• Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Temat: Przekazywanie Ruchu IPv6 między LAN-ami

Witam

Wdrożyłem tą konfigurację:

https://eko.one.pl/forum/viewtopic.php? … 36#p286636

aby na porcie LAN3 był ruch poprzez wireguarda, i wszystko działa pięknie, jednakże na tym porcie brak ruchu IPv6 z pierwszego LAN-u na którym jest IPv6 w pełni działające, i teraz moje pytanie, czy da się zezwolić na ruch z LAN na LAN2 ?

Czyli aby IPv6 które jest uruchomione na adresie 192.168.1.4 (Serwer RA) przekazywało komunikaty RA do adresów w LAN2 np. 192.168.10.3.

zapewne muszę jakoś zezwolić na ruch IPv6 między dwoma LAN-ami w firewall-u jednakże nie mam pomysłu jak się za to zabrać ;/

aktualna konfiguracja:

network:

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth1.1'
    
config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'eth1.3'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option netmask '255.255.255.0'
    option ipaddr '192.168.1.1'
    
config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.10.1'
    option netmask '255.255.255.0'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'
    option peerdns '0'
    list dns '1.1.1.1'
    list dns '1.0.0.1'
    option metric '10'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 5 0t'
    
config switch_vlan
    option device 'switch0'
    option vlan '3'
    option ports '4 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 6t'

config interface 'wg0'
    option proto 'wireguard'
    option private_key 'x'
    list addresses '10.4.0.5/32'
    option metric '20'
    option mtu '1384'

config wireguard_wg0
    option public_key 'x'
    option endpoint_host 'x'
    option endpoint_port '1196'
    option persistent_keepalive '25'
    option route_allowed_ips '1'
    list allowed_ips '0.0.0.0/0'
    option preshared_key 'x'

config route
    option table '100'
    option target '0.0.0.0/0'
    option interface 'wg0'

config rule
    option in 'lan2'
    option lookup '100'

firewall:

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'
    option flow_offloading '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'
    
config zone
    option name 'lan2'
    list network 'lan2'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wan6'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option src 'wan'
    option dest 'lan'
    option target 'ACCEPT'
    option family 'ipv6'

config zone 'wg0'
    option name 'wg0'
    list network 'wg0'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan2'
    option dest 'wg0'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,075

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

W /etc/config/dhcp masz definicję tego dla sekcji lan:

    option ra 'server'
    option ra_slaac '1'
    list ra_flags 'managed-config'
    list ra_flags 'other-config'

Jeżeli zrobiłeś kolejną sekcję lan2 to strzelam że musisz też w/w opcje dodać do lan2. Nie wiem, nie sprawdzałem czy tak zadziała, sprawdź.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez kamil445

  • Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Cezary napisał/a:

W /etc/config/dhcp masz definicję tego dla sekcji lan:

    option ra 'server'
    option ra_slaac '1'
    list ra_flags 'managed-config'
    list ra_flags 'other-config'

Jeżeli zrobiłeś kolejną sekcję lan2 to strzelam że musisz też w/w opcje dodać do lan2. Nie wiem, nie sprawdzałem czy tak zadziała, sprawdź.

Dziękuję za odpowiedź,

Nie mam włączone RA server oraz przydzielania adresów SLAAC na routerze, ponieważ inne urządzenie "robi" za serwer RA (przydziela adresy IPv6 w LAN), chodzi tylko, aby komunikaty RA oraz IPv6 działało między LAN (192.168.1.0/24) a LAN2 (192.168.10.0/24).

Tak patrząc to nawet nie ma komunikacji między hostami LAN a LAN2, w jaki sposób zezwolić na komunikacje LAN<->LAN2 ? Powinno to rozwiązać problem z RA oraz IPv6.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,075

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Zrób forwarding pomiędzy łan i łan2?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez kamil445

  • Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Cezary napisał/a:

Zrób forwarding pomiędzy łan i łan2?

Po dodaniu 

config forwarding
    option src 'lan'
    option dest 'lan2'

config forwarding
    option src 'lan2'
    option dest 'lan'

bez zmian

6 Odpowiedź przez kamil445

  • Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Po wyłączeniu tej reguły 

config route
    option table '100'
    option target '0.0.0.0/0'
    option interface 'wg0'

ping przechodzi, jednakże teraz jest brak dostępu do sieci przez wireguarda na porcie ETH3, zapewne musiałbym zmodyfikować lub dodać kolejny wpis aby zezwolić na ruch lokalny, bo z tego co rozumiem 

option target '0.0.0.0/0'

przerzuca cały ruch przez interfejs wg0

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,075

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Trasa dla ipv4 nie powinna wpływać na ipv6, bo od tego są inne sekcje (route6)

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez kamil445

  • Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Odp: Przekazywanie Ruchu IPv6 między LAN-ami

Udało mi się ogarnąć dostęp LAN<->LAN2 przez IPv4.

IPv6 również poprzez ustawienie w DHCP na LAN oraz LAN2 "Usługa RA" oraz "Proxy NDP" w tryb przekaźnika + "podrzędne NDP Proxy" oraz dodanie globalnego prefixu ULA, nie zapominając o dodaniu trasy dla IPv6.

Teraz wszystko działa, telefony i inne urządzenia w LAN2 mają działające IPv6 z LAN oraz działające połączenie przez VPN w IPv4.