Προσπαθώ να επαναφέρω το Ipv6 στη vodafone μιας και μας δίνει πλέον prefixes

εχω το εξής σεταρισμένο από παλιά


/ipv6 dhcp-server
add address-pool=ipv6-pool interface=bridge-Local lease-time=23h50m name=\
server1
/ipv6 address
add from-pool=ipv6-pool interface=bridge-Local
/ipv6 dhcp-client
add add-default-route=yes interface=vodafone-internet pool-name=ipv6-pool \
pool-prefix-length=56 rapid-commit=no request=prefix use-peer-dns=no
add add-default-route=yes disabled=yes interface=vodafone-internet pool-name=\
ipv6-pool rapid-commit=no request=address,prefix

/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=vodafone-internet \
ra-interval=1m-2m reachable-time=5m
add hop-limit=64 interface=bridge-Local other-configuration=yes ra-interval=\
10s-30s reachable-time=5m
add disabled=yes
/ipv6 nd prefix default
set autonomous=no preferred-lifetime=50m valid-lifetime=1h
/ipv6 route
add disabled=no dst-address=::/0 gateway=vodafone-internet routing-table=main
/ipv6 settings
set accept-router-advertisements=no max-neighbor-entries=1024


το οπόιο μου δίνει prefix αλλά οι clients δεν παίρνουν ips από το ipv6-pool. στη vdsl επαιρναν , στη ftth όχι. έχω δοκιμάσει και με /64 αλλα τζίφος

Μπορεί να βοηθήσει κάποιος;

Προσπαθώ να επαναφέρω το Ipv6 στη vodafone μιας και μας δίνει πλέον prefixes

εχω το εξής σεταρισμένο από παλιά


/ipv6 dhcp-server
add address-pool=ipv6-pool interface=bridge-Local lease-time=23h50m name=\
server1
/ipv6 address
add from-pool=ipv6-pool interface=bridge-Local
/ipv6 dhcp-client
add add-default-route=yes interface=vodafone-internet pool-name=ipv6-pool \
pool-prefix-length=56 rapid-commit=no request=prefix use-peer-dns=no
add add-default-route=yes disabled=yes interface=vodafone-internet pool-name=\
ipv6-pool rapid-commit=no request=address,prefix

/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=vodafone-internet \
ra-interval=1m-2m reachable-time=5m
add hop-limit=64 interface=bridge-Local other-configuration=yes ra-interval=\
10s-30s reachable-time=5m
add disabled=yes
/ipv6 nd prefix default
set autonomous=no preferred-lifetime=50m valid-lifetime=1h
/ipv6 route
add disabled=no dst-address=::/0 gateway=vodafone-internet routing-table=main
/ipv6 settings
set accept-router-advertisements=no max-neighbor-entries=1024


το οπόιο μου δίνει prefix αλλά οι clients δεν παίρνουν ips από το ipv6-pool. στη vdsl επαιρναν , στη ftth όχι. έχω δοκιμάσει και με /64 αλλα τζίφος

Μπορεί να βοηθήσει κάποιος;

1. dhcp server δεν χρειάζεσαι.
2. κάνε τα παρακάτω:

System > Package List > ipv6 (enable)
PPP > Profiles > default-encryption
General
Change TCP MSS: yes
Protocols
Use IPv6: yes
Use MPLS: no
Use Compression: default
Use Encryption: yes
IPv6 > DHCPv6 Client > (+)
Interface: pppoe-out1
Request: prefix
Pool Name: ipv6-pool
Pool Prefix Length: 64 (old 56)
(X) Use Peer DNS
(X) Rapid Commit
(x) Add Default Route
IPv6 > ND > Interfaces
(default)
Interface: bridge1
RA Interval: 10-30 (default: 200-600)
RA Delay: 3
RA Lifetime: 1800
Advertise MAC Address
IPv6 > ND > Prefixes
Default:
Autonomous
Valid Lifetime: 0d 00:05:00 (default: 30d 00:00:00)
Preferred Lifetime: 0d 00:02:00 (default: 7d 00:00:00)
IPv6 > Addresses > (+)
Address: ::/64
From Pool: ipv6-pool
Interface: bridge1
Advertise

άλλαξα το prefix lenght απο 56 σε 64. Συνεχίζει να μου δίνει 56 prefix. το θέμα μου είναι πως οι clients δεν παίρνουν ip . Το MT έχει κανονικά routing από το ipv6

άλλαξα το prefix lenght απο 56 σε 64. Συνεχίζει να μου δίνει 56 prefix.

