Seminario de IPv6 con

MikroTik RouterOS

Contenidos
Objetivos

Modulo 3: Mecanismos IPv6

ICMPv6
Neighbor Discovery (ND)
Autoconfiguracin
Autoconfiguracin son servidor

Modulo 1: Introduccin a IPv6

Introduccin
IPv6 vs IPv4
Formato de paquete
Direccionamiento
Ejemplo de una red simple
Habilitando IPv6
Modulo 2: Direccionamiento IPv6
Direcciones Link-local
Identificador EUI-64
Multicast
Subnetting

Modulo 4: Routing v6
Ruteo esttico
OSPFv3
BGP4
Module 5: Firewall v6
Filter
Mangle
Module 6: Resumen final

2014 Prozcenter

Objetivos
Conocer la arquitectura de IPv6
Estructura de paquete
Esquema de direccionamiento
Mecanismos de IPv6

Configuracin y resolucin de problemas de redes

RouterOS que utilizan este nuevo protocolo.

2014 Prozcenter

Modulo 1
Introduccin a IPv6

2014 Prozcenter

Introduccin
IPv6 es un protocolo capa 3 que se diseo para resolver algunas
limitaciones de IPv4 (se puede decir que IPv6 es un reemplazo
directo de IPv4).
Provee un espacio de direccionamiento mucho ms amplio,
algo asi como trillones de direcciones por ser humano! (nunca
mas se acabaran las direcciones IP).
Provee conectividad real extremo a extremo (NAT ya no es
requerido).
Reduce la complejidad del encabezado IP (mayor performance).

"IPv6 es en muchos aspectos como IPv4,

pero estos protocolos no son iguales"
2014 Prozcenter

IPv6 vs. IPv4

2014 Prozcenter

IPv6 vs. IPv4 Espacio de IPs

En IPv4 (232) hay 4.294.967.296 direcciones disponibles.
En IPv6 (2128) hay
340.282.366.920.938.463.463.374.607.431.768.211.456
direcciones disponibles (seran 340 sextillones).

"Todas las IPv4 'entrarian' en un

cuadrado de 4 x 4 cms. En cambio para
las IPv6 necesitaramos un cuadrado del
tamao del sistema solar!"
2014 Prozcenter

Recordando IPv4...

2014 Prozcenter

Formato de un paquete IPv6

A
M E
TE LAV
C

2014 Prozcenter

Formato de un paquete IPv6

Campos excluidos de IPv6:
IHL
Identification
Flags
Fragment offset
Header checksum
Options (existen en IPv6 pero NO en el encabezado).

2014 Prozcenter

10

Formato de un paquete IPv6

Campos de IPv4 que se mantienen en IPv6:
Version (mismo nombre)
Traffic Class (llamado ToS / DSCP)
Payload lenght (llamado Total Lenght)
Next Header (llamado Protocol)
Hop Limit (llamado Time to Live)
Src and Dst Address
Campo nuevo en IPv6:
Flow Label (20 bits)
2014 Prozcenter

11

Formato de un paquete IPv6

En RouterOS, se puede leer estos campos en las reglas de IPv6 Firewall:

2014 Prozcenter

12

Formato de un paquete IPv6

En RouterOS, se puede leer estos campos en las reglas de IPv6 Firewall:

2014 Prozcenter

13

Formato de un paquete IPv6

Tambin se puede leer el campo Flow Label con reglas en la seccin Switch:

2014 Prozcenter

14

A
M E
TE LAV
C

Direccionamiento Tipos
IPv6 soporta los siguientes tipos de direcciones:
- Unicast
- Global
- Link-local

- Anycast (es como unicast)

- Multicast

Broadcast ya no es soportado, todas las tareas son

resueltas usando diferentes direcciones Multicast.
2014 Prozcenter

15

Direccionamiento Tipos
Cada equipo IPv6 tiene al menos los siguientes tipos
de direcciones:
Una direccin unicast para la interfaz loopback.
Una direccin unicast link-local por interfaz.
Cada interfaz debera estar "unida" a algunos grupos
multicast.

