Вибір роутера

[Alexsandr]

Типова відповідь. Я не розумію що таке IPv6 тому його потрібно вимкнути.
Тобто я налаштував дуал стек (одночасно працює IPv4 та IPv6) а тепер чомусь повинен вимкнути

Просто работе не проблема. проблемно все это разрулить правилами, добавить внутреннюю сеть, что бы не бегало все на внешних айпи и не зависеть от провайдера, никто не обещал постоянный айпи . Проблем хватит.

Ну там інша логіка яки підмережи якщо усі пристрої мають публічні адреси?
Вам дають для вашою мережи більш адрес ніж існує адрес IPv4, а ви кажите замало не можу створити окрему мережу

А если провайдер поменяет айпишник? Как показать устройству а что нужно связать с устройсвом б? У них имена с завода идентичны айпи 4 прекрасно решает задачей адреса в сети, а переменный ip6? Он не зря так долго захватывает место под солнцем. То, что было костылем, типа NAT вдруг стало полезной вещью. Какая никакая, но защита от прямого подключения к уязвимостям устройств, своя замкнутая подсетка. закрытая по любому. ipv6 совсем другой подход.

[Scoffer]

ipv6 совсем другой подход.

Дурний підхід у в6, явно видно що спеку писали якісь "прохвессори", котрі ні дня не бували за межами свого масачусетського технологічного і знати не знають що людям ІР роздає провайдер, і шо він може бути не один, а не універ вимучує напряму у ICANN /24 чи типу того назавжди, як це у них було з мільйонами застовблених в4.

[Tesseract]

Ну там інша логіка яки підмережи якщо усі пристрої мають публічні адреси?
Вам дають для вашою мережи більш адрес ніж існує адрес IPv4, а ви кажите замало не можу створити окрему мережу

По стандарту для розбиття на підмережі використовуються виключно перші 64 біти адреси. Якщо усі вони зайняті провайдером, то розбити на підмережі буде неможливо.

наверно, надо провайдера просить делегировать префикс /48

Просив хоча б 60 біт, сказали що вони так не вміють. Отакі реалії IPv6 у Львові, принаймні у провайдера Астра.

[BorisBrejcha]

]
Якого саме префікса, якщо у мене їх три від різних провайдерів до того ж динамічні? Жоден провайдер не дає в6 статику. Поточного? Це чудово, але тоді префікс зміниться при перемиканні в тому числі для локалки, нє? І як я маю потрапляти на клієнта з невідомим префіксом? Чи ти пропонуєш асн мутити? Якось жирнувато як на домашню локалку виходить.

Мой пров дает только ipv4.
Я пользуюсь брокером Hurricane Electric.
Он делегирует мне статический префикс /48

В вашем случае скорее всего можно прикрутить динамические префиксы.
Скажите, какой роутер. И как провайдеры вам делегируют.

спойлер

На MikroTik при двух провайдерах с динамическим IPv6 обычно используют **DHCPv6‑PD (Prefix Delegation)** от каждого ISP и дальше **SLAAC / RA‑адвертайзинг** или **DHCPv6‑сервер** во внутреннюю сеть. [intouch.net](http://intouch.net.ua/post/nastrojka-ipv6-na-mikrotik/)

Ниже — упрощённая схема, работающая с двумя провайдерами.

***

### 1. Включить IPv6 и проверить интерфейсы

Убедитесь, что пакет `ipv6` установлен и включён в `System → Packages`. [triolan](https://triolan.net/wiki/knowledgebase.php?article=22)
Проверьте, что WAN‑интерфейсы (или PPPoE‑клиенты) ведут к провайдерам и получают IPv6‑адреса.

