IPv6 на PPP интерфейсе, подключенном к MS RRAS

Базовая функциональность RouterOS
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

Приветствую.

Есть ли у кого опыт настройки Mikrotik в качестве IPv6 клиента PPP (PPTP или L2TP - не суть важно), подключенному к Microsoft RRAS? Такое, вообще, возможно? Что-то уже я плохо понимаю происходящее.

Пред-описание: Есть удаленный сайт (S1), где гейтом настроен MS RRAS на белом IPv4 (G1). Этот сайт имеет dual-stack конфигурацию (IPv6 + IPv6). Сам сайт и RRAS настроены корректно - виндовые клиенты подключабтся и правильно получают все адреса и маршруты на обоих протоколах. Так же, на RRAS настроены site-to-site VPN интерфесы. Собственно, есть еще один сайт с такой же конфигурацией (S2) с таким же гейтом на RRAS (G2).

Между этими сайтами IPsec средстваим Windows и site-to-site VPN между G1 и G2 работает гуд с динамической маршрутизацией на обоих протоколах (RIPv2 для IPv4 и ND/RA для IPv6).

Теперь я хочу подключить к G1 еще один сайт (S3), на котором гейтом настроен микротик (G3).

Получилось полностью настроить:

- IPsec с сертификатом между G1 и G3.
- L2TP клиент (P1) на G3 к серверу G1 (site-to-site VPN link)
- IPv4 на G3/P1 c динамической маршрутизацией через RIPv2

Т.е. IPv4 между S1 и S3 полностью настроен и работает.

А вот с IPv6 совсем никак. Ни в статической конфигурации, ни в динамической. Для начала, L2TP клиент на G3 (микротик) никак не хочет получать назначенный IPv6 адрес от RRAS. Вернее, получает только link-local адрес, назначаемый по IPv6CP. Удалось настроить его получить динамический IPv6 адрес от сервера DHCPv6 через G1, но, в этом случае, микротик хоть и получает анонсы маршрутов с G1 (ICPMv6 type134 на ff02::1) но никак на них не реагирует и сам ничего не анонсит.

Настроить SLAAC для L2TP клиента на микротик не получается - для этого DHCPv6 клиент должен получить IPv6 префикс от DHCPv6 сервера, но на той стороне стоит виндовый DHCP сервер, который не умеет в делегацию префиксов, соответственно, SLAAC на L2TP клиенте (на микротике) не настраивается.

Кто-то имеет подобный опыт настройки ?

С уважением.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

Выглядит так, как если бы реализация IPv6CP в RouterOS либо не полна, либо кривовата...
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение Chupaka »

Здравствуйте.

Всякое может быть, на ipv6 в RouterOS многие жалуются. Я бы сразу попробовал написать на [email protected] (по-русски понимают) с деталями того, что есть и что не работает, а, очевидно, должно.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

2 Chupaka

Благодарю за ответ.

Саппорт, что-то тормозит не шуточно. Я у них спросил, почему же сервер DHCPv6 у них поддерживает только prefix delegation и почему это ограничение фунциональности ни где не описано в документации - так они 10 дней раздумывали.

Выяснилось, что IPV6CP таки реализован в RouterOS правильно, а проблема, скорей всего, на стороне винды. На сайтах используется IPv6 local uniqie адреса (fc00/7, который раньше был site-local scope), а микрософт их, как-то, не жалует, отчего-то. У них масса пасхалок по поводу этих IPv6 адресов.

Логи бы сильно облегчили ситуацию, но на стороне микротика radvd никак не удается разговорить, а логирование ND отсутствует в принципе и в RouterOS, и в Винде.

Ну, ок, челендж акцептед.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

Короче, не взлетит.