Ναι έτσι κάνει.


το θέμα μου είναι πως οι clients δεν παίρνουν ip . Το MT έχει κανονικά routing από το ipv6

Μήπως κόβεις κάτι στο ν6 fw;

στο firewall ipv6 δεν εχω κατι.

στο ipv4 εχω το πολυ απλο αρχικο το οποίο είναι :

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked disabled=yes
add action=accept chain=input comment="accept winbox from WAN" \
connection-state="" disabled=yes dst-port=8291 in-interface-list=WAN \
protocol=tcp
add action=accept chain=input comment="accept wireguard from WAN" \
connection-state="" disabled=yes dst-port=13231 in-interface-list=WAN \
protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=input disabled=yes dst-port=53 in-interface=\
vodafone-internet protocol=tcp
add action=drop chain=input disabled=yes dst-port=53 in-interface=\
vodafone-internet protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=accept chain=forward disabled=yes dst-address=ΧΧ.ΧΧΧ.ΧΧΧ.0/24 \
src-address=10.100.0.0/24
add action=accept chain=forward disabled=yes dst-address=ΧΧ.ΧΧΧ.ΧΧΧ.0/24 \
src-address=10.150.0.0/24
add action=accept chain=forward disabled=yes dst-address=ΧΧ.ΧΧΧ.ΧΧΧ.0/24 \
src-address=ΧΧΧ.ΧΧΧ.ΧΧΧ.0/24
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN

Στο ν6 routing τι έχεις;

/ipv6 route
add disabled=no dst-address=::/0 gateway=vodafone-internet routing-table=main

και προσθέτει δυναμικα τα

DAd+ ::/0 fe80::6aab:9ff:fe45:ΧΧΧΧ%vodafone-internet 1
DAv+ ::/0 vodafone-internet 1
DAd 2a02:85f:f517:ΧΧΧΧ::/56 1
DAc 2a02:85f:f517:ΧΧΧΧ::/64 bridge-Local 0

/ipv6 route
add disabled=no dst-address=::/0 gateway=vodafone-internet routing-table=main

και προσθέτει δυναμικα τα

DAd+ ::/0 fe80::6aab:9ff:fe45:ΧΧΧΧ%vodafone-internet 1
DAv+ ::/0 vodafone-internet 1
DAd 2a02:85f:f517:ΧΧΧΧ::/56 1
DAc 2a02:85f:f517:ΧΧΧΧ::/64 bridge-Local 0


Σβήσε ότι έχεις περάσει με το χέρι.
Θα πρέπει να σου προστεθούν αυτόματα.
Και με το παρακάτω πρέπει να περνάνε στους clients:

IPv6 > Addresses > (+)
Address: ::/64
From Pool: ipv6-pool
Interface: bridge1
Advertise

μπα, ετσι το είχα αλλα συνεχίζει να μην δινει. μονο link-local address βλεπω στους neighbor.

το ppoe παιρνει global address
το bridge local παιρνει address απο το prefix

αλλά οι clients τιποτα

και τους εκανα και reboot και αυτους και το ΜΤ

μπα, ετσι το είχα αλλα συνεχίζει να μην δινει. μονο link-local address βλεπω στους neighbor.

το ppoe παιρνει global address
το bridge local παιρνει address απο το prefix

αλλά οι clients τιποτα

και τους εκανα και reboot και αυτους και το ΜΤ

Φαίνεται σαν να μην λειτουργεί το Advertise.

