社区 › 电脑讨论(新) › RouterOS v7 不支持PPPoEv6?（破案了）

jresins 发表于 2025-2-24 23:51

RouterOS v7 不支持PPPoEv6?（破案了）

本帖最后由 jresins 于 2025-2-27 22:55 编辑

组网：光猫桥接，RB5009拨号
背景：家里移动宽带年后突然拿不到IPv6地址，开始以为是封了我的v6地址，用 运营商送的路由器 和电脑拨号分别测了下，都能顺利拿到IPv6地址（也找过装维查询核实过，确实不是封禁导致的）。运营商送的路由器能拿到IPv6地址的前提是将WAN IPv6模式 改为PPPoEv6模式，默认的DHCP模式还是拿不到地址。

后面打算抓个报对比下 routeros的拨号流程和运营商送的路由器的拨号流程有啥区别。

不知有没有朋友遇到我一样的问题？是不是RouterOS v7不支持PPPoEv6导致的？

~~~~~~~~~~~~~~
以下补充抓包数据，供大家参考：
事实证明，BRAS是下发了/60的PD前缀的，但RB5009似乎无法感知到，导致一直无法拿到地址前缀，并循环发起Solicit请求

BRAS发出Router Advertisement
Frame 79: 126 bytes on wire (1008 bits), 126 bytes captured (1008 bits)
Ethernet II, Src: HuaweiTechno_3d:3f:13 (98:3f:60:3d:3f:13), Dst: Routerboardc_44:0c:25 (dc:2c:6e:44:0c:25)
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol Version 6, Src: fe80::a66d:a4ff:feaf:a26d, Dst: ff02::1
Internet Control Message Protocol v6
    Type: Router Advertisement (134)
    Code: 0
    Checksum: 0xb8d1
   
    Cur hop limit: 0
    Flags: 0x40, Other configuration, Prf (Default Router Preference): Medium
    Router lifetime (s): 1800
    Reachable time (ms): 0
    Retrans timer (ms): 0
    ICMPv6 Option (Source link-layer address : a4:6d:a4:af:a2:6d)
    ICMPv6 Option (MTU : 1492)
    ICMPv6 Option (Prefix information : 2409:8a20:803:4683::/64)


RB5009请求PD前缀
Frame 80: 114 bytes on wire (912 bits), 114 bytes captured (912 bits)
Ethernet II, Src: Routerboardc_44:0c:25 (dc:2c:6e:44:0c:25), Dst: HuaweiTechno_3d:3f:13 (98:3f:60:3d:3f:13)
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol Version 6, Src: fe80::927f:84e8:0:c, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546, Dst Port: 547
DHCPv6
    Message type: Solicit (1)
    Transaction ID: 0x60a57f
    Client Identifier
      Option: Client Identifier (1)
      Length: 10
      DUID: 00030001dc2c6e440c20
      DUID Type: link-layer address (3)
      Hardware type: Ethernet (1)
      Link-layer address: dc:2c:6e:44:0c:20
      Link-layer address (Ethernet): Routerboardc_44:0c:20 (dc:2c:6e:44:0c:20)
    Elapsed time
      Option: Elapsed time (8)
      Length: 2
      Elapsed time: 0ms
    Rapid Commit
      Option: Rapid Commit (14)
      Length: 0
    Identity Association for Prefix Delegation
      Option: Identity Association for Prefix Delegation (25)
      Length: 12
      IAID: 0000000c
      T1: 0
      T2: 0


BRAS Advertise PD前缀
Frame 81: 205 bytes on wire (1640 bits), 205 bytes captured (1640 bits)
Ethernet II, Src: HuaweiTechno_3d:3f:13 (98:3f:60:3d:3f:13), Dst: Routerboardc_44:0c:25 (dc:2c:6e:44:0c:25)
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol Version 6, Src: 0:80fe::a66d:a4ff:feaf:a26d, Dst: fe80::927f:84e8:0:c
User Datagram Protocol, Src Port: 547, Dst Port: 546
DHCPv6
    Message type: Advertise (2)
    Transaction ID: 0x60a57f
    Client Identifier
      Option: Client Identifier (1)
      Length: 10
      DUID: 00030001dc2c6e440c20
      DUID Type: link-layer address (3)
      Hardware type: Ethernet (1)
      Link-layer address: dc:2c:6e:44:0c:20
      Link-layer address (Ethernet): Routerboardc_44:0c:20 (dc:2c:6e:44:0c:20)
    Server Identifier
      Option: Server Identifier (2)
      Length: 14
      DUID: 0001000663d3ebaa4846fbf59e32
      DUID Type: link-layer address plus time (1)
      Hardware type: IEEE 802 (6)
      DUID Time: Jan 26, 2053 23:20:10.000000000 中国标准时间
      Link-layer address: 48:46:fb:f5:9e:32
      Link-layer address (Ethernet): HuaweiTechno_f5:9e:32 (48:46:fb:f5:9e:32)
    Preference
      Option: Preference (7)
      Length: 1
      Pref-value: 255
    Identity Association for Prefix Delegation
      Option: Identity Association for Prefix Delegation (25)
      Length: 54
      IAID: 0000000c
      T1: 86400
      T2: 138240
      IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Preferred lifetime: 172800
            Valid lifetime: 259200
            Prefix length: 60
            Prefix address: 2409:8a20:834:91c0::
      Status code
            Option: Status code (13)
            Length: 9
            Status Code: Success (0)
            Status Message: Success
    DNS recursive name server
      Option: DNS recursive name server (23)
      Length: 32
         1 DNS server address: 2409:8020:2000::8
         2 DNS server address: 2409:8020:2000::88