***

### 2. Получить префиксы от провайдеров (DHCPv6‑PD)

Для каждого провайдера настраивается **IPv6 DHCP Client** с делегацией префикса:

```text
IPv6 → DHCP Client → Add
Interface: isp1_wan_interface
Use PD: yes
Use DUID: yes
Add Default Route: yes
Pool Name: isp1-pool
Pool Prefix Length: 64 (или 56/60, по договору)
```

Аналогично для второго провайдера:

```text
IPv6 → DHCP Client → Add
Interface: isp2_wan_interface
Use PD: yes
Pool Name: isp2-pool
Pool Prefix Length: 64
```

MikroTik при получении префиксов автоматически создаёт пулы и может их использовать. [zametkit.blogspot](https://zametkit.blogspot.com/2014/04/i ... lient.html)

***

### 3. Назначить IPv6‑адрес на LAN‑интерфейс

Для каждого пула (или одного выбранного) задайте адрес на LAN‑интерфейсе:

```text
IPv6 → Addresses → Add
From Pool: isp1-pool
Interface: bridge-local
Advertise: yes
```

Также можно использовать отдельный префикс, например:

```text
IPv6 → Addresses → Add
Address: 2001:db8:1:1::1/64
Interface: bridge-local
Advertise: yes
```

Флаг `Advertise` включает RA‑адвертайзинг, чтобы клиенты получали адреса по SLAAC. [forummikrotik](https://forummikrotik.ru/viewtopic.php?t=12559)

***

### 4. Назначить маршруты по умолчанию (default‑route)

Для каждого провайдера добавьте:

```text
IPv6 → Routes → Add
Dst. Address: ::/0
Gateway: auto|adres шлюза от провайдера
Distance: 1 (основной) или 10 (резерв)
```

Если нужен баланс/резерв, используйте **routing‑mark** + **routing‑tables** (аналогично IPv4‑балансировке). [technotrade.com](https://www.technotrade.com.ua/Articles ... -06-19.php)

***

### 5. Раздача IPv6 клиентам

Для «чистого» SLAAC‑подхода:

- Включите RA‑адвертайзинг на LAN‑интерфейсе (`Interface → bridge-local → IPv6 ND → Advertise=yes`). [qna.habr](https://qna.habr.com/q/912435)
- Клиенты получат адреса по SLAAC.

Если нужен DHCPv6 (например, с резервацией):

```text
IPv6 → DHCP Server → Add
Interface: bridge-local
Address Pool: my-lan6-pool (префикс из isp1‑пула)
DUID: yes
```

Тогда клиенты получают адреса через DHCPv6, а не только SLAAC. [reddit](https://www.reddit.com/r/mikrotik/comme ... r_to_hand/)

***

### 6. Как быть с двумя провайдерами

Если:

- провайдеры дают **/64**, то обычно берётся **один пул** (основной) для LAN‑сети, а второй — резервный;
- провайдеры дают **/56 или /48**, можно поделить на подсети (например, `isp1‑pool /64` для LAN, `isp2‑pool /64` на отдельную VLAN‑сеть). [mikrotik](https://mikrotik.moscow/blog/sovety-pok ... vayderami/)

***.

[Васильович]

https://mikrotik.moscow

Хоч би дивився, що з ChatGPT копієш

[BorisBrejcha]

Хоч би дивився, що з ChatGPT копієш

а я его просил не искать на ".ру"

[Alexsandr]

И как мне принтер прописать по айпи? Какой порт? А настройках порта он только один по умолчанию. А если усложнить и у меня к микротику еще один микротик прицеплен за впн и там тоже резерв? мне нужно еще внутренние айпи + глобальные + следить что бы никто снаружи не влез. Да, айпи6 много, но наверняка можно найти часть тем или иным способом, хоть через дыры в роутерах и айпи 4. В общем хлопот больше получается, а выхлоп не всегда лучше.

[Scoffer]

Alexsandr
NPTv6 треба мутити, котрий всі страшно не рекомендують і, котрого, до речі, в чистому вигляді немає в тих же мікротах чи інших сохо роутерах, тільки емуляція через NAT66. Я і кажу, зашкварно, перемудрили. Про двох провайдерів взагалі ніхто не думав коли стандарт вигадував.
Тому в6 ніколи не витіснить в4, він тупо не може перекрити його функціонал адекватними зусиллями.

[Tesseract]

BorisBrejcha
Те, що ви написали, можна скоротити до рекомендації використовувати NAT66. Це хороший спосіб якщо є кілька провайдерів, і хочеться мати стабільні адреси незалежно від поточного прова. В усіх інших випадках це не дуже хороший підхід.