To modem πιο ειναι?

Δεν υπάρχει modem. Είναι οπτική. Σαν router έχω rb4011 με 7.5 έκδοση

Συγγνώμη αν είναι λάθος αλλά σε δική μου περίπτωση που δεν έπαιρνε IPv6 είχε να κάνει με την επιλογή Autonomous στο ND που δεν ήταν τσεκαρισμένο. Μόλις το τσέκαρα σαν autonomous όλα δουλεύουν κανονικά.. παίρνει και το router και τα client IPv6.

Από default είναι ενεργοποιημένη αυτή η επιλογή.

Κι όμως στο δικό μου δεν ήταν! Με το που το ενεργοποίησα αρ ισαν παίρνουν οι clients ipv6!!! Ευχαριστώ πολύ!

Κι όμως στο δικό μου δεν ήταν! Με το που το ενεργοποίησα αρ ισαν παίρνουν οι clients ipv6!!! Ευχαριστώ πολύ!

Γι αυτό είναι καλό (και σωστότερο) με το που παίρνουμε ένα ΜΤ να διαγράφουμε το def conf.
Ή το πείραξες εσύ ή υπήρχε στο def conf.

Γι αυτό είναι καλό (και σωστότερο) με το που παίρνουμε ένα ΜΤ να διαγράφουμε το def conf.
Ή το πείραξες εσύ ή υπήρχε στο def conf.

Γι αυτό το έθεσα και με αυτόν τον τρόπο γιατί κι εγώ το βρήκα όταν πρωτοασχολήθηκα με τα ΜΤ και το μάθαινα με το default config. Δεν ήξερα όμως αν ο φίλος είχε το εργοστασιακό ή όχι.

Γι αυτό το έθεσα και με αυτόν τον τρόπο γιατί κι εγώ το βρήκα όταν πρωτοασχολήθηκα με τα ΜΤ και το μάθαινα με το default config. Δεν ήξερα όμως αν ο φίλος είχε το εργοστασιακό ή όχι.

οκ. Δεν είναι κακό το default conf, αλλά έχει πράγματα που σε μπερδεύουν και όταν συνεχίζεις να το στήνεις με την δική σου λογική αυτά ξεχνιούνται με αποτέλεσμα να δημιουργούν προβλήματα.

Καλησπέρα. Εμένα ενώ δούλευε τώρα δεν παίρνει prefix. Δεν έχω αλλάξει κάτι εδώ και χρόνια, μόνο ROS version.. Σας δουλεύει στην 7?



# model = RB2011UiAS
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=PPPoE \
use-peer-dns=yes user=*****

/ppp profile
set *FFFFFFFE use-mpls=no

/ipv6 settings
set accept-router-advertisements=yes

/ipv6 address
# address pool error: pool not found: ipv6-pool (4)
add address=::1 from-pool=ipv6-pool interface=ether1
# address pool error: pool not found: ipv6-pool (4)
add from-pool=ipv6-pool interface=PPPoE
/ipv6 dhcp-client
add add-default-route=yes interface=PPPoE pool-name=ipv6-pool request=prefix

/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=PPPoE \
managed-address-configuration=yes other-configuration=yes ra-interval=\
10s-30s
add hop-limit=64 interface=ether2 managed-address-configuration=yes \
other-configuration=yes ra-interval=10s-30s
add advertise-dns=no hop-limit=64 interface=ether3 ra-interval=10s-30s
/ipv6 nd prefix default
set preferred-lifetime=2m valid-lifetime=5m

Καλησπέρα. Εμένα ενώ δούλευε τώρα δεν παίρνει prefix. Δεν έχω αλλάξει κάτι εδώ και χρόνια, μόνο ROS version.. Σας δουλεύει στην 7?



