thảo luận Cộng đồng người dùng MikroTik Router

CGGX_ANNX said:
Hai cái pppoe-out của bác là 2 đường WAN khác nhau à? Bình thường bác không cần dùng DHCPv6 Server làm gì đâu, cứ để nó trống thôi. Ở phần DHCPv6 Client nhà mạng đang cho bác prefix bao nhiêu? (bác mở rộng cái cột prefix của cái bảng kia ra) kiểu /48, /56, /60 hay /64? Như em dùng FPT thì nhà mạng cho 1 cái prefix /60 thì em config DHCPv6 Client kiểu này

View attachment 2149838

khi này cái pool fpt-wan nó tạo ra sẽ cung cấp được 16 cái prefix /64 riêng biệt cho các bridge, vlan, hay các interface VPN kiểu wireguard hay sstp mà em sẽ tạo ra sau này. Không cần dùng DHCPv6 server gì hết. Khi có pool từ kết nối pppoe rồi thì thí dụ bác muốn các client trên bridge được có địa chỉ IPv6 tự động thì chỉ cần vào /ipv6/address thêm 1 cái địa chỉ cho interface bridge, thí dụ

Code: 
/ipv6 address
add address=::1:2:3:4 comment="From WAN pool" from-pool=fpt-wan interface=bridge

khi này nó sẽ tự lấy 1 cái prefix /64 từ 16 cái được cho kia, ghép với cái suffix 1:2:3:4 kia là địa chỉ IPv6 cho router trên cái bridge, đồng thời nó sẽ tạo route cho cái prefix đó trên bridge.

Rồi bác vào chỗ Neighbor Discovery, thêm một cái entry cho cái interface (ở đây là bridge) bật managed-address-configuration=yes other-configuration=yes lên:

Code: 
/ipv6 nd
add interface=bridge managed-address-configuration=yes other-configuration=yes reachable-time=5m

Và tất cả các thiết bị nối vào cái bridge này sẽ tự cấp được địa chỉ IPv6 với cái prefix này (thường mỗi cái tự cấp 1 địa chỉ với suffix static và 1 địa chỉ tạm thời với suffix thay đổi sau mấy tiếng) và vào mạng bình thường. Hoặc bác cũng có thể bật 2 cái đó trên cái entry mặc định "all" sẵn có thì không phải add cho từng interface mới sau này. Nhưng nếu vậy thì nên add entry cho cái cổng wan và cái kết nối pppoe với 2 cái check box đó được tắt.

Giờ giả sử bác thiết lập thêm interface vlan100 mới thì cũng làm tương tự, như với cái bridge, add 1 cái dòng vào /ipv6 address và /ipv6 nd là cái thiết bị trong vlan sẽ có địa chỉ IPv6 trong một cái prefix /64 riêng biệt so với cái của bridge, tuy nhiên vẫn trong số 16 cái nhà mạng cấp kia. Nếu dùng VPN PPP kiểu SSTP thì tạo profile mới dùng cái pool ipv6 này, nhưng khi đó thì mỗi client ăn hết hẳn 1 cái prefix khi kết nối. Nếu dùng wireguard thì wireguard cũng là 1 interface nên bác cũng có thể add địa chỉ lên cái interface đó để nó có riêng 1 cái prefix /64 với entry trong bảng route. Tuy nhiên với wireguard thì các client phải điền địa chỉ peer bằng tay trên từng thiết bị nên hơi bất tiện vì phải update địa chỉ mỗi khi cái prefix bị nhà mạng thay đổi. Bác có thể viết script để tự update prefix trong phần allowed-address của các peer trên router, nhưng ở các thiết bị PC và điện thoại vẫn phải edit bằng tay.

Nếu mạng nhà bác cấp prefix /56 thì mạng nhà bác còn có thể có 256 prefix /64 thay vì chỉ 16 như với FPT.

