¿Cómo puedo desactivar el anuncio automático de ruta de vecino IPv6 en un enrutador?

8

Trabajo para un ISP que está en proceso de preparar su infraestructura para IPv6. Nuestros enrutadores principales ya tienen una configuración funcional, pero una gran parte de nuestros clientes de fibra están detrás de un enrutador que ejecuta Debian Squeeze.

Sin embargo, habilitar las capacidades de IPv6 en Linux no fue un problema, una vez que asignamos una dirección IPv6 y rutas de trabajo al enrutador de Linux, inmediatamente transmitió direcciones y rutas de trabajo a todos los sistemas detrás de él, lo que no era lo que queríamos.

Nuestro plan actual implica establecer direcciones IPv6 manualmente en todos los sistemas, pero parece que no puedo encontrar el interruptor u opción para decirle al núcleo que no realice anuncios de enrutador.

¿Alguna sugerencia?

debian routing ipv6 Shadur
fuente
1
¿Estás seguro de que no estás corriendo radvd? Linux por sí mismo no debería estar originando anuncios de enrutadores.
Celada
Sí, bastante seguro: ninguno de los enrutadores tiene el software instalado.
Shadur
1
Bueno, eso es misterioso entonces. Algo está enviando esos anuncios de enrutador, y estoy bastante seguro de que no es el núcleo (el núcleo acepta los anuncios de enrutador de forma autónoma sin la ayuda del software del espacio del usuario, pero no los envía hasta donde yo sé).
Celada

Respuestas:

2

para deshabilitar la aceptación de RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

o agregue algo como esto a / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
h3rrmiller
fuente
Todavía lo necesito para reenviar. Solo necesito que deje de enviar o reenviar anuncios de enrutador.
Shadur
reenvío = 0 no deshabilitará el reenvío de paquetes. la configuración de ipv6 es muy complicada, desafortunadamente
h3rrmiller
esto es por aceptación de RA por cierto. Parece que necesita deshabilitar radvd. eche un vistazo en /etc/radvd.conf y cambie AdvSendAdvert ona AdvSendAdvert offla interfaz deseada.
h3rrmiller
2

Casi suena como si estuvieras conectando la capa 2 entre las interfaces LAN y WAN. Si ese es el caso, gran parte del tráfico interno de su usuario podría terminar en la WAN, y todos los anuncios de enrutador en la WAN (que están destinados al CPE) en realidad son puentes hacia la LAN.

Si este es el caso, entonces:

  1. deje de hacer ese puente, puede comprometer fácilmente la seguridad de su usuario
  2. use ebtables para filtrar entre LAN y WAN

Realmente espero estar equivocado aquí ...

Sander Steffann
fuente
Estoy bastante seguro de que no estoy puenteando nada.
Shadur
Si no está conectando, algo en su CPE está enviando esos anuncios de enrutador. El núcleo no hace eso. Por radvdlo general, es la herramienta utilizada para enviarlos, pero tal vez haya algún otro software que lo haga en su caja.
Sander Steffann
0

Lo que probablemente realmente quiera es DHCP-PD (Delegación de prefijo). Con DHCP-PD, su configuración de IPv6 se parecerá mucho más a su configuración de IPv4.

En IPv4, usa DHCP para asignar una sola dirección IPv4 al cliente, luego el cliente usa NAT para distribuir IP locales a su red (generalmente también a través de DHCP).

En IPv6, usa DHCP-PD para asignar un / 64 al cliente, luego el cliente usa el enrutador adv. para asignar direcciones de este / 64 a su red interna. Existen scripts para actualizar la configuración de radvd cada vez que el / 64 asigna cambios.

Dr. j.
fuente