[TÓPICO DEDICADO] Mikrotik Rb750 - Experiencia no Ambiente Domestico

[artisan1]

Estou para colocar um papel manteiga na frente dos leds para ver se reduz a claridade deles.
Na configuração dos led não consegui apagar eles kkk

--- Post duplo é unido automaticamente: 21/01/2022 ---

Manual:System/LEDS - MikroTik Wiki

wiki.mikrotik.com

A RB4011 não tem suporte a configurar os leds

É triste mano, caparam coisas básicas nessa RB, essa parada do LED e ainda não tem som, não consigo botar a musica do mario pra tocar kkkkkkkkkkkkkkkkkk

 

[Arris]

NAT6 existe e já utilizei no Openwrt. É praticamente a mesma coisa que no IPV4.

[OpenWrt Wiki] NAT66 and IPv6 masquerading

openwrt.org

IPV6 passthrough seria apenas uma bridge ( específica para o IPV6 ) entre a WAN e a LAN, de modo que o dispositivo ( HGU por exemplo ) que controla o IPV6 pode distribuir os ips e fazer o roteamento, mesmo tendo um outro router no meio do processo.

--- Post duplo é unido automaticamente: 16/01/2022 ---

O correto seria DROP como regra default do chain FORWARD.
Adicione regras com ACCEPT para os forward desejados. Ex in pela LAN e out pela WAN.

iptables -P FORWARD DROP
iptables -I FORWARD -i lan -o wan -j ACCEPT

eu testei essas regras e continua bloqueando a navegação via ipv6 :/

Só navega se eu remover a regra de drop no forward.
Antigamente funcionava a navegação ipv6, não sei onde deu a merda. O jeito é deixar desativado o ipv6, infelizmente.

 

[vorlon]

delete.

 

[Arris]

Parece que o meu provedor secundário trocou o gateway do pppoe pra 10.255.0.1/32 e a minha rede interna é 10.0.0.0/24
Desde que ele trocou para esse novo gateway não consigo mais navegar... Antigamente era 172.xxxx

 

[EvertonPlay75]

Parece que o meu provedor secundário trocou o gateway do pppoe pra 10.255.0.1/32 e a minha rede interna é 10.0.0.0/24
Desde que ele trocou para esse novo gateway não consigo mais navegar... Antigamente era 172.xxxx

Tem tiram do IP público e colocaram no gcnat

 

[Arris]

Tem tiram do IP público e colocaram no gcnat

Mesmo que fosse isso eu deveria conseguir navegar ué
Se eles me colocarem no cgnat cancelo no mesmo segundo rsrs

 

[EvertonPlay75]

Mesmo que fosse isso eu deveria conseguir navegar ué
Se eles me colocarem no cgnat cancelo no mesmo segundo rsrs

Geralmente quando muda de IP público para CGNAT não dá problemas, mais de vez enquanto da problemas
Para saber se tá no CGNAT é bem fácil, descobrir
É só pega o IP que chega no modem e colocar no site registo.br

 

[Arris]

Geralmente quando muda de IP público para CGNAT não dá problemas, mais de vez enquanto da problemas
Para saber se tá no CGNAT é bem fácil, descobrir
É só pega o IP que chega no modem e colocar no site registo.br

O ip que chega no modem é o mesmo de sempre. Eles me deram ipv4 publico fixo quando contratei e disse que só ia contratar se não fosse cgnat.
O que mudou foi o gateway de 172... pra 10.255.0.1/32.

Até tentei fazer isso de colocar meu ip 45.xxx.212.131 no registro.br e o site informa que precisa de pelo menos uma letra...

 

[EvertonPlay75]

O ip que chega no modem é o mesmo de sempre. Eles me deram ipv4 publico fixo quando contratei e disse que só ia contratar se não fosse cgnat.
O que mudou foi o gateway de 172... pra 10.255.0.1/32.

Até tentei fazer isso de colocar meu ip 45.xxx.212.131 no registro.br e o site informa que precisa de pelo menos uma letra...