~~~~~~~~~~~~~~~~~~~~~~
2025年2月26日更新：找到原因了，BRAS下发的DHCPv6 Advertise 报文源地址错误，导致RouterOS IPv6防火墙将报文丢弃。注意下图中标红的源地址！BRAS正确的源地址应该是fe80::a66d:a4ff:feaf:a26d


下图是RouterOS IPv6防火墙的默认过滤策略，只有源地址在FE80::/10范围的DHCPv6报文会被允许进站


用移动送的路由器可以拿到IPv6地址 ，也说明了移动送的路由器对DHCPv6报文没有严格的过滤，存在一定隐患。

swordkj 发表于 2025-2-25 00:14

之前用5009是可以拿到v6地址吗?

jresins 发表于 2025-2-25 00:17

swordkj 发表于 2025-2-25 00:14
之前用5009是可以拿到v6地址吗?

家里两条宽带，一条电信，一条移动。春节前都可以拿到v6地址，春节后移动线路就拿不到了，电信还可以拿到。

lee_jiunn 发表于 2025-2-25 05:45

怎么会拿不到？你装的对吗，我正在用。

hawie 发表于 2025-2-25 09:00

5009，电信线路，表示没有遇到问题；rb750gr3，移动线路，节后看过还是dhcp取到了两段ipv6公网地址，给两ipv4内网段，应该也没有变。坐标深圳。

sepuzhu 发表于 2025-2-25 09:02

多少有点问题，我是pve ros，用了一段时间好好的，年前某一天突然ipv6就时好时坏，换op就没得事儿，感觉ros的v6多少有点bug

gyc 发表于 2025-2-25 09:43

请教IPv6 你们是怎么做安全保护的？

lsy174915864 发表于 2025-2-25 09:57

虚拟ROS7.15.2路过，ipv6功能正常，自查。

再也不对喷 发表于 2025-2-25 10:01

更新了吗，稳定版更新beta试试，ros v6 bug 一直在修

lsy174915864 发表于 2025-2-25 10:01

gyc 发表于 2025-2-25 09:43
请教IPv6 你们是怎么做安全保护的？

我选择NAT66，因为我有公网v4，不依靠v6远程访问，禁止掉所有远程访问路由器的端口之后相当安逸，没有人能直接攻击到我的任何设备，同时不会影响PT的ipv6上传下载功能，和ipv4一样，对我来说是最优解。

zerogazer 发表于 2025-2-25 10:07

升级到7.18试试，已经加上了允许国内特殊DUID的选项了
https://forum.mikrotik.com/viewtopic.php?t=215048

*) dhcpv6-client - added "validate-server-duid" option;
*) dhcpv6-client - allow specifying custom DUID;

kerafyrm 发表于 2025-2-25 10:15

学习一下，v6好像不能完美适配

bchb 发表于 2025-2-25 10:39

11楼正解。
中兴 vbras duid 实现不规范，导致不能获取v6地址。

jresins 发表于 2025-2-25 13:09

lee_jiunn 发表于 2025-2-25 05:45
怎么会拿不到？你装的对吗，我正在用。

同样的配置用了两年了，突然今年春节后就拿不到v6地址了

jresins 发表于 2025-2-25 13:10

sepuzhu 发表于 2025-2-25 09:02
多少有点问题，我是pve ros，用了一段时间好好的，年前某一天突然ipv6就时好时坏，换op就没得事儿，感觉ros ...

