Bagaimana saya bisa menonaktifkan iklan rute tetangga IPv6 otomatis pada router?

8

Saya bekerja untuk ISP yang sedang dalam proses membuat infrastrukturnya siap IPv6. Router inti kami sudah memiliki pengaturan yang berfungsi, tetapi sebagian besar pelanggan fiber kami ada di belakang router yang menjalankan Debian Squeeze.

Mengaktifkan kemampuan IPv6 di linux tidak menjadi masalah, namun, setelah kami menetapkan alamat IPv6 dan rute yang berfungsi ke router linux, ia segera mentransmisikan alamat dan rute kerja ke semua sistem di belakangnya, yang bukan yang kita inginkan.

Rencana kami saat ini melibatkan pengaturan alamat IPv6 secara manual pada semua sistem, tetapi sepertinya saya tidak dapat menemukan saklar atau opsi untuk memberitahu kernel untuk tidak melakukan iklan router.

Ada saran?

debian routing ipv6 Shadur
sumber
1
Anda yakin tidak berlari radvd? Linux dengan sendirinya seharusnya tidak berasal dari iklan router.
Celada
Ya, cukup pasti - kedua router belum menginstal perangkat lunaknya.
Shadur
1
Nah, itu misterius kalau begitu. Sesuatu mengirimkan iklan router tersebut, dan saya cukup yakin itu bukan kernel (kernel tidak menerima iklan router secara mandiri tanpa bantuan dari perangkat lunak userspace, tetapi tidak mengirimkannya sejauh yang saya tahu).
Celada

Jawaban:

2

untuk menonaktifkan penerimaan RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

atau tambahkan sesuatu seperti ini ke / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
h3rrmiller
sumber
Saya masih membutuhkannya untuk melakukan penerusan. Saya hanya perlu berhenti mengirim atau meneruskan iklan router.
Shadur
penerusan = 0 tidak akan menonaktifkan penerusan paket. Pengaturan ipv6 sangat berbelit-belit, sayangnya
h3rrmiller
ini untuk penerimaan RA btw. sepertinya Anda perlu menonaktifkan radvd. lihat di /etc/radvd.conf dan ubah AdvSendAdvert onke AdvSendAdvert offdalam antarmuka yang diinginkan.
h3rrmiller
2

Hampir terdengar seperti Anda menjembatani lapisan 2 antara antarmuka LAN dan WAN. Jika itu masalahnya maka banyak lalu lintas internal pengguna Anda mungkin berakhir pada WAN, dan semua Iklan Router pada WAN (yang dimaksudkan untuk CPE) sebenarnya merupakan jembatan ke LAN.

Jika demikian, maka:

  1. berhenti melakukan penghubung itu, dapat dengan mudah membahayakan keamanan pengguna Anda
  2. gunakan ebtables untuk menyaring antara LAN dan WAN

Saya sangat berharap saya salah di sini ...

Sander Steffann
sumber
Saya cukup yakin saya tidak menjembatani apa pun.
Shadur
Jika Anda tidak menjembatani maka sesuatu di CPE Anda mengirimkan Iklan Router tersebut. Kernel tidak melakukan itu. Biasanya radvdalat yang digunakan untuk mengirim mereka, tetapi mungkin ada beberapa perangkat lunak lain yang melakukannya di komputer Anda.
Sander Steffann
0

Apa yang Anda benar-benar inginkan adalah DHCP-PD (Prefix Delegation). Dengan DHCP-PD, pengaturan IPv6 Anda akan jauh lebih mirip dengan pengaturan IPv4 Anda.

Di IPv4, Anda menggunakan DHCP untuk menetapkan satu alamat IPv4 kepada pelanggan, kemudian pelanggan menggunakan NAT untuk mendistribusikan IP lokal ke jaringannya (biasanya melalui DHCP juga).

Di IPv6, Anda menggunakan DHCP-PD untuk menetapkan / 64 untuk pelanggan, kemudian pelanggan menggunakan router adv. untuk menetapkan alamat dari / 64 ini ke jaringan internal. Ada skrip di sekitar untuk memperbarui konfigurasi radvd setiap kali / 64 Anda menetapkan perubahan.

dr. j.
sumber