Ué mais vc não tá pesquisando por domínio
Tem a ferramenta de pesquisa por domínio
E tem outras tipo por AS
O Gateway este é do CGNAT

Registro.br

Registro de domínio por R$ 40,00 por ano. Registro de domínio .com.br, .net.br e demais .br. Seus endereços na Internet não podem mudar!

registro.br

 

[Arris]

Troquei o endereço da minha LAN de 10xxx pra 172xxx e mesmo assim a navegação no provedor de backup não funcionou mais. Deve ser problema deles mesmo.
PPPOE está conectado normal, apenas não alcança nenhum ip na internet.

 

[dasilvaj4]

Troquei o endereço da minha LAN de 10xxx pra 172xxx e mesmo assim a navegação no provedor de backup não funcionou mais. Deve ser problema deles mesmo.
PPPOE está conectado normal, apenas não alcança nenhum ip na internet.

Realiza um traceroute para sair pelo link de backup e veja em que ponto morre a conexão. Se é nesse novo gateway ou mais pra frente.

 

[Arris]

Realiza um traceroute para sair pelo link de backup e veja em que ponto morre a conexão. Se é nesse novo gateway ou mais pra frente.

Provedor backup:

Net virtua

 

[dasilvaj4]

Provedor backup:

Net virtua

Recomendo que entre em contato com o seu provedor pois bem provável que nessa migração de BRAS/BNG a rota para o seu ip público ficou para trás.

--- Post duplo é unido automaticamente: 26/01/2022 ---

Outra coisa, você está recebendo o seu ip público no pppoe client?

 

[Arris]

Recomendo que entre em contato com o seu provedor pois bem provável que nessa migração de BRAS/BNG a rota para o seu ip público ficou para trás.

--- Post duplo é unido automaticamente: 26/01/2022 ---

Outra coisa, você está recebendo o seu ip público no pppoe client?

sim.

Já entrei em contato e não responderam rsrsrs

 

[dasilvaj4]

sim.

Já entrei em contato e não responderam rsrsrs

Quase certeza que eles esqueceram de ajeitar a rota para o seu ip publico ou o bloco de ip do seu endereço publico.
Ou esse BRAS deles não está rodando OSPF com o BGP deles entre n fatores. Recomendo que entre em contato com eles para corrigir isso.

Você pode utilizar essa ferramenta online http://www.isptools.com.br/traceroute para ver se algum dos provedores que tem parceria com essa site consegue chegar até o seu endereço publico.

 

[Arris]

Algum de vocês poderia me ceder uma lista de regras do firewall para ipv6?

 

[dasilvaj4]

Algum de vocês poderia me ceder uma lista de regras do firewall para ipv6?

Opa mano, não estou em casa agora mas tem o comando /system default-configuration print que irá mostrar as regras do script de configuração padrão do MikroTik.

Nele tem os comandos de firewall de IPv6

 

[Arris]

Opa mano, não estou em casa agora mas tem o comando /system default-configuration print que irá mostrar as regras do script de configuração padrão do MikroTik.

Nele tem os comandos de firewall de IPv6

Pois é, já havia testado essas regras e infelizmente a última regra de drop everything else not coming from lan impede a navegação via ipv6 aqui. Só funciona sem ela mesmo.
Pode ser algum problema no routeros v7,
Antigamente eu conseguia navegar.

A bridge está na interfacelist LAN
Adicionei o ipv6 >address na interface bridge com ::1/64 Advertise.

 

[dasilvaj4]

Pois é, já havia testado essas regras e infelizmente a última regra de drop everything else not coming from lan impede a navegação via ipv6 aqui. Só funciona sem ela mesmo.
Pode ser algum problema no routeros v7,
Antigamente eu conseguia navegar.

A bridge está na interfacelist LAN
Adicionei o ipv6 >address na interface bridge com ::1/64 Advertise.

