Mikrotik ROS路由器 IPv6 设置的踩坑记录

现在宽带运营商已经基本都开通了家庭宽带的IPv6功能，最近因为要做一些IPv6方面的测试工作，先在家里做些准备，把IPv6搞好耍耍。

我家一直是用Mikrotik的ROS路由器，功能虽然强大，但是配置起来比较麻烦。原先配置过一次，不太顺利，成功了一阵然后就不行了，因为没什么用，所以就没再管它。这次准备找下问题根源彻底解决。

因为网上介绍ROS开IPv6的文章也不少，就只简单记录下流程，主要是把需要特别注意的几个点跟大家分享一下。

一、准备工作：

1、 确定光猫设置成网桥模式（路由器使用PPPoE拨号上网就是用的网桥模式），路由模式的根据自己光猫的型号到网上找教程改网桥，或者是找运营商装维工程师改模式。

2、 确定路由器ipv6功能包已启用

3、 确定PPPoE Client使用的Profile打开了IPv6支持

4、 确定IPv6转发已打开

5、 确定IPv6/FireWall过滤规则都未启用（这是个坑）；

6、 确定电脑网络的IPv6协议支持已打开

二、配置过程：

1、 配置IPv6/DHCP Client

2、 配置IPv6的公共DNS服务器，我用的是阿里云DNS

3、 配置内网侧IPv6地址

4、 配置IPv6/ND

5、 配置IPv6/Firewall，放行ICMP进入和转发，开放UDP 546端口（大坑），关闭其它流量进入和转发

6、 电脑网线或WiFi重新连接获取地址，如果网卡状态里出现了非fe80开头的IPv6地址说明IPv6已经开通成功，用ping -6 ipw.cn测试一下

7、 设置电脑IPv4优先；

Windows下默认是IPv6优先，可以使用命令修改优先级：

netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4

效果是设置IPv4的优先级最高，恢复默认可以用 netsh interface ipv6 reset

三、说说几个关键点

1、 IPv6的安全问题

默认状态下，每个IPv6设备都有一个全球唯一的地址且互相可达，这就造成内网设备可以从互联网直接访问，如果不做安全设置的话可能会受到攻击，普通路由器应该会有默认过滤规则保护，ROS需要自己手动添加，我简单设置了5条规则，应该够用了。（wan是自己设置的网口组，包括外网接口和PPPoE拨号网络）

• 0和1号规则是放行ping包，方便测试网络状态；

• 2号规则是打开路由器UDP546端口的input，这个端口是DHCPv6需要的；

• 3和4号规则是屏蔽其它所有外网发起的连接和转发；

2、 UDP 546端口

这个端口的问题是个大坑，需要重点说一下，我原先配置的时候刚开始成功后来又不行了就是因为它，一度怀疑是运营商网络的问题。因为DHCP6获取地址成功后，为了安全我就设置了防火墙过滤规则，当时是没问题的，因为IP已经获取成功了，有效期3天，只要不释放或者是重新拨号就是正常的。但是重启或者重新拨号后就是这样了，状态一直处于searching…

在各种尝试过程中发现关掉防火墙的最终drop规则后居然成功了，那肯定是有什么交互的数据包给扔掉了，但是网上各种IPv6的配置教程都没有提这个问题，也无法确定到底是要放行哪些端口，直到查DHCPv6原理的时候看到这个

https://zhuanlan.zhihu.com/p/140004463

原来DHCPv6在下发地址的时候需要主动连接路由器的UDP 546端口，跟IPv4的DHCP过程不一样，我这是犯了经验主义啊。原因找到了，直接放行问题就解决了。跟大家分享下，注意不要再踩这个坑了。

3、 IPv6优先级

由于目前互联网上的IPv6资源还比较缺乏，而windows默认是IPv6优先，这样可能会造成网络访问变慢，所有最好是改成IPv4优先，平时正常的访问走IPv4，需要专门访问的IPv6网站走v6网络。

Win10下相关设置命令：

查看优先级：netsh interface ipv6 show prefixpolicies

IPv4优先级设为最大：netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4

重置为默认：netsh interface ipv6 reset （我没试过，不知道会不会有其它影响，如果不放心可以用设置命令修改回默认优先级10）

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～