Új hozzászólás Aktív témák

• #19157 E.Kaufmann veterán Formaster #19156

  Új Válasz 2023-03-06 12:57:29 #19157

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  E.Kaufmann

  veterán

  LOGOUT blog

  válasz Formaster #19156 üzenetére

  Így elsőre, ne legyen szinte semmilyen tűzfal szabály arra az ethernet portra vonatkozóan, amire kapcsolódik a szolgáltatói eszköz (ne legyen bridge-ben, se IP címe ne legyen, de erre én is kíváncsi lennék, itt ki mit ajánl, hogy biztosra menjünk, hogy ne a felnyomott szolgáltatói eszközről jöjjön be valaki. Én biztos, ami biztos a forward-ot tiltottam a port irányából, azzal látszólag bajt nem okoztam). Így létrehozva a PPPoE kliens-et (felhasználónév és jelszó megadásával), nem volt gond, csatlakozott.
  Amúgy ugye a PPPoE kapcsolatot kell tűzfalazni rendesen. Annak kell utánanézni.
  Ha IPv6 is kell, akkor az IPv6 szekció alatt kell egy DHCP kliens a PPPoE portra, amitől prefixet kell igényelni (winboxban kiválasztható, hogy info/address vagy prefix), és abból a prefixből (amilyen nevet megadtál a DHCP kliensnél) kell kiosztani címeket. A router LAN portjára belövöd pl a ::1/64 címet, from-pool: amibe a DHCP kliens gyűjti a szolgáltatói prefixet és az advertise-t is be kell kapcsolni, így hirdeti a tartományt a LAN-nak, a kliensek megkapják a router üzeneteit az alhálózatra vonatkozóan.
  Én amúgy belőttem egy ULA-t, masquerad-ot a PPPoE portra és ezen felül nem a LAN portra hanem a PPPoE-ra tettem rá a ::1/64-et a szolgáltatói prefixel (advertise kikapcs, csak az ULA-t hirdettem a LAN-on) és úgy néz ki, így is megy, a Kame.net-en táncolt a teknős, pingelni is tudtam az IPv6-os google DNS címeket. A portátirányítás trükkös, mert nincs olyan opció az ipv6-os tűzfal szabályoknál, hogy NAT állapot, meg kellett jelölnöm dstNAT-olt kapcsolatokat és amik nem voltak dstNAT-olva vagy nem established,related meg ami kell, na azt fogja meg az utolsó forward drop.

Új hozzászólás Aktív témák