Segue a minha configuração tanto da interface list quanto da seção de IPv6 da minha RB4011 que está na na v7.1.1

Spoiler: Meu export do IPv6

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add comment="Bridge - Rede Interna" interface=bridge list=LAN
add comment="Link PPPoE" interface=pppoe-link list=WAN

/ipv6 address
add from-pool=pool-v6 interface=bridge

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-link pool-name=pool-v6 request=address,prefix use-peer-dns=no

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=(Prefixo liberado) list=REDE-ADMIN
add list=REDE-ADMIN

/ipv6 firewall filter
add action=drop chain=input comment="TCP - Drop conex\E3o DNS na WAN" dst-port=53 in-interface-list=WAN protocol=tcp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="UDP - Drop conex\E3o DNS na WAN" dst-port=53 in-interface-list=WAN protocol=udp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="TCP - Drop conex\E3o NTP na WAN" dst-port=123 in-interface-list=WAN protocol=tcp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="UDP - Drop conex\E3o NTP na WAN" dst-port=123 in-interface-list=WAN protocol=udp src-address-list=!REDE-ADMIN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Aceita L2TP/IPSec" port=1701,500,4500 protocol=udp
add action=accept chain=input comment="Aceita L2TP/IPSec" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=input comment="Permite rede admin acessar qualquer coisa" src-address-list=REDE-ADMIN
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=pppoe-link passthrough=yes protocol=tcp tcp-flags=syn

/ipv6 nd
set [ find default=yes ] managed-address-configuration=yes other-configuration=yes ra-interval=30s-1m

/ipv6 settings
set max-neighbor-entries=8192

Segue um compilado de print acessando sites que tem conexão via IPv6



Na minha address-list REDE-ADMIN eu tenho o meu prefixo que recebo do meu provedor, o da empresa que eu trabalho.

 

[mjeron]

Bom dia,

Curto muito essa parte de configurações de Qos já que isso ajuda muito no dia dia. Eu tive uma RB hex750gr3 e na época foi um pouco chato configurar um qos decente para controlar o bufferbloat. Depois de muito pesquisar achei um vídeo onde a configuração serviu perfeitamente para mim que tinha a rb750gr3 + link de 250mb. Vou deixar o link aqui para quem quiser testar as configurações.

Obrigado amigo, essa foi a melhor configuração que obtive na rb750 gr3, muito top, e nem necessitei de cake, os sites http estão muito rápido na abertura, meu link é fibra 300M/150M

 

[Arris]

Segue a minha configuração tanto da interface list quanto da seção de IPv6 da minha RB4011 que está na na v7.1.1

Spoiler: Meu export do IPv6

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add comment="Bridge - Rede Interna" interface=bridge list=LAN
add comment="Link PPPoE" interface=pppoe-link list=WAN

/ipv6 address
add from-pool=pool-v6 interface=bridge

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-link pool-name=pool-v6 request=address,prefix use-peer-dns=no

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=(Prefixo liberado) list=REDE-ADMIN
add list=REDE-ADMIN

/ipv6 firewall filter
add action=drop chain=input comment="TCP - Drop conex\E3o DNS na WAN" dst-port=53 in-interface-list=WAN protocol=tcp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="UDP - Drop conex\E3o DNS na WAN" dst-port=53 in-interface-list=WAN protocol=udp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="TCP - Drop conex\E3o NTP na WAN" dst-port=123 in-interface-list=WAN protocol=tcp src-address-list=!REDE-ADMIN
add action=drop chain=input comment="UDP - Drop conex\E3o NTP na WAN" dst-port=123 in-interface-list=WAN protocol=udp src-address-list=!REDE-ADMIN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Aceita L2TP/IPSec" port=1701,500,4500 protocol=udp
add action=accept chain=input comment="Aceita L2TP/IPSec" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=input comment="Permite rede admin acessar qualquer coisa" src-address-list=REDE-ADMIN
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=pppoe-link passthrough=yes protocol=tcp tcp-flags=syn

/ipv6 nd
set [ find default=yes ] managed-address-configuration=yes other-configuration=yes ra-interval=30s-1m

/ipv6 settings
set max-neighbor-entries=8192

Segue um compilado de print acessando sites que tem conexão via IPv6



Na minha address-list REDE-ADMIN eu tenho o meu prefixo que recebo do meu provedor, o da empresa que eu trabalho.

fiz isso e ainda assim não deu certo.
Acho que o jeito é resetar a RB e reconfigurar do zero mesmo, deve ter alguma coisa com problema.