Opcionalmente una o ms direcciones unicast

global. Estas pueden configurarse de tres formas (se
vern ms adelante).
2014 Prozcenter

16

Direccionamiento Tipos

2014 Prozcenter

17

Direccionamiento Estructura
Las direcciones IPv6 tienen 128 bits de longitud, de modo que los
diseadores optaron por la notacin hexadecimal y dividiendo la
direccin en grupos de 16 bits.
- Direccin IPv6 en "crudo", separada en 4 partes de 32 bits:
00100000000000000000000000000000
00000000000000000000000100100010
00001100001101000000000000111111
01010100110010100000000000001011
- Misma direccin IPv6, pero expresada en hexadecimal:
2000:0000:0000:0122:0C34:003F:54CA:000B
(Esta direccin se puede comprimir como se vera en breve.)
2014 Prozcenter

18

A
M E
TE LAV
C

Direccionamiento Estructura

El espacio de direcciones esta dividido en prefijos,

uno para cada tipo de direccin.
Cada prefijo se indenfifica mirando los PRIMEROS
bits de una direccin IPv6.
El parmetro prefix-lenght, indica cuantos bits
pertenecen al prefijo, por ejemplo:
2000:0000:0000:0122:0C34:003F:54CA:000B/64
(los primeros 64 bits corresponden al prefijo)
2014 Prozcenter

19

Direccionamiento Estructura
En resumen, una direccin v6 tiene dos partes, una es el
Prefijo, y el resto es la identificacin de la interfaz en
particular, es decir el Interface ID.
A veces, vamos a disponer de unos bits extra conocidos
como Subnet ID.
Interface ID tienen que estar en un formato especial
conocido como EUI-64 (mas detalles en breve).

2014 Prozcenter

20

A
M E
TE LAV
C

Direccionamiento Estructura

77% del espacio total de direcciones IPv6 esta an reservado

para futuros usos.
Resumen de los prefijos ms importantes:
0000::/8 - Sin especificar, Lookback (similar a 0.0.0.0/0 o 127.0.0.0/8)
2000::/3 - Global Unicast Addresses (similar a las pblicas IPv4)
FC00::/7 - Unique Local Addresses

(similar a las privadas IPv4)

FE80::/10 - Link-Local Unicast Addresses

FF00::/8 - Multicast Adresses

(similar al rango 169.254.0.0/16)

(similar al rango 224.0.0.0/4)

2014 Prozcenter

21

Direccionamiento Estructura
Ejemplos con sus sinnimos IPv4
0.0.0.0/0 es ahora ::/0 (0000:0000:0000:0000:0000:0000:0000:0000/0)
127.0.0.1 es ahora ::1

(0000:0000:0000:0000:0000:0000:0000:0001)

Redes IPv4 / IPv6 (mismo concepto)

200.127.151.0/ 24... los primeros 24 bits
indican la red y no pueden cambiar.
2001:1291:02EB::/48... los primeros 48 bits
indican la red y no pueden cambiar.
2014 Prozcenter

22

Direccionamiento - Representacin
Las direcciones IPv6 pueden comprimirse para una
fcil lectura y escritura mediante tres mtodos.
(1) Grupos con todos "ceros", puede reemplazarse con
un slo cero.
Ejemplo:
Antes -> 2001:1291:0200:8738:0000:0000:0000:0001
Despus -> 2001:1291:0200:8738:0:0:0:0001
2014 Prozcenter

23

Direccionamiento - Representacin
(2) Quitar los ceros de la izquierda en los grupos
que corresponda.
Ejemplo:
Antes -> 2001:1291:0200:8738:0:0:0:0001
Despus -> 2001:1291:200:8738:0:0:0:1

2014 Prozcenter

24

Direccionamiento - Representacin
(3) Multiples grupos de ceros, pueden ser
comprimidos utilizando los dos puntos (":").
Este mtodo puede ser utilizado una vez,
preferentemente donde cause ms efecto.
Ejemplo:
Antes -> 2001:1291:200:8738:0:0:0:1
Despus -> 2001:1291:200:8738::1