# model = RB2011UiAS
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=PPPoE \
use-peer-dns=yes user=*****

/ppp profile
set *FFFFFFFE use-mpls=no

/ipv6 settings
set accept-router-advertisements=yes

/ipv6 address
# address pool error: pool not found: ipv6-pool (4)
add address=::1 from-pool=ipv6-pool interface=ether1
# address pool error: pool not found: ipv6-pool (4)
add from-pool=ipv6-pool interface=PPPoE
/ipv6 dhcp-client
add add-default-route=yes interface=PPPoE pool-name=ipv6-pool request=prefix

/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=PPPoE \
managed-address-configuration=yes other-configuration=yes ra-interval=\
10s-30s
add hop-limit=64 interface=ether2 managed-address-configuration=yes \
other-configuration=yes ra-interval=10s-30s
add advertise-dns=no hop-limit=64 interface=ether3 ra-interval=10s-30s
/ipv6 nd prefix default
set preferred-lifetime=2m valid-lifetime=5m


Ναι δουλεύει σε εμένα.
O dhcpv6 client δεν παίρνει prefix
ή παίρνει και δεν το μεταφέρει στους clients;

Δεν παίρνει καν prefix.

Σβήσε τα όλα και κάνε το με τα παρακάτω:

System > Package List > ipv6 (enable)
PPP > Profiles > default-encryption
General
Change TCP MSS: yes
Protocols
Use IPv6: yes
Use MPLS: no
Use Compression: default
Use Encryption: yes
IPv6 > DHCPv6 Client > (+)
Interface: pppoe-out1
Request: prefix
Pool Name: ipv6-pool
Pool Prefix Length: 64
(X) Use Peer DNS
(X) Rapid Commit
(x) Add Default Route
IPv6 > ND > Interfaces
(default)
Interface: bridge1
RA Interval: 10-30
RA Delay: 3
RA Lifetime: 1800
Advertise MAC Address
IPv6 > ND > Prefixes
Default:
Autonomous
Valid Lifetime: 0d 00:05:00
Preferred Lifetime: 0d 00:02:00
IPv6 > Addresses > (+)
Address: ::/64
From Pool: ipv6-pool
Interface: bridge1
Advertise

Στην κορυφή του fw:


/ipv6 firewall mangle
add action=change-mss chain=forward comment="Change MSS" new-mss=\
clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
Βάλε επάνω το ρούτερ του παρόχου και δες αν παίρνει ν6.
Μπορεί να έχει κάποιο τοπικό πρόβλημα ο πάροχος.

Καλημέρα ευχαριστώ. Τελικά έφταιγε ο παρακάτω:

add action=drop chain=input comment="Input drop all not from LAN" \
in-interface=PPPoE

Δεν καταλαβαίνω γιατί δούλευε και μετά σταμάτησε αλλά σίγουρα αυτός ήταν (και τώρα που το ξαναβλέπω, λογικό είναι)..

Σε vodafone vdsl με h300s που δεν έχει bridge mode παίζει να πάρει ipv6 το mikrotik? Σαν ένα απλό device δηλαδή χωρίς να μοιράζει αυτό διευθύνσεις κλπ

Σε vodafone vdsl με h300s που δεν έχει bridge mode παίζει να πάρει ipv6 το mikrotik? Σαν ένα απλό device δηλαδή χωρίς να μοιράζει αυτό διευθύνσεις κλπ

Με passthrough παίζεις;
Μπορείς να βάλεις τον client απλά να πάρει ν6 για τον ΜΤ χωρίς να το κάνει advertise στις άλλες συσκευές.

Με passthrough παίζεις;
Μπορείς να βάλεις τον client απλά να πάρει ν6 για τον ΜΤ χωρίς να το κάνει advertise στις άλλες συσκευές.

Δεν υπάρχει τρόπος σε αυτό το modem να σηκώσεις αλλού το pppoe.. Έκανα μια βιαστική δοκιμή αλλά δεν παίρνει ipv6.