[BorisBrejcha]

NAT66 в MikroTik делается через NPTv6 (IPv6 NAT) в цепочках `srcnat` и `dstnat` firewall, при этом для двух провайдеров NAT66 применяется отдельно к каждому WAN‑интерфейсу

спойлер

NAT66 в MikroTik делается через **NPTv6 (IPv6 NAT)** в цепочках `srcnat` и `dstnat` firewall, при этом для двух провайдеров NAT66 применяется **отдельно к каждому WAN‑интерфейсу** или к группе `out-interface-list=WAN`. [mikrotik](https://mikrotik.moscow/blog/nastroyki/nat-v-routeros/)

Ниже — базовый рабочий пример для двух провайдеров.

***

### 1. Условия и выбор префикса

- NAT66 обычно используется, если:
- у тебя есть **свой внутренний IPv6‑префикс** (ULA, например `fd11:22:33::/48`) и ты хочешь отображать его в префиксы, полученные от провайдеров;
- или если нужно скрыть/изменить локальный IPv6‑адрес при выходе на внешность. [forum.mikrotik](https://forum.mikrotik.com/t/ipv6-multi ... isp/163314)
- Для двух провайдеров:
- можно сделать **NAT66 отдельно для каждого WAN‑интерфейса**, или
- использовать `out-interface-list` и одно правило NAT66 на всю группу провайдеров. [triolan](https://triolan.net/wiki/knowledgebase.php?article=24)

***

### 2. Пример настройки NAT66 (основной принцип)

Предположим:

- LAN‑сеть: `fd11:22:33:1::/64`
- Внешние префиксы от провайдеров: `isp1‑prefix::/64`, `isp2‑prefix::/64`.

#### a) Включить NAT66 (NPTv6)

```text
IPv6 → Firewall → NAT
Add
Chain: srcnat
Src. Address: fd11:22:33:1::/64
Out. Interface: ether1 (isp1)
Action: netmap
To Addresses: isp1‑prefix::/64
To Ports: any
```

Аналогично для второго провайдера:

```text
Chain: srcnat
Src. Address: fd11:22:33:1::/64
Out. Interface: ether2 (isp2)
Action: netmap
To Addresses: isp2‑prefix::/64
```

То же самое можно сделать через `out-interface-list` (если оба интерфейса в списке `WAN`). [help.mikrotik](https://help.mikrotik.com/docs/spaces/R ... 211299/NAT)

***

### 3. Обратный NAT66 (dstnat) для входящих соединений

Если нужно пробрасывать IPv6‑сервисы (например, `fd11:22:33:1::100` с портом `22`), добавляешь `dstnat`:

```text
IPv6 → Firewall → NAT
Add
Chain: dstnat
Dst. Address: isp1‑prefix::<any>/128 (или весь /64)
In. Interface: ether1
Dst. Port: 22
Action: dst‑nat
To Addresses: fd11:22:33:1::100
To Ports: 22
```

Для второго провайдера — аналогичное правило на `ether2` и его префикс. [forum.mikrotik](https://forum.mikrotik.com/t/mt-firewal ... ion/180996)

***

### 4. Как это работает с двумя провайдерами

- Клиенты ходят по **ULA‑адресам** (`fd11:22:33:...`) во внутренней сети.
- При выходе через первый провайдер `srcnat` + `netmap` меняет:
- исходный адрес `fd11:22:33:1::xxx` → `isp1‑prefix::xxx`.
- При выходе через второй провайдер — `isp2‑prefix::xxx`.
- Входящие соединения снаружи попадают на внешний префикс и через `dstnat` переадресуются во внутренний адрес. [animmouse](https://www.animmouse.com/p/how-to-nat- ... -mikrotik/)

***

### 5. Важные нюансы

- NAT66 в RouterOS появился **начиная с v7.1**, поэтому убедись, что у тебя **RouterOS v7.1+**. [mikrotik]

- IPv6‑NAT66 обычно делают **из внутреннего ULA→глобальный префикс**, а не просто «маскарад» как в IPv4; маскарад (`masquerade`) в IPv6 есть, но он не так гибок, как `netmap`. [animmouse](https://www.animmouse.com/p/how-to-nat- ... -mikrotik/)
- Если провайдеры дают **/64**, а не /48, NAT66 всё равно возможен, но адреса внутри будут отображаться в один /64, а не гибко переназначаться. [docs.vyos](https://docs.vyos.io/en/latest/configur ... nat66.html)