2014 Prozcenter

25

Direccionamiento - Representacin
Otro ejemplo con la siguiente IPv6:

2800:0000:0000:0456:0000:0000:0000:00AB
(1) 2800:0:0:0456:0:0:0:00AB
(2) 2800:0:0:456:0:0:0:AB
(3) 2800:0:0:456::AB

2014 Prozcenter

26

Habilitando IPv6
RourteOS soporta IPv4 por defecto.
IPv6 se puede activar en una forma sencilla y
sin costo!:
- Se puede tener ambas versiones de IP en el mismo
router, para hacer lo que se llama "router dual stack".
- Tambi se puede migrar completamente a IPv6.

Requerimientos:
Paso 1: Instalar o habilitar el paquete ipv6.npk.
Paso 2: Reiniciar el router.
(Si, eso es todo!)

2014 Prozcenter

27

Habilitando IPv6

2014 Prozcenter

28

Habilitando IPv6
La implementacin de IPv6 sobre RouterOS nos brinda las
siguiente posibilidades:
IP esttica, autoconfiguracin, DHCP Client.
DHCP Server (slo trabajando como DHCP-PD).
Firewall (Filter / Mangle)
Ruteo esttica y dinmico (RIPng, OSPFv3 and BGP-4)
Soporte para protocolos PPP.
Cliente DNS, DNS Cache, herramientas de Ping, SSH, NTP.

2014 Prozcenter

29

Ejemplo de red simple

2014 Prozcenter

30

Ejemplo de red simple

Router A

PC

2014 Prozcenter

31

Dudas?

2014 Prozcenter

32

Modulo 2
Direccionamiento IPv6

2014 Prozcenter

33

A
M E
TE LAV
C

Identificador EUI-64
IPv6 fue diseado para ser sencillo.
Por ende, no siempre vamos a tener que escribir
direcciones IPv6 en hexadecimal para cada
dispositivo.
Se utiliza un identificador que se obtiene de las
interfaces para construir la direccin completa.

2014 Prozcenter

34

A
M E
TE LAV
C

Identificador EUI-64

Los routers, cuando sea posible, utilizaran la

direccin MAC de las interfaces para construir una
direccin IPv6 completa.
La mayora de los prefijos, desde 2000::/3 a
E000::/3 requieren que la porcin Interface ID de la
IP, este en formato EUI-64.

2014 Prozcenter

35

A
M E
TE LAV
C

Identificador EUI-64

En caso de Ethernet, las direcciones MAC estan en

formato EUI-48, ergo se necesita una conversin.
Esta conversin se realiza agregando 16 bits
(0xFFFE) a la direccin MAC.
Tambin se invierte el sptimo bit del primer byte de
una direccin MAC.

2014 Prozcenter

36

Identificador EUI-64

A
M E
TE LAV
C

2014 Prozcenter

37

Identificador EUI-64
Por ejemplo, se puede agregar una direccin unicast solamente
especificando el prefijo, el resto se completa usando el EUI-64
obtenido desde la direccin MAC.

2014 Prozcenter

38

A
M E
TE LAV
C

Direcciones Link-local
Se utiliza el prefijo FE80::/10.
Slo una direccin link-local debera existir por interfaz.
Permite comunicacin entre dispositivos ubicados en el
mismo enlace (link), es decir mismo dominio L2.
Se autoconfiguran a penas se habilita IPv6.
El Interface ID se toma de la direccin MAC.

2014 Prozcenter

39

Direcciones Link-local
Que se puede hacer con una direccin link-local?
Supongamos que tenemos un dispositivo Mikrotik
conectado a una PC (todo con IPv6 habilitado):

2014 Prozcenter

40

Direcciones Link-local

2014 Prozcenter

41

Direcciones Link-local
Todas las direcciones link-local estan conectadas a la misma red, es decir la
FF80::/10.
De modo que hay que especificar un identificador de interfaz.
Por ejemplo, cuando se desea enviar trfico a cualquier dispositivo
conectado directamente usando direcciones locales, o si desea comunicarse
con herramientas como ping (ms ejemplos ms adelante).