να προσπαθήσω για IPV6 με το ΜΤ --->pppoe--->835--> ΟΝΤ ή όχι;

να προσπαθήσω για IPV6 με το ΜΤ --->pppoe--->835--> ΟΝΤ ή όχι;

θα πρέπει να τα στήσω όλα από την αρχή...
IPv6 παίρνει αλλά όχι από τον dhcp client στο PPPoE με αποτέλεσμα και το Pc να παίρνει διεύθυνση αλλα όχι GW.... ping o ρούτερ κάνει...αλλα τα pc όχι παραμόνο στην εξωτερική ΙΡ του ΜΚ, τι μπερδεμα!

θα πρέπει να τα στήσω όλα από την αρχή...
IPv6 παίρνει αλλά όχι από τον dhcp client στο PPPoE με αποτέλεσμα και το Pc να παίρνει διεύθυνση αλλα όχι GW.... ping o ρούτερ κάνει...αλλα τα pc όχι παραμόνο στην εξωτερική ΙΡ του ΜΚ, τι μπερδεμα!

Για δώσε τις ρυθμίσεις όλου του ν6 να δούμε.

/ipv6 dhcp-server
add address-pool=localPool6 dhcp-option="" disabled=no interface=bridge-local lease-time=3d name=server1 preference=\
255 rapid-commit=yes route-distance=1 use-radius=no
/ipv6 pool
add name=localPool6 prefix=2000:0:0:1::/64 prefix-length=64
/ipv6 dhcp-client
add add-default-route=yes default-route-distance=1 dhcp-options="" dhcp-options="" disabled=no interface=\
FTTH-Out-PPPoE pool-name=VF pool-prefix-length=64 prefix-hint=::/0 request=address,prefix use-peer-dns=yes

/ipv6 firewall filter
add action=accept chain=forward !connection-bytes !connection-limit !connection-mark !connection-nat-state \
!connection-rate connection-state=established,related,new !connection-type !content disabled=no !dscp \
!dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !headers !hop-limit !icmp-options \
!in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !limit log=\
no log-prefix="" !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark \
!packet-size !per-connection-classifier !port !priority !protocol !random !routing-mark !src-address \
!src-address-list !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host
/ipv6 firewall mangle
add action=change-mss chain=forward !connection-bytes !connection-limit !connection-mark !connection-nat-state \
!connection-rate !connection-state !connection-type !content disabled=no !dscp !dst-address !dst-address-list \
!dst-address-type !dst-limit !dst-port dst-prefix=::/0 !headers !hop-limit !icmp-options !in-bridge-port \
!in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !limit log=yes log-prefix=\
"" new-mss=clamp-to-pmtu !out-bridge-port !out-bridge-port-list out-interface=FTTH-Out-PPPoE !out-interface-list \
!packet-mark !packet-size passthrough=yes !per-connection-classifier !port !priority protocol=tcp !random \
!routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port src-prefix=::/0 \
tcp-flags=syn !tcp-mss !time !tls-host
/ipv6 firewall nat
add action=masquerade chain=srcnat !connection-bytes !connection-limit !connection-mark !connection-rate \
!connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port \
!headers !hop-limit !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list \
!ingress-priority !ipsec-policy !limit log=yes log-prefix="" !out-bridge-port !out-bridge-port-list \
out-interface=FTTH-Out-PPPoE !out-interface-list !packet-mark !packet-size !per-connection-classifier !port \
!priority !protocol !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address \
!src-port !tcp-mss !time !to-address !to-ports
/ipv6 nd
set [ find default=yes ] advertise-dns=no advertise-mac-address=yes disabled=yes dns="" hop-limit=unspecified \
interface=all managed-address-configuration=no mtu=unspecified other-configuration=no pref64="" ra-delay=3s \
ra-interval=3m20s-10m ra-lifetime=30m ra-preference=medium reachable-time=unspecified retransmit-interval=\
unspecified
add advertise-dns=yes advertise-mac-address=yes disabled=no dns="" hop-limit=64 interface=FTTH-Out-PPPoE \
managed-address-configuration=no mtu=unspecified other-configuration=no pref64="" ra-delay=3s ra-interval=10s-30s \
ra-lifetime=30m ra-preference=medium reachable-time=unspecified retransmit-interval=unspecified
add advertise-dns=yes advertise-mac-address=yes disabled=no dns="" hop-limit=64 interface=bridge-local \
managed-address-configuration=no mtu=unspecified other-configuration=no pref64="" ra-delay=3s ra-interval=10s-30s \
ra-lifetime=30m ra-preference=medium reachable-time=unspecified retransmit-interval=unspecified
/ipv6 nd prefix
add 6to4-interface=none autonomous=yes disabled=no interface=FTTH-Out-PPPoE on-link=yes preferred-lifetime=1w prefix=\
::/64 valid-lifetime=4w2d
/ipv6 nd prefix default
set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d
/ipv6 settings
set accept-redirects=yes-if-forwarding-disabled accept-router-advertisements=yes disable-ipv6=no forward=yes \
max-neighbor-entries=8192