***

[tablestikus]

Ось І ціну завезли - можна брати

[Scoffer]

BorisBrejcha
Зав'язуй зі своїм нейрослопом. Мікрот не вміє робити NPTv6. Мікрот вміє робити NAT66+ULA але ця зв'язка сама по собі не без приколів. Наприклад таких що це низькоприорітетна мережа і за будь-якої можливості трафік під через в4, і лише якщо не знайде шлях то в6, або такої що префікс прописується статично, а провайдер видає його динамічно, і доведеться писати кілометровий скрипт на відслідковування і зміну префікса в конфігурації. Плюс цей натофаєрвол працює виключно програмно без жодних прискорень і щедро навантажує проца роутера.

Відправлено через 2 хвилини 15 секунд:
І навіть якщо б мікрот вмів робити NPTv6, то провайдери мають якимось там хитровжареним способом надавати мережу, інакше нічого не сходиться. І коли я про це читав, то людь писав що домашні ніфіга не роблять як треба.

Відправлено через 3 хвилини 23 секунди:
І це все на мікроті, котрий начебто непогано себе почуває в якості маршрутизатора. А що робити людям, з, хай простять боги, асусом?

[tablestikus]

Scoffer
Та щось вигадають в часи коли прови це будуть масово впроваджувати, поки що це просто забавки.

[Scoffer]

tablestikus
Вже вигадали, подивись на азіатів: один мобільний провайдер, всі пристрої після роутера строго дупою в інтернет, від компухтера і телека до пилосмокта і кавоварки. Думаєш чого у них все через мобільні приложухи і немає ніякої локальної консолі? А нікуди причепити її ту консоль простими методами не викликаючи стадо мережевих адмінів. Отак і живуть.

[artko]

Вже вигадали, подивись на азіатів: один мобільний провайдер, всі пристрої після роутера строго дупою в інтернет, від компухтера і телека до пилосмокта і кавоварки.

ну не знаю.. вчора налаштовував собі ipv6 крізь vps, на всяк форвард на роутері вимкнув зовні.. а раптом злий хакер влізе )

[BorisBrejcha]

І навіть якщо б мікрот вмів робити NPTv6, то провайдери мають якимось там хитровжареним способом надавати мережу, інакше нічого не сходиться. І коли я про це читав, то людь писав що домашні ніфіга не роблять як треба.
І це все на мікроті, котрий начебто непогано себе почуває в якості маршрутизатора. А що робити людям, з, хай простять боги, асусом?

Так как вы там разрулили три ваших ipv6 провайдера? Очень интересно.

RouterOS: Maintain NPTv6 from dynamic DHCPv6 delegated prefix
https://gist.github.com/Kentzo/51424788 ... f897103683

[Scoffer]

BorisBrejcha
Я вже написав як: вимкнув до біса в6 як такий і не страждаю фігнею. Грамотно розрулити мультиван на в6 моїх знань явно не вистачає, вистачає на в4. Не грамотно мене не влаштовує. Найближчі років 20 той в4 нікуди не дінеться, а там може щось нове, менш зашкварне вигадають.

[LESHIY_ODESSA]

Ось І ціну завезли - можна брати

Проблема только одна. Как лепить повербанк/аккумуляторы — 24V 1.5A. С 12 вольтами уже всё налаженно, а тут еще сотку баксов вкладывать.

https://mikrotik.com/product/hap_be3_media

[BorisBrejcha]

Проблема только одна. Как лепить повербанк/аккумуляторы — 24V 1.5A. С 12 вольтами уже всё налаженно, а тут еще сотку баксов вкладывать.

я свой CCR запитываю через "повышайку" 12->24

[artko]

Ось І ціну завезли - можна брати

Проблема только одна. Как лепить повербанк/аккумуляторы — 24V 1.5A. С 12 вольтами уже всё налаженно, а тут еще сотку баксов вкладывать.

https://mikrotik.com/product/hap_be3_media

тестувати треба. с великими шансами він запрацює і від 12в