2014 Prozcenter

42

A
M E
TE LAV
C

Multicast
Como no hay soporte para broadcast, se utiliza
como reemplazo el modo de comunicacin
multicast.
Existen muchas direcciones multicast.
Un formato especial es utilizado:

2014 Prozcenter

43

Multicast
Flags: 4 bits (00PT), slolos ltimos 2 son usados: el bit T
(Transient) y el bit P (Prefix).

- T = se pone en 1 para indicar direcciones multicast temporales,

de lo contrario se considera como una direccin permanente
(llamadas tambin "direcciones multicast conocidas").
- P = se pone en 1 para indiar que el resto de la direccin (112
bits) hace referencia a un prefijo en particular.

Scope: 4 bits (XXXX), que identifican el alcance del mensaje.

-

1 (0001) = node (nodo).

2 (0010) = link (enlace).
5 (0101) = site (sitio).
8 (1000) = organization (organizacin).
E (1110) = global (global).
2014 Prozcenter

44

Multicast
Direcciones multicast conocidas:
FF01::1 Todos los nodos (node-local)
FF01::2 Todos los routers (node-local)
FF02::1 Todos los nodos (link-local)
FF02::2 All routers (link-local)
FF02::5 OSPFv3 (Hellos, LSAs) (link-local)
FF02::6 OSPFv3 (Designated Routers) (link-local)
FF02::C Servidores DHCP (link-local)
2014 Prozcenter

45

Multicast

Pueden hacer ping a la

direccin multicast FF02::1
(todos los nodos del enlace)
para descubrir vecinos IPv6.
Se puede utilizar el
parmetro interface
para filtrar el resultado.

2014 Prozcenter

46

Subnetting
Recordando la estructura de una direccin v6, por cada
direccin tenemos un prefix y un interface ID.
Para las direcciones global unicast, el prefijo tienen 64 bits,
de los cuales 16 se usan como subnet ID, que se puede
utilizar para hacer subnetting. Con 16 bits tenemos
posibilidad de hacer 65536 subredes!

2014 Prozcenter

47

Subnetting
NOTA: aunque matematicamente es posible hacer
subnetting dentro del interface ID, no es
recomendable porque la mayora de los rangos
estan pensados para respetar el formato EUI-64.

2014 Prozcenter

48

A
M E
TE LAV
C

Subnetting
Como se puede observar, un prefijo Global the Global
Prefix, esta dividido en:

Registry Prefix (ARIN, LACNIC, RIPE)

ISP Prefix, Site Prefix (Carriers, ISPs)
Subnet Prefix (donde los Carriers/ISP hacen subnetting)

2014 Prozcenter

49

Subnetting
LACNIC tiene asignados
2001:1200::/23
2001:1200:: ~ 2001:13FF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Los primeros 23 bits permanecen fijos, recordar que cada cifra es
hexadecimal y cuenta como 4 bits.

2800::/12
2800:: ~ 280F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Los primeros 12 bits permanecen fijos, recordar que cada cifra es
hexadecimal y cuenta como 4 bits.

2014 Prozcenter

50

Subnetting
Si LACNIC nos asigna la red 2001:1291:02EB::/48, donde
tenemos 16 bits extras para usar con Subnet ID.
Descomprimiendo: 2001:1291:02EB:XXXX::/48.
Esas 4 cifras hexadecimales (16 bits) nos da 65536 posibilidades
para definir subredes. Al igual que en IPv4, variando la mascara
se subnetea.

2001:1291:02EB:0000::/64 (primer subred)

2001:1291:02EB:0001::/64 (segunda subred)
2001:1291:02EB:0002::/64 (tercer subred)
2001:1291:02EB:0003::/64 (cuarto subred)
2014 Prozcenter

51

Subnetting
Otro ejemplo:

2001:1291:02EB:0000::/63 (primer subred)

2001:1291:02EB:0002::/63 (segunda subred)
2001:1291:02EB:0004::/63 (tercer subred)
2001:1291:02EB:0006::/63 (cuarto subred)
Ms ejemplos:

2001:1291:02EB:0000::/62 (primer subred)

2001:1291:02EB:0004::/62 (segunda subred)
2001:1291:02EB:0008::/62 (tercer subred)
2001:1291:02EB:000C::/62 (cuarto subred)
2014 Prozcenter

52

Dudas?