Γιατί βάζεις dhcp server και nat.
Δες αυτό:

/ipv6 dhcp-client
add interface=pppoe-out1 pool-name=ipv6-pool rapid-commit=no request=prefix \
use-peer-dns=no

/ipv6 nd
set [ find default=yes ] advertise-dns=no interface=bridge1 ra-interval=\
10s-30s

/ipv6 nd prefix default
set preferred-lifetime=2m valid-lifetime=5m

/ipv6 settings
set max-neighbor-entries=8192

ipv6 address
add address=::/64 from-pool=ipv6-pool interface=bridge1


/ipv6 firewall address-list
add address=::/96 comment="IPv4 Compatible" list=BadIP
add address=::1/128 comment=Loopback list=BadIP
add address=::127.0.0.0/104 comment=Loopback list=BadIP
add address=::224.0.0.0/100 comment=Multicast list=BadIP
add address=::255.0.0.0/104 comment="Limited broadcast" list=BadIP
add address=::ffff:0.0.0.0/96 comment="IPv4 translated" list=BadIP
add address=2001:db8::/32 comment="Documentation prefix" list=BadIP
add address=2001:20::/28 comment=ORCHIDv2 list=BadIP
add address=2001:10::/28 comment=ORCHID list=BadIP
add address=100::/64 comment="Discard prefix" list=NotGlobalIP
add address=2001::/32 comment="Teredo tunneling" list=NotGlobalIP
add address=fc00::/7 comment="Unique local" list=NotGlobalIP
add address=ff00::/8 comment=Multicast list=NotGlobalIP
add address=::/128 comment=Unspecified list=BadSrcIP
add address=ff00::/8 comment=Multicast list=BadSrcIP
add address=::/128 comment=Unspecified list=BadDstIP
add address=fe80::/10 comment="Link local" list=NoForwardIP
add address=3ffe::/16 comment=6bone list=BadIP
add address=ff00::/8 comment=Multicast list=NoForwardIP


/ipv6 firewall filter
add action=accept chain=input comment=\
"Input accept established, related, untracked connections" \
connection-state=established,related,untracked
add action=drop chain=input comment="Input drop invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Input accept ICMP" protocol=icmpv6
add action=accept chain=input comment="Input accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment="Input accept DHCPv6 client" dst-port=\
546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="Input accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="Input accept IPSec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="Input accept IPSec ESP" protocol=\
ipsec-esp
add action=drop chain=input comment="Input drop all not from LAN" \
in-interface-list=WAN
add action=accept chain=forward comment=\
"Forward accept established, related, untracked connections" \
connection-state=established,related,untracked
add action=drop chain=forward comment="Forward drop invalid connections" \
connection-state=invalid
add action=drop chain=forward comment="Forward drop bad ICMP" hop-limit=\
equal:1 protocol=icmpv6
add action=accept chain=forward comment="Forward accept ICMP" protocol=icmpv6
add action=accept chain=forward comment="Forward accept HIP" protocol=139
add action=accept chain=forward comment="Forward accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="Forward accept IPSec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="Forward accept IPSec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"Forward accept all that matches IPSec" ipsec-policy=in,ipsec
add action=drop chain=forward comment="Drop no forward IP" src-address-list=\
NoForwardIP
add action=drop chain=forward comment="Drop no forward IP" dst-address-list=\
NoForwardIP
add action=drop chain=forward comment="Forward drop all not from LAN" \
in-interface-list=WAN


