Configurar IPV6 en Mikrotik

Mikrotik

‎Si su ISP ofrece IPv6 y tiene enrutador Mikrotik, sería una pena no hacer uso de él. Mi configuración asume que obtienes el prefijo /64 de tu ISP a través de DHCPv6. También se supone que está vacía la configuración de IPv6.‎ Aqui tines como Configurar IPV6 en Mikrotik

‎Primero es buena idea deshabilitar la interfaz de descubrimiento de routers vecinos predeterminada. Lanzar anuncios de enrutadores IPv6 en todas las caras no es necesariamente una buena idea:‎

/ipv6 nd
set [ find default=yes ] disabled=yes

‎El siguiente paso es configurar el cliente DHCP. Dedes unos segundos, debería ver el prefijo que se está asignando:‎

/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=general-pool6 request=prefix
:delay 5s
print
Flags: D - dynamic, X - disabled, I - invalid
 #    INTERFACE             STATUS        REQUEST             PREFIX
 0    ether1                bound         prefix              2601:600:9780:ee2c::/64, 3d14h41m41s

‎En este momento asignamos la dirección que termina con :‎::1 al propio router

/ipv6 address
add address=::1 from-pool=general-pool6 interface=bridge1 advertise=yes

‎Ahora debería ser posible hacer ping a su dirección desde una computadora ‎‎externa‎‎ (en este ejemplo la dirección sería ). Si esto no funciona, verifique si tiene direcciones locales de enlace. Si no hay ninguno presente, reinicie el enrutador y se regenerarán.‎2601:600:9780:ee2c::1

‎Con el router accesible, es hora de delegar el prefijo IPv6 a las máquinas internas también. Para este propósito, configure RA (anuncio del enrutador) sobre el puente. Si bien la configuración de intervalo predeterminada está bien, me gusta hacerlas un poco más cortas (20-60 segundos):‎

/ipv6 nd
add interface=bridge1 ra-interval=20s-60s

‎Y eso es todo. Ahora sus computadoras detrás del enrutador tendrán una ruta IPv6 directa a Internet. ‎‎No‎‎ olvide configurar tanto el ‎‎firewall‎‎ del enrutador como el firewall de los dispositivos individuales. No hay NAT para segurizar su red aquí.‎

‎PD: Aquí está el firewall IPv6 básico que permite todas las conexiones hacia afuera mientras que solo permite el back-in (entradas) establecido:‎

/ipv6 firewall filter
add chain=input action=drop connection-state=invalid comment="Drop (invalid)"
add chain=input action=accept connection-state=established,related comment="Accept (established, related)"
add chain=input action=accept in-interface=ether1 protocol=udp src-port=547 limit=10,20:packet comment="Accept DHCP (10/sec)"
add chain=input action=drop in-interface=ether1 protocol=udp src-port=547 comment="Drop DHCP (>10/sec)"
add chain=input action=accept in-interface=ether1 protocol=icmpv6 limit=10,20:packet comment="Accept external ICMP (10/sec)"
add chain=input action=drop in-interface=ether1 protocol=icmpv6 comment="Drop external ICMP (>10/sec)"
add chain=input action=accept in-interface=!ether1 protocol=icmpv6 comment="Accept internal ICMP"
add chain=input action=drop in-interface=ether1 comment="Drop external"
add chain=input action=reject comment="Reject everything else"
add chain=output action=accept comment="Accept all"
add chain=forward action=drop connection-state=invalid comment="Drop (invalid)"
add chain=forward action=accept connection-state=established,related comment="Accept (established, related)"
add chain=forward action=accept in-interface=ether1 protocol=icmpv6 limit=20,50:packet comment="Accept external ICMP (20/sec)"
add chain=forward action=drop in-interface=ether1 protocol=icmpv6 comment="Drop external ICMP (>20/sec)"
add chain=forward action=accept in-interface=!ether1 comment="Accept internal"
add chain=forward action=accept out-interface=ether1 comment="Accept outgoing"
add chain=forward action=drop in-interface=ether1 comment="Drop external"
add chain=forward action=reject comment="Reject everything else"

Si todo sale bien, deberías tener conectividad IPv6 en toda tu red..