2014 Prozcenter

53

Module 3
Mecanismos IPv6

2014 Prozcenter

54

ICMPv6
Es una nueva versin del ICMP que soporta IPv6.
Provee lo siguiente:
Diagnostico de red
- Echo Request / Echo Reply (ping y traceroute)

Mensajes de error
- Destination unreachable / Time exceeded

Descubrimiento de MTU (MTU Discovery)

- Lo hace a traves de unos mensaje de eror denominados
"Packet too big" (paquete muy grande).
2014 Prozcenter

55

ICMPv6
Tener en cuenta que al
Hacer ping a una direccin
link-local se deber
especificar la interfaz.
Esto se debe a que todas
las interfaces estan
conectadas a la red FE80::/10.

2014 Prozcenter

56

ICMPv6 MTU Path Discovery

La fragmentacin de un paquete IPv6 es slo permitida en
los equipos, los routers ya no tienen esa funcin.
Entonces los host realizan lo que se conoce como MTU
Path Discovery, el cual funciona leyendo los mensajes de
error de ICMPv6, particularmente el mensaje "Packet too
big".
Bsicamente los equipos intentan comunicarse y slo
ajustan su MTU si reciben un mensaje de error ICMP.
El MTU elegido en principio, es el de la interfaz de red del
equipo que inicia la comunicacin.

2014 Prozcenter

57

ICMPv6 MTU Path Discovery

2014 Prozcenter

58

A
M E
TE LAV
C

Neighbor Discovery (ND)

ND es el remplazo directo de ARP, aunque trae
nuevas funciones.
Provee:
1234-

Resolucin de direccines de capa 2.

Deteccin de direccin duplicada.
Autoconfiguracin de direccin IP.
Descubrimiento de routers.

2014 Prozcenter

59

Neighbor Discovery (ND)

Mensajes ND:
NS - Neighbor Solicitation (solicitud de vecino)
NA - Neighbor Advertisement (publicacin de vecino)
RS - Router Solicitation (solicitud de router)
RA - Router Advertisment (publicacin de router)

2014 Prozcenter

60

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2
Se hace con dos mensajes ICMPv6: NS (similar al ARP
Request) y NA (similar al ARP Reply).
En particular el mensaje NS se envia a una direccin
multicast especial, llamada "solicited-node" o "nodo
solicitado".
El formato de esta direccin especial es:
FF02::1:FFxx:xxxx, donde xx:xxxx son los ltimos
24 bits de la direccin IP del nodo buscado.

2014 Prozcenter

61

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2
Por ejemplo, si un equipo necesita la MAC de
otro equipo con IP 2800:1::500:1AB:CDEF, la IP
multicast resultante donde se enviaria el NS seria:

FF02::1:FFAB:CDEF
(Explicacin: porque se toman slo los ltimos 24 bits,
en este ejemplo: 2800:1::500:1AB:CDEF).
2014 Prozcenter

62

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2
NS adems tiene un campo interno llamado
"target address" que contiene tiene la IP
buscada de forma completa.
NA es enviado en forma unicast al equipo que
realizo la consulta NS.

2014 Prozcenter

63

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2 (ejemplo)

2014 Prozcenter

64

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2 (ejemplo)
Nodo A quiere enviar datos a Nodo B, entonces envia un
NS a la direccin multicast FF02::1:FFAA:BBBB.
Este mensaje NS incluye el target address (direccin
completa de Nodo B) para evitar conflictos.
Nodo B y Nodo C escuchan y procesan el mensaje
enviado a FF02::1:FFAA:BBBB (porque los ltimos 24
bits de su IP coincide).
Pero slo Nodo B responde con un mensaje NA,
porque Nodo C lee el campo target address y se da
cuenta que el mensaje es para otro nodo.
2014 Prozcenter

65

Neighbor Discovery (ND)

1- Resolucin de direccines de capa 2
Para ver la tabla de vecinos, que es similar a la tabla ARP,
se usa el comando ipv6 neighbor print. No confundir
esta tabla con ip neighbor, son dos cosas distintas!