我感觉运营商在改pppoev6认证，原来v6可能没有单独的认证

jresins 发表于 2025-2-25 13:12

再也不对喷 发表于 2025-2-25 10:01
更新了吗，稳定版更新beta试试，ros v6 bug 一直在修

我曾怀疑是版本的问题，所以7.18，7.17.2，7.17.1，7.17都试了一遍，还是不行。年前用7.17.1是好的

jresins 发表于 2025-2-25 13:13

zerogazer 发表于 2025-2-25 10:07
升级到7.18试试，已经加上了允许国内特殊DUID的选项了
https://forum.mikrotik.com/viewtopic.php?t=215048 ...

已经升了，问题依旧。坐标南京移动

jresins 发表于 2025-2-25 13:14

bchb 发表于 2025-2-25 10:39
11楼正解。
中兴 vbras duid 实现不规范，导致不能获取v6地址。

routeros pppoe status页面显示bras是华为的ME60

0010122149 发表于 2025-2-25 13:15

5009接南京电信，IPV6一直没问题

bchb 发表于 2025-2-25 13:44

本帖最后由 bchb 于 2025-2-25 14:25 编辑

jresins 发表于 2025-2-25 13:14
routeros pppoe status页面显示bras是华为的ME60

华为没这问题啊。
ros18里要把v6-client 里的 "validate-server-duid" 取消掉。
你可以打开debug看看，logging加一个dhcp rule就能在log里看到啥原因了。



我可能有些武断了，应该不是实现，而是施工问题。设备默认是通过mac地址生成duid，也支持自定义。

jresins 发表于 2025-2-25 14:04

0010122149 发表于 2025-2-25 13:15
5009接南京电信，IPV6一直没问题

我是电信，移动双线。我的电信也好好的、没问题

leviz 发表于 2025-2-25 14:42

lsy174915864 发表于 2025-2-25 10:01
我选择NAT66，因为我有公网v4，不依靠v6远程访问，禁止掉所有远程访问路由器的端口之后相当安逸，没有人 ...

怎么做的？
我也是因为安全原因，平时都把ipv6关掉的

bchb 发表于 2025-2-25 14:54

leviz 发表于 2025-2-25 14:42
怎么做的？
我也是因为安全原因，平时都把ipv6关掉的

v6不要用nat！也不需要担心安全问题！
v6设备默认是禁止入站的，只要不乱改就没问题。

lsy174915864 发表于 2025-2-25 16:23

leviz 发表于 2025-2-25 14:42
怎么做的？
我也是因为安全原因，平时都把ipv6关掉的

适合我未必适合你，对路由器也有要求，很多路由器都不支持NAT66，而且有一部分人不认可这个技术，比如23楼。

不过我用着还是很舒服的，毕竟安全的很。

yangxin51357 发表于 2025-2-25 17:13

gyc 发表于 2025-2-25 09:43
请教IPv6 你们是怎么做安全保护的？

V6 V4 隔离。。V6只能手机wifi

yangxin51357 发表于 2025-2-25 17:15

lsy174915864 发表于 2025-2-25 10:01
我选择NAT66，因为我有公网v4，不依靠v6远程访问，禁止掉所有远程访问路由器的端口之后相当安逸，没有人 ...

求教程，我是v6隔离。测试过v6穿透太危险

enpingking 发表于 2025-2-25 17:15

[吐槽]今天起来，发现RB5009直接不亮了，恢复也恢复不了，重启一分钟，所有网口直接没熄灯

jresins 发表于 2025-2-25 17:46

bchb 发表于 2025-2-25 13:44
ros18里要把v6-client 里的 "validate-server-duid" 取消掉。
你可以打开debug看看，logging加一个dhcp...

晚上回去试下

jresins 发表于 2025-2-25 17:47

enpingking 发表于 2025-2-25 17:15
今天起来，发现RB5009直接不亮了，恢复也恢复不了，重启一分钟，所有网口直接没熄灯 ...

返修[怪脸]

lsy174915864 发表于 2025-2-25 18:45

yangxin51357 发表于 2025-2-25 17:15
求教程，我是v6隔离。测试过v6穿透太危险

Google一下吧，不过网上的ROS NAT66教程多少都有点问题，需要自己去官网wiki学一下，最好去下载一个余松写的书《RouterOS入门到精通》，真没啥作业可以直接抄。

查看完整版本: RouterOS v7 不支持PPPoEv6?（破案了）