/ipv6 firewall mangle
add action=change-mss chain=forward comment="Change MSS" dst-prefix=::/0 \
new-mss=clamp-to-pmtu passthrough=yes protocol=tcp src-prefix=::/0 \
tcp-flags=syn


/ipv6 firewall raw
add action=drop chain=prerouting comment="Drop bad IP" src-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad IP" dst-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad src IP" src-address-list=\
BadSrcIP
add action=drop chain=prerouting comment="Drop bad dst IP" dst-address-list=\
BadDstIP
add action=drop chain=prerouting comment="Drop non global IP" \
in-interface-list=WAN src-address-list=NotGlobalIP
add action=accept chain=prerouting comment="Accept local multicast" \
dst-address=ff02::/16
add action=drop chain=prerouting comment="Drop other multicast" dst-address=\
ff00::/8
add action=jump chain=prerouting comment="Check TCP SYN, ACK" \
in-interface-list=WAN jump-target=ddos protocol=tcp src-address-list=\
!BlockedDDoSAttacker tcp-flags=syn,ack
add action=return chain=ddos comment="______Check for SYN, SYN-ACK flood" \
dst-limit=64,64,src-and-dst-addresses/10s
add action=add-src-to-address-list address-list=BlockedDDoSAttacker \
address-list-timeout=10m chain=ddos comment="______Block DDoS attacker" \
log=yes
add action=drop chain=prerouting comment="Drop DDoS" in-interface-list=WAN \
src-address-list=BlockedDDoSAttacker
add action=jump chain=prerouting comment="Check TCP" in-interface-list=WAN \
jump-target=tcp protocol=tcp src-address-list=!BlockedAddress
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment=\
"______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block SYN/FIN scan" \
log=yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block SYN/RST scan" \
log=yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block FIN/PSH/URG scan" \
log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block ALL/ALL scan" \
log=yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block NMAP NULL scan" \
log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop Blocked Address" \
in-interface-list=WAN src-address-list=BlockedAddress
add action=accept chain=prerouting comment="Accept all from WAN" \
in-interface-list=WAN
add action=accept chain=prerouting comment="Accept all from LAN" \
in-interface-list=!WAN
add action=drop chain=prerouting comment="Drop all others"

248650248651

Yess!
Ευχαριστώ για το χρόνο σου!

- - - Updated - - -

αλλά έχω ένα μικρό θεματάκι το 951G-2ΗνD δε σηκώνει όλους αυτούς τους κανόνες στο firewall...

στα 80Mbps τερματίζω CPU....

248650248651

Yess!
Ευχαριστώ για το χρόνο σου!

- - - Updated - - -

αλλά έχω ένα μικρό θεματάκι το 951G-2ΗνD δε σηκώνει όλους αυτούς τους κανόνες στο firewall...

στα 80Mbps τερματίζω CPU....

Πότε σου την τερματίζει;
Όταν κατεβάζεις στο full;

Πότε σου την τερματίζει;
Όταν κατεβάζεις στο full;

ναι στο speedtest! το IPv4 το έχω με fasttrack για να δω τα 300!

Με ένα core μια χαρά τα πάει.

Με ένα core μια χαρά τα πάει.

έχω προγραμματίσει νέα αγορά αλλά μέχρι τότε μόνο IPv4 και μόνο fasttrack....

έχω προγραμματίσει νέα αγορά αλλά μέχρι τότε μόνο IPv4 και μόνο fasttrack....

Το fasttrack κράτησέ το.
Αποδίδει τρελά.
Το έχω γράψει στο θέμα με το qos.