2014 Prozcenter

66

Neighbor Discovery (ND)

2- Deteccin de direccin duplicada - DAD
Se realiza con mensajes NS.
Si un nodo quiere saber si cierta direccin se est
utilizando en el enlace, transmitir un mensaje NS
pidiendo la direccin en cuestin.
Si no hay respuesta (mensaje NA), entonces la direccin
se puede utilizar.
Si hay una respuesta, esa direccin no ser utilizada por
el dispositivo.

2014 Prozcenter

67

Configuracin de direcciones IPv6

Existen tres mtodos:
Asignacin de direccin esttica
Configuracin manual.

Autonconfiguracin sin estado (Stateless)

Usando mensajes ND y DAD (RS / RA / NS / NA).

Autonconfiguracin con servidor (Stateful)

Usando DHCPv6.
2014 Prozcenter

68

A
M E
TE LAV
C

Configuracin de direcciones IPv6

/ipv6 address add address=prefix eui-64=yes

Con este comando se construye la direccin completa a partir de un prefijo y la

direccin MAC de la interfaz.

2014 Prozcenter

69

A
M E
TE LAV
C

Autoconfiguracin sin estado

Se realiza utilizando mensajes ND, precisamente RS

y RA.
Los routers publican periodicamente o mediante
una solicitud el prefijo /64 de la interfaz
correspondiente. Esta publicacin se hace con el
mensaje RA.
De modo que los dispositivos que se conecten con
ese router pueden configurarse slo una IPv6 y
dems parmetros.
2014 Prozcenter

70

A
M E
TE LAV
C

Autoconfiguracin sin estado

/ipv6 address add address=prefix advertise=yes

Con este comando se habilita la autoconfiguracin sin estado de los

dispositivos conectados a la interfaz. Slo se puede utilizar con prefijos / 64.

2014 Prozcenter

71

A
M E
TE LAV
C

Autoconfiguracin sin estado

Ejemplo:

Un dispositivo enva un mensaje de RS, routers en el enlace

responden con un mensaje RA indicando el prefijo / 64.
Si hay ms de un router, el dispositivo que solicita toma
todos los anuncios que recibe.
El dispositivo solicitante usa su identificador EUI-64 para
completar su direccin.
Antes de finalizar la configuracin de la direccin, el
dispositivo solicitante llevar a cabo un DAD.
Si DAD indica que la direccin es nica, entonces el
dispositivo se configura y utiliza esa direccin.
2014 Prozcenter

72

Autoconfiguration con servidor

Puede usar DHCPv6 para asignar direcciones IP a los
hosts de forma "stateful".
Por ahora, RouterOS soporta servidor DHCP-PD.
DHCP-PD es un servidor que asigna prefijos a
clientes DHCPv6.
Estos clientes pueden utilizar el prefijo adquirido
desde el servidor DHCP-PD, usndolo como un Pool
vinculado a los servicios de PPP (como PPPoE).
2014 Prozcenter

73

Dudas?

2014 Prozcenter

74

Module 4
Routing v6

2014 Prozcenter

75

Ruteo esttico
Usa las mismas reglas que IPv4.
Algoritmo de seleccin de ruta.
El prefijo ms especifico es el utilizado primero.
Distancia administrativa.
Tipo de rutas: A, S, D, C, b, o, r.
La herramienta Check Gateway continua
existiendo pero slo comprueba por ICMP.

2014 Prozcenter

76

Ruteo esttico
Ejemplo de configuracin de un default gateway:

Si el gateway de cualquier ruta

es una IP tipo link-local, hay que
usar el identificador %interface.

