Como posso desativar o anúncio automático de rotas vizinhas IPv6 em um roteador?

8

Eu trabalho para um provedor de serviços de Internet que está no processo de tornar sua infraestrutura pronta para IPv6. Nossos roteadores principais já têm uma configuração funcional, mas uma grande parte de nossos clientes de fibra está atrás de um roteador executando o Debian Squeeze.

Habilitar os recursos IPv6 no linux não foi um problema, no entanto, uma vez que atribuímos um endereço IPv6 e rotas de trabalho ao roteador linux, ele imediatamente transmitiu endereços e rotas de trabalho a todos os sistemas por trás dele, o que não era o que queríamos.

Nosso plano atual envolve definir endereços IPv6 manualmente em todos os sistemas, mas não consigo encontrar a opção ou opção para dizer ao kernel para não executar anúncios de roteador.

Alguma sugestão?

debian routing ipv6 Shadur
fonte
1
Tem certeza de que não está correndo radvd? O Linux por si só não deve originar anúncios de roteador.
Celada
Sim, com certeza - nenhum roteador possui o software instalado.
Shadur
1
Bem, isso é misterioso então. Algo está enviando esses anúncios de roteador, e tenho certeza de que não é o kernel (o kernel aceita anúncios de roteador de forma autônoma, sem qualquer ajuda do software do espaço do usuário, mas não os envia até onde eu sei).
Celada

Respostas:

2

para desativar a aceitação de RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

ou adicione algo assim a / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
h3rrmiller
fonte
Eu ainda preciso fazer o encaminhamento. Eu só preciso parar de enviar ou encaminhar anúncios de roteador.
Shadur
encaminhamento = 0 não desativará o encaminhamento de pacotes. as configurações do ipv6 são muito complicadas, infelizmente
h3rrmiller
isto é para aceitação de RA entre. parece que você precisa desativar o radvd. dê uma olhada no /etc/radvd.conf e mude AdvSendAdvert onpara AdvSendAdvert offna interface desejada.
H3rrmiller
2

Quase parece que você está conectando a camada 2 entre as interfaces LAN e WAN. Se esse for o caso, grande parte do tráfego interno do usuário pode acabar na WAN, e todos os anúncios de roteador na WAN (que são destinados ao CPE) são na verdade pontes para a LAN.

Se for esse o caso, então:

  1. parar de fazer essa ponte, pode comprometer facilmente a segurança do usuário
  2. use ebtables para filtrar entre LAN e WAN

Eu realmente espero estar errado aqui ...

Sander Steffann
fonte
Tenho certeza de que não estou fazendo a ponte de nada.
Shadur
Se você não está fazendo uma ponte, algo no seu CPE está enviando esses anúncios de roteador. O kernel não faz isso. Geralmente radvdé a ferramenta usada para enviá-los, mas talvez haja algum outro software que faça isso na sua caixa.
Sander Steffann
0

O que você provavelmente realmente quer é DHCP-PD (delegação de prefixo). Com o DHCP-PD, sua configuração do IPv6 será muito mais parecida com a sua configuração do IPv4.

No IPv4, você usa o DHCP para atribuir um único endereço IPv4 ao cliente; em seguida, o cliente usa o NAT para distribuir IPs locais à sua rede (geralmente também via DHCP).

No IPv6, você usa o DHCP-PD para atribuir um / 64 ao cliente e, em seguida, o cliente usa o roteador adv. atribuir endereços deste / 64 à sua rede interna. Existem scripts para atualizar a configuração do radvd sempre que o / 64 que você atribuir mudar.

dr. j.
fonte