Проблема не в микротике, а в винде. Еёный RRAS только делает вид, что полностью поддерживает IPv6. А на самом деле - только в автоконфигурации. Никакими способами не удалось заставить RRAS назначить на PPP интерфейсы предопределенные IPv6 адреса. После любого переконнекта, назначенные IPv6 адреса изменяются и начинаются пляски, например, у настроенных BGP пиров меняются адреса и обмен маршрутами прекращается. Виндовый ND тоже доверху набит пасхалками - он не работает между рутерами, а только между рутерами и конечными устройтвами. Документации, гайдов, примеров - тупо нуль.

Поддержка Microsoft сразу слилась с комментарием, что, дескать, они не нашли никаких оффициальных документов, по настройке RRAS для IPv6 S2S. Эскалировать проблему или регистрировать баг они отказались.

Единственный способ, которым удалось это барахло поднять и чтоб оно хоть ка-то стабильно работало - статическая маршрутизация. И то с костылем на стороне микротика.

Хех... Вот тебе и IPv6. Что-то, я его, как-то, мгновенно не хочу больше.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение Sir_Prikol »

Yу почему-же :) У меня IPv6 уже лет 5 как живёт и здравствует. Правда у меня нет виндовых серверов, от слова совсем, так, где-то на виртуалке XP крутится, чисто для работы и всё :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

Ну, скорей всего, вот поэтому:
Правда у меня нет виндовых серверов, от слова совсем
А в даннойм кейсе, виндовые сервера присутствуют по условию. Болезни, тут описанные - тоже виндовые.

В общем, поженить RouterOS с Windows RRAS по IPv6 через L2TP/PPTP не получается никак - не хочет RRAS раздавать на этих интерфейсах статические IPv6 адреса, т.е., на момент подключения, адрес другой стороны не известен. Собственно, после подключения - тоже. Убил две недели - плюнул в итоге. Сейчас бодаюсь по этому вопросу с сапортом Микрософта.

A вот на GRE интерфейсы RRAS позволяет задавать статические IPv4/IPv6. Решил задачу через GRE/IPsec.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение ns88ns »

Наверно, надо дописать в топик конечный результат, для полноты картины.

Впоследствии выяснилось, что из-за внутреннего устройства RRAS, так же не существует способа завернуть GRE в IPSec. Приходилось трафик заворачивать в IPSec, и уже потом гнать через GRE, но сам GRE, все равно, остается незащищенным.

TSE из микрософта сообщили, что они не компетентны дать заключение по этому вопросу и им надо изучит тему, да так и потерялись. Из кучи сделанных трейсов удалось понять, что RRAS инжектит свой перехватчик GRE немного раньше точки возврата в стек декриптованного трафика IPsec. В результате, декриптованный GRE по стеку проходит и его можно увидеть снифферами, но RRAS его уже не ловит. Пасочки. Исходящий GRE заворачивается в IPSec гуд. Я думаю, что это баг, но кому это надо...

Вообще, создалось впечатление, что сам RRAS - это какое-то жуткое легаси наследие времен Windows NT, которое просто перекидывали по новым версиям винды, но архитекруру его не меняли, а только обставляли костылями. Например, новая функциональность, которую они добавили - не доступна в консоли управления, только через powershell. Еще один нюанс был при настроке политик IPsec для L2TP - RRAS хочет использовать только свои политики, а общесистемные - ему не кошерно. Причем, опять же - черезкостыльно: main фаза управляется таки общесистемными настройками IPsec, а настройки RRAS игнорятся. А quick фаза управляется только политикой RRAS, а общесистемные настройки игнорятся. Все это вызывает некоторе недоумение.

В общем, выполнив абсолютно весь комплекс физических и музыкальных упражнений (приседания, отжимания, прыжки, поклоны, ира на бубне и прогибы в сторону RRAS) - было таки принято правильное решение: RRAS выкинут на мороз и заменен на CHR Mikrotik с P1. После чего все выдохнули.

2 Chupaka
Спасибо за отзывчивость и помощь.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPv6 на PPP интерфейсе, подключенном к MS RRAS

Сообщение Chupaka »

И вам спасибо за интересное повествование =)