Tóm lại không nên dùng DHCPv6 server làm gì cả. Nếu bác buộc cần cho các thiết bị trong mạng 1 cái suffix tĩnh thì cấu hình các thiết bị đó dùng EUI64 để bọn nó tạo suffix dựa trên địa chỉ MAC. Nếu dùng Windows mà muốn Windows dùng EUI64 thì chạy lệnh powershell

Code: 
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

khi này Windows sẽ có 1 địa chỉ với 1 suffix cố định dựa theo số MAC, và 1 địa chỉ với suffix thay đổi theo thời gian. Lúc bác vào mạng thì Windows sẽ dùng cái địa chỉ temporary này để nối với các server, như thế server không nhận dạng được cái đuôi cố định của bác. Còn bác có thể dùng địa chỉ với cái suffix EUI64 kia để dùng Remote Desktop chẳng hạn. Android cũng tự động tạo 2 địa chỉ IPv6 như thế.
Click to expand...
HIX ko có hình cũng khó làm theo CHO EM XIN VÀI TẤM HÌNH LÀM VỚI Ạ ! Em xài mạng vnpt
 
hi, các thím có bộ filter chặn các request tới các game phổ biến như (lol, liên minh,...) và các trang cá độ, cờ bạc không ạ (kể cả xem đá bóng online + bet) thì cho em xin ạ
 
Last edited:
killer.bul said:
Em cài trên veth và dùng viettel ạ
Click to expand...

Hic em bị missed cái post này của bác. Nếu Viettel thì hiện bác chỉ có nhận được 1 cái /64, như vậy bác phải sử dụng địa chỉ ULA cho cái container và bridge container. Như vậy bác làm như post cũ mà đang bị thiếu hình của em

thảo luận - Cộng đồng người dùng MikroTik Router

Các bác cho em hỏi, tại sao em Port Forward cái cổng 4343 thì nó ok nhưng con 8006 thì không được các bác nhỉ. Kể cả port check thì cũng chỉ thấy port 4343 open, port 8006 thì closed Bác paste output của lệnh /ip firewall nat export Để mọi người nhìn rõ hơn các rules ạ, cái bảng chỗ WebFig...
voz.vn voz.vn

* Thì sẽ bắt đầu bằng bước vào:

Unique Local IPv6 Generator

Generate unique local IPv6 address blocks (Unique Local Addresses, ULAs) instantly with JavaScript.
www.unique-local-ipv6.com www.unique-local-ipv6.com

Để tạo ra một cái prefix ULA /48 random. Lấy thí dụ là fdf5:e1e5:cfdc::/48, bác thay bằng cái nó tạo ra cho bác nhé. (Lý do em chọn ví dụ này là để nó khớp với cái hình mà em post trên topic này Pihole and IPv6 - getting it to work - MikroTik (https://forum.mikrotik.com/viewtopic.php?t=207293#p1074342), do hiện em đang không setup container AGH nên và lười setup lại nên copy cái hình từ đó ạ 😁😁😁)

* Bước tiếp theo bác vào IPv6 -> Addresses gắn địa chỉ này cho cái bridge container chứa các interface veth của bác

zSBFAy4.png


Khi này trong bảng IPv6 -> Routes sẽ có route mới cho dải này xuất hiện.

* Nếu bác dùng cấu hình tường lửa IPv6 của MikroTik thì đừng quên cho cái bridge chứa các container vào interface list LAN. Giả sử bridge tên là "container"

Code: 
/interface list member
add interface=container list=LAN

* Sau đó bác gán 1 địa chỉ từ dải này cho interface veth của cái AGH, trong hình thí dụ em lấy từ post của em này từ forum MikroTik thì cái AGH được em gắn địa chỉ fdf5:e1e5:cfdc::2.

kAEFXsN.png


Bác nhớ thay cái prefix fdf5:e1e5:cfdc:: bằng cái prefix random của bác. Chỗ này địa chỉ IPv6 gateway là địa chỉ đã gắn cho cái bridge ở chỗ IPv6 -> Addresses ở bước trước. Tức là nếu bước trước bác không gắn fdf5:e1e5:cfdc::/64 mà gắn fdf5:e1e5:cfdc::123/64 chẳng hạn, thì IPv6 Gateway chỗ này ghi fdf5:e1e5:cfdc::123.

