Brug af Ubiquiti på fiberinternet fra Hiper (+ IPv6 setup)

Ron Brevstgaard
Ron Brevstgaard

Det var egentligt svært at finde en nogenlunde overskrift hertil, som beskrive hvad dette blogindlæg går ud på... Nå, efter skift fra Waoo til HIPER blev det muligt at smide den -crappy- ISP-router helt væk og forhåbentligt aldrig tænke på bridge-mode igen.

Udstyr omtalt / Udstyr brugt:

  • Ubiquiti Cloudkey Gen2 Plus. (Det er lige meget, hvilken controller du benytter dig af). ((Idet jeg har skalsikring ved brug af Ubiquiti G4 sikkerhedskameraer var Plus-udgaven det letteste valg men cloud-hosted er også fin.))
  • Ubiquiti UniFi USG Pro 4 Security Gateway. (Ville dags dato købe en UDM/UDM PRO hvis der skulle købes nyt).
  • Ubiquiti NanoHD´s. (Der kommer snart et alternativ med WiFi6).

Lad os så komme i gang

Det første vi skal, er at sætte vores VLAN ID til 101 som set her: - Dette skal gøres under Networks -> Wan.

OBS: DNS Server behøves ikke at blive udfyldt som her.

Allerede nu skulle du gerne kunne tilgå f.eks. ekstrabladet.dk uden mere opsætning :-). *Husk at du skal direkte i fiberboksen og ej igennem den medsendte router ellers skal du ikke foretage dette skridt.

Så skal vi have gang i IPv6

WAN-instillinger:

Nu hvor vi alligevel har fundet vej til WAN instillingerne på vores controller skal vi under IPV6 udfylde "Connection Type" og "Prefix Delegation Size" således:

Connection Type sættes til -Using DHCPv6- og prefix sættes til -56-.

LAN-indstillinger:

Efterlad alt som det står, medmindre du vil til at køre med en tricky lan-konfiguration og scroll ned til "CONFIGURE IPV6 NETWORK".

  • IPv6 Interface Type:** Prefix Delegation**.
  • IPv6 Prefix Del...: WAN.
  • IPv6 Prefix ID: 48 (andet kan også bruges, f.eks. linknet /64 men giver umiddelbart ingen mening).
  • IPv6 RA: "Enable IPv6 Router Adverstisement".
  • IPv6 RA Priority: "High".
  • Resten skal bare stå som default.
  • Bemærk at jeg har valgt at gøre brug af Google DNS som set i screenshotet. Det behøver du selvfølgelig ikke at gøre...
Sørg for at "Prefix Delegation." er valgt og det samme gør sig gældende for "WAN". *DNS name servere behøver igen ikke udfyldes. Linknet på /64 virker også på lan-side hivs ønsket.

Det var faktisk det.

Nu kan du prøvet at besøge bl.a. https://ipv6-test.com/

Hvor du gerne skulle se noget alá dette:

*Har valgt ikke at sløre IP-adresserne så du har noget at matche imod og da jeg ikke længere benytter de, som er at finde i dette screenshot.

Løsning på filtered ICMP

Den vakse vil nu finde et problem i, at "ICMP" står som filtered hvilket er en skidt ift. IPv6 da IPv6 er stærkt afhængig af ICMP for at fungere bedst muligt.

Gå ind under Firewall-indstillingerne og gør følgende: *Ikke alt nævnt er strængt nødvendigt men med Charles Web Debugging Proxy kan det ses, at dette gør ICMP mere stabilt.

Routing & Firewall .> Rules IPv6 -> "WAN LOCAL" og opret en ny regel hvor ICMPv6 er tilladt i menuen.
Routing & Firewall .> Rules IPv6 -> "WAN IN" og opret en ny regel hvor ICMPv6 er tilladt i menuen.
Routing & Firewall .> Rules IPv6 -> "WAN OUT" og opret en ny regel hvor ICMPv6 er tilladt i menuen.

Når disse ting er gjort. Så gå ind under "Settings" som ses øverst til højre, i de tre screenshots.

Sørg her for at aktivere "Broadcast Ping" og "Reeive Redirects".

Kør nu IPv6 testen igen og du vil se ICMP som værende grøn:


Fejlsøgning:

  1. På min UDM/UDM-Pro gateway kan jeg ikke se "Broadcast Ping" og "Receive Redirects". - Der var nok en der ikke kunne vente på at den rigtige USG komme her i sommeren 2021 og har sagt ja til mangel på en masse funktioner? ;-) Nå, selv om ICMP er vigtig for IPv6 bør filtered ICMP ikke kunne ses og kun måles.
  2. ICMP bliver ved med at være -filtred- når der testes på https://ipv6-test.com/. - Prøv at skift til f.eks. en Android-smartphone da det ofte er en bedre måde at teste netop dette på = lang forklaring er udlandt på hvorfor.
  3. Terminalen, cmd el. powershell giver den ene IPv6-fejl efter den anden. - 1). Hiv strømmen fra fiber-boksen. 2). Tag en meget hurtig kop kaffe 3). Sæt strøm til fiberboksen igen.
  4. Jeg kan ikke få adgang til min NAS mv. over IPv6. - Start lige først med at finde ud af om du er "på" Carrier Grade NAT over IPv4. Har du ikke bedt Hiper om en gratis dynamisk IPv4, så er du nok nævnte... Skab først forbindelse her (husk både port forward og firewall settings i din cloudkey). Når løst, så begynd at kig på IPv6 og benyt samme port-regler som når IPv4 virker.
Netværk

Ron Brevstgaard

IT-Supporter, Herning HF & VUC. + Tidligere Linux Sysadmin / Systemadministrator (5 års erfaring). +8 års erfaring med SEO og link building +11 års erfaring med udvikling af hjemmesider og webshops.

Kommentarer


  1. Minimal og anonym sporing af brugeradfærd.
  2. Eneste brug af cookies er _cfduid og _cflb - WAF og Load Balancing.
  3. Ingen deling af data med f.eks. Google.
  4. Databehandlingsaftale lavet med Cloudflare.
  5. Databehandlingsaftale lavet med DigitalOcean(DO).
  6. Kontaktformular er tilknyttet ProtonMail.
  7. Automatisk sletning af mails efter 30 dage.
  8. Filer modtaget opbevares med AES256 i CFB-mode.
  1. Ansible Advanced - Hands-On - DevOps.
  2. Google IT Support Professional Certificate.
  3. The Complete Node.js Developer Course (3rd Edition).
  4. Certified Microsoft Innovative Educator (MIE).
  5. Hootsuite Social Marketing Certification.
  6. Google Fundamentals of Digital Marketing 2019.
  7. Google Analytics for Power Users.
  8. Google Shopping ads Certification.
  9. Google Ads Search Certification.
  10. Google Analytics for Power Users.
  11. Aruba Certified Network Security Associate (ACNSA).
  12. *For datoer mv. - Se LinkedIn.
  1. Introduktion til PowerShell (Teknologisk Institut).