2014 Prozcenter

77

Ruteo dinmico
El ruteo dinmico IPv6 se puede realizar con los
siguiente protocolos:
RIPng
OSPFv3
BGP4
Si bien no hay grandes cambios, es conveniente
considerar algunas modificaciones hechas en estos
protocolos.
2014 Prozcenter

78

OSPFv3
OSPFv3 utiliza casi los mismos mecanismos que
OSPFv2, pero se debe considerar como un nuevo
protocolo.
Mejoras importantes de OSPFv3:
Cabecera de protocolo es ms simple.
Retira la autenticacin, delegando esa responsabilidad a
la capa 3 (IPv6 con IPSec).
El procesamiento interno del protocolo se realiza por
enlace (interfaz) en vez de por subred.
2014 Prozcenter

79

OSPFv3
Una configuracin sencilla de un slo area requiere:
1) Configurar router-id.
2) Agregar interfaces indicando el area .
3) Opciones de distribucin (opcional).

2014 Prozcenter

80

BGP4
Para configurar un par de peers BGP se requiere:
1) Configurar router-id.
2) Agregar al menos un peer, especificando IPv6 como
"address family".
3) Prefijos de red a distribuir (opcional).

2014 Prozcenter

81

Dudas?

2014 Prozcenter

82

Module 5
Firewall v6

2014 Prozcenter

83

Firewall v6
No hay ms NAT!, ergo la solapa NAT y Service Ports
desaparece.
Filter y Mangle se conservan con sus mismos
principios de funcionamiento.
Hay soporte para listas de direcciones (Address List).
Connection Traking se mantiene sin cambios.
Por ahora no hay soporte para Layer 7.

2014 Prozcenter

84

Firewall v6 - Filter
Protejer el router o los dispositivos asociados de
accesos no autorizados.
Ejemplo a continuacin:
Permitir slo acceso WinBOX, ICMP y conexiones
establecidas al router desde la WAN.
Permitir conectividad TCP 443 a servidor con IP
2001:1291:200:8738:5054:ff:fe90:a5d1, denegar el
resto.

2014 Prozcenter

85

Firewall v6 - Filter
/ipv6 firewall filter
add
add
add
add

action=accept chain=input protocol=icmpv6

action=accept chain=input dst-port=8291 protocol=tcp
action=accept chain=input connection-state=established
action=drop chain=input

/ipv6 firewall filter

add action=accept chain=forward dst-port=443 protocol=tcp
dst-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128
add action=drop chain=forward

2014 Prozcenter

86

Firewall v6 - Mangle
Permite identificar y marcar conexiones o paquetes
para su posterior procesamiento en Filter o en
Queues (Qos).
Ejemplo a continuacin:
Marcar cualquier paquete originado en el servidor
2001:1291:200:8738:5054:ff:fe90:a5d1.

2014 Prozcenter

87

Firewall v6 - Mangle IPv6

/ipv6 firewall mangle
add action=mark-connection chain=forward \
connection-mark=no-mark
new-connection-mark=conn_servidorv6 passthrough=no
src-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128
add action=mark-packet chain=forward \
connection-mark=conn_servidorv6 \
new-packet-mark=mp_servidorv6 passthrough=no

2014 Prozcenter

88

Dudas?

2014 Prozcenter

89

Module 6
Resumen final

2014 Prozcenter

90

IPv6 hoy

2014 Prozcenter

91

Para arrancar con IPv6

Tres opciones:
Contratar conexin a un ISP IPv6
Configurar un tunel IPv6
(con un "tunnel broker")

Hacer tu propia red privada IPv6

(con IPs "Unique Local" o "Link Local")

2014 Prozcenter

92

Para arrancar con IPv6

Mas sitios:
http://wiki.mikrotik.com/wiki/Manual:IPv6 (manual)
https://www.sixxs.net (tunnel broker)
https://tunnelbroker.net (tunnel broker)
http://portalipv6.lacnic.net (portal IPv6 de LACNIC)
http://www.subnetonline.com/pages/ipv6-network-tools.php
(herramientas IPv6)
http://www.worldipv6launch.org
(portal del da de lanzamiento de IPv6, que fue el 06/06/2012)

2014 Prozcenter

93

Muchas gracias!

/company/prozcenter

/prozcenter

2014 Prozcenter

/prozcenter

94