* Sau đó bác thêm bước masquerade như ở cuối post trước em ghi để các thiết bị trong dải ULA này có thể vào được internet (bác chú ý thay prefix):

Code: 
/ipv6 firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN \
    src-address=fdf5:e1e5:cfdc::/64
 
CGGX_ANNX said:
Hic em bị missed cái post này của bác. Nếu Viettel thì hiện bác chỉ có nhận được 1 cái /64, như vậy bác phải sử dụng địa chỉ ULA cho cái container và bridge container. Như vậy bác làm như post cũ mà đang bị thiếu hình của em

thảo luận - Cộng đồng người dùng MikroTik Router

Các bác cho em hỏi, tại sao em Port Forward cái cổng 4343 thì nó ok nhưng con 8006 thì không được các bác nhỉ. Kể cả port check thì cũng chỉ thấy port 4343 open, port 8006 thì closed Bác paste output của lệnh /ip firewall nat export Để mọi người nhìn rõ hơn các rules ạ, cái bảng chỗ WebFig...
voz.vn voz.vn

* Thì sẽ bắt đầu bằng bước vào:

Unique Local IPv6 Generator

Generate unique local IPv6 address blocks (Unique Local Addresses, ULAs) instantly with JavaScript.
www.unique-local-ipv6.com www.unique-local-ipv6.com

Để tạo ra một cái prefix ULA /48 random. Lấy thí dụ là fdf5:e1e5:cfdc::/48, bác thay bằng cái nó tạo ra cho bác nhé. (Lý do em chọn ví dụ này là để nó khớp với cái hình mà em post trên topic này Pihole and IPv6 - getting it to work - MikroTik (https://forum.mikrotik.com/viewtopic.php?t=207293#p1074342), do hiện em đang không setup container AGH nên và lười setup lại nên copy cái hình từ đó ạ 😁😁😁)

* Bước tiếp theo bác vào IPv6 -> Addresses gắn địa chỉ này cho cái bridge container chứa các interface veth của bác

zSBFAy4.png


Khi này trong bảng IPv6 -> Routes sẽ có route mới cho dải này xuất hiện.

* Nếu bác dùng cấu hình tường lửa IPv6 của MikroTik thì đừng quên cho cái bridge chứa các container vào interface list LAN. Giả sử bridge tên là "container"

Code: 
/interface list member
add interface=container list=LAN

* Sau đó bác gán 1 địa chỉ từ dải này cho interface veth của cái AGH, trong hình thí dụ em lấy từ post của em này từ forum MikroTik thì cái AGH được em gắn địa chỉ efdf5:e1e5:cfdc::2.

kAEFXsN.png


Bác nhớ thay cái prefix fdf5:e1e5:cfdc:: bằng cái prefix random của bác. Chỗ này địa chỉ IPv6 gateway là địa chỉ đã gắn cho cái bridge ở chỗ IPv6 -> Addresses ở bước trước. Tức là nếu bước trước bác không gắn fdf5:e1e5:cfdc::/64 mà gắn fdf5:e1e5:cfdc::123/64 chẳng hạn, thì IPv6 Gateway chỗ này ghi fdf5:e1e5:cfdc::123.

* Sau đó bác thêm bước masquerade như ở cuối post trước em ghi để các thiết bị trong dải ULA này có thể vào được internet (bác chú ý thay prefix):

Code: 
/ipv6 firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN \
    src-address=fdf5:e1e5:cfdc::/64
Click to expand...
Ok bác. Cảm ơn bác nhiều
 
Trương Tấn Vinh said:
HIX ko có hình cũng khó làm theo CHO EM XIN VÀI TẤM HÌNH LÀM VỚI Ạ ! Em xài mạng vnpt
Click to expand...