-----
Resetei a RB e cheguei a conclusão que essas 2 regras impedem a navegação

Se desativar ambas, consigo navegar via ipv6.
Parece que todos os pacotes vem com status de new ou invalid. Nunca se tornam established.
No log das regras, elas estão bloqueando conexões IN:ether1 OUT:Bridge

Pelo visto tem outras pessoas enfrentando esse problema no routeros 7.1.1

IPv6 forwarding not working in 7.1beta6 - MikroTik

forum.mikrotik.com

 

[artisan1]

fiz isso e ainda assim não deu certo.
Acho que o jeito é resetar a RB e reconfigurar do zero mesmo, deve ter alguma coisa com problema.

-----
Resetei a RB e cheguei a conclusão que essas 2 regras impedem a navegação

Se desativar ambas, consigo navegar via ipv6.
Parece que todos os pacotes vem com status de new ou invalid. Nunca se tornam established.
No log das regras, elas estão bloqueando conexões IN:ether1 OUT:Bridge

Pelo visto tem outras pessoas enfrentando esse problema no routeros 7.1.1

IPv6 forwarding not working in 7.1beta6 - MikroTik

forum.mikrotik.com

aqui eu tenho amabas regras e rodando IPv6 suave, problema deve estar no RouterOS 7 mesmo...

 

[dasilvaj4]

fiz isso e ainda assim não deu certo.
Acho que o jeito é resetar a RB e reconfigurar do zero mesmo, deve ter alguma coisa com problema.

-----
Resetei a RB e cheguei a conclusão que essas 2 regras impedem a navegação

Se desativar ambas, consigo navegar via ipv6.
Parece que todos os pacotes vem com status de new ou invalid. Nunca se tornam established.
No log das regras, elas estão bloqueando conexões IN:ether1 OUT:Bridge

Pelo visto tem outras pessoas enfrentando esse problema no routeros 7.1.1

IPv6 forwarding not working in 7.1beta6 - MikroTik

forum.mikrotik.com

Pelo um dos comentários no post lá, quando está usando simple queue a tabela de connection tracking fica instável.
Aqui em casa não utilizo simple queue, deve ser por isso que não peguei esse problema.

@Arris chegou a testar a solução paliativa que o cara fez?

/ipv6 firewall address-list
add address=2001:db8::/56 comment=ipv6pool list=globalallowed
/ipv6 firewall filter
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid packet-mark=!ipv6-packet-from-LAN
/ipv6 firewall mangle
add action=mark-packet chain=prerouting connection-state=new in-interface-list=LAN new-packet-mark=ipv6-packet-from-LAN \
    passthrough=yes src-address-list=globalallowed

 

[Arris]

Pelo um dos comentários no post lá, quando está usando simple queue a tabela de connection tracking fica instável.
Aqui em casa não utilizo simple queue, deve ser por isso que não peguei esse problema.

@Arris chegou a testar a solução paliativa que o cara fez?

/ipv6 firewall address-list
add address=2001:db8::/56 comment=ipv6pool list=globalallowed
/ipv6 firewall filter
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid packet-mark=!ipv6-packet-from-LAN
/ipv6 firewall mangle
add action=mark-packet chain=prerouting connection-state=new in-interface-list=LAN new-packet-mark=ipv6-packet-from-LAN \
    passthrough=yes src-address-list=globalallowed

Sim. Substituí ali o address list pelo meu prefixo mas mesmo assim os pacotes continuam caindo na regra Drop Invalid e na regra drop o que não vier da lan.
A NET me fornece apenas um prefixo /64, não sei se isso influencia em algo ao invés do /56 que o outro provedor entregava.
Eu uso simples Queue com Cake, não testei com ela desativada.

 

[dasilvaj4]

Sim. Substituí ali o address list pelo meu prefixo mas mesmo assim os pacotes continuam caindo na regra Drop Invalid e na regra drop o que não vier da lan.
A NET me fornece apenas um prefixo /64, não sei se isso influencia em algo ao invés do /56 que o outro provedor entregava.
Eu uso simples Queue com Cake, não testei com ela desativada.

na regra de drop invalid você testou colocando a exceção packet-mark=!ipv6-packet-from-LAN ?