riuscire a fare salire l'interfaccia.
Dalle statistiche del router vedo solo flussi in uscita senza risposta, anche lanciando la cattura del pacchetti dallo sniffer del router non vedo nessuna risposta.
Sulla ONT (ZTE) le spie sono tutte verdi, quindi manca qualcosa lato OpenFiber?

Matwolf

Cam. Hai mai avuto la linea funzionante da tua sorella o è la prima volta che provi? Per escludere problemi di configurazione del tuo router, hai un altro router da provare (o eventualmente collegandoti direttamente al PC, configurando la VLAN e una connessione PPPoE, giusto per verifica)?

Se non l'hai mai vista funzionare da quando l'hanno installata, potrebbe anche esserci un problema sulla tratta (fisica/logica), in tal caso meglio se apri un ticket a PF così verificano.

frakka

Matwolf
Ciao e grazie della risposta.
No, mai vista funzionare da quando è stata installata. Sono andato lì oggi per la prima volta.
Purtroppo no, non ne ho altri a portata di mano. Confermo però che la conf provata da me funzionava bene (ovviamente per riportarlo da lei ho corretto vlan id e credenziali).

Il ticket l'ho già aperto stamattina (sperando in un colpo di fortuna e di avere una risposta al volo ma così non è stato). Immagino lo tratteranno Lunedì, amen...

frakka

Matwolf collegandoti direttamente al PC, configurando la VLAN e una connessione PPPoE, giusto per verifica)?

Ecco, a questo non ci avevo pensato... Potevo provare, in effetti.

frakka

LSan

Ok, buono a sapersi... Grazie dell'informazione intanto

Matwolf

LSan A me onestamente non è mai successo...

LSan

Matwolf Sui servizi più famosi mai successo neppure a me. Mi capita di rado su app/siti/streaming minori, probabilmente per problemi loro e non di PF.

frakka

Hanno sistemato la linea ed il link è salito liscio come il velluto!!
Anche la VPN è salita senza errori!!

Gli unici errori che si vedono nei log sono relativi ai pool IPv6 (dice che ci sono pool che hanno lo stesso nome) devo aver sminchiato qualcosa. Ma ci guarderò con calma, dubito che noti il problema...

Grazie a tutti per il supporto!!