Đây bác, một số hình minh hoạ cho cái post mà bác quote kia:

* Tạo mục DHCPv6 Client, xin prefix gán vào pool vnpt-wan:

5zWgiII.png


* Tạo mục IPv6 -> Addresses cho cái bridge, lấy từ pool. Bác sửa cái chỗ 1:2:3:4 thành gì bác muốn.

anhLmtC.png


* Tạo mục Neighbor Discovery (IPv6 -> ND) mới cho cái bridge nếu chưa có:

1P8oe6w.png
 
Mùa đứt cáp mạng hơi chậm các bác cho em hỏi có VPN của bên nào giờ mua có PPTP hoặc wireguard để add được vào mikrotik để cho web quốc tế đẩy đi qua đấy ạ
 
wuhoatu said:
có client DNS đấy thím, nhưng mà cũng ko để làm gì vì các client trong local của Mik vẫn ăn DNS theo DHCP.
https://imgur.com/U824odJ
Click to expand...
dylerb said:
Bạn manual DNS của WAN và Wireguard thôi, còn DNS của LAN cứ để DHCP cấp DNS theo gateway là được vì một số dịch vụ buộc client phải dùng DNS là IP gateway như adblock, unbound chẳng hạn.
Click to expand...
Tks 2 bác đã giải đáp.
 
CGGX_ANNX said:
Đây bác, một số hình minh hoạ cho cái post mà bác quote kia:

* Tạo mục DHCPv6 Client, xin prefix gán vào pool vnpt-wan:

5zWgiII.png


* Tạo mục IPv6 -> Addresses cho cái bridge, lấy từ pool. Bác sửa cái chỗ 1:2:3:4 thành gì bác muốn.

anhLmtC.png


* Tạo mục Neighbor Discovery (IPv6 -> ND) mới cho cái bridge nếu chưa có:

1P8oe6w.png
Click to expand...
CÁM ƠN ANH NHIỀU !!!
 
các bác cho em hỏi là em đang có 1 cái pppoe-out1, em muốn định tuyến nó qua cổng ether3, tức là khi cắm dây vào ether3 thì ra mạng được, em setting đủ thứ nhưng ko biết nó sai ở đâu ạ :(. trong khi pppoe thì e quay nó ra ip public đc rồi ạ :(
 
nguyenkubin said:
các bác cho em hỏi là em đang có 1 cái pppoe-out1, em muốn định tuyến nó qua cổng ether3, tức là khi cắm dây vào ether3 thì ra mạng được, em setting đủ thứ nhưng ko biết nó sai ở đâu ạ :(. trong khi pppoe thì e quay nó ra ip public đc rồi ạ :(
Click to expand...
Gán IP cho ether3
Cài đặt DHCP Server cho ether3
SourceNat masquerade
Thêm default route gateway là pppoe out
 

Similar threads

hongducwb
thắc mắc gateway bị đổi
2 3
Replies
44
Views
1K
hongducwb
hongducwb
K
tin tức Acer ra mắt Router Mesh Wave 7 với Wi-Fi 7 và công nghệ Multi-Link cho kết nối gia đình toàn diện
Replies
0
Views
310
Kisuf
K
M
thảo luận Cách Mesh router tp link AX5400 với WA8021V5 cùng 1 mạng ??
Replies
4
Views
300
ngocphucvt
ngocphucvt
Duy1122
kiến thức NAT là gì, và tại sao lại cần NAT trong mạng?
Replies
6
Views
1K
schaffer513655
schaffer513655
T
thắc mắc Hỏi về Unifi Dream Machine
Replies
9
Views
484
titani
T

Share this page

Back
Top