ورود به ترمینال MikroTik برای اجرای دستورات

• Winbox: بعد از اتصال، روی New Terminal کلیک کنید.
• WebFig: وارد پنل وب شوید و بخش Terminal را باز کنید.
• SSH: اگر فعال است، با SSH به روتر وصل شوید و دستورات را اجرا کنید.

گام ۱: فعال‌سازی IPv6 در RouterOS

/ipv6/settings/set disable-ipv6=no

گام ۲: افزودن آدرس IPv6 روی اینترفیس WAN

آدرس خودتان را جایگزین IPv6 کنید. در هتزنر معمولاً پریفیکس /64 است.

/ipv6/address/add address=IPv6/64 interface=ether1 advertise=no comment="Hetzner IPv6"

گام ۳: تنظیم Default Route (نکته کلیدی هتزنر)

گیت‌وی IPv6 در هتزنر معمولاً لینک‌لوکال است و باید همراه اینترفیس نوشته شود.

/ipv6/route/add dst-address=::/0 gateway=fe80::1%ether1 comment="Hetzner IPv6 default via link-local gw"

گام ۴: تنظیم DNS (پیشنهادی)

/ip/dns/set servers=2a01:4ff:ff00::add:1,2a01:4ff:ff00::add:2

گام ۵: تست اتصال IPv6 با Ping (روش درست در MikroTik)

در RouterOS، دستور /ping برای IPv4 و IPv6 یکی است. نمونه تست:

/ping address=2a01:4ff:ff00::add:1 count=3

نمونه خروجی موفق:

[admin@MikroTik] > /ping 2a01:4ff:ff00::add:1
  SEQ HOST                                     SIZE TTL
    0 2a01:4ff:ff00::add:1                       56  59
    1 2a01:4ff:ff00::add:1                       56  59
    2 2a01:4ff:ff00::add:1                       56  59
    sent=3 received=3 packet-loss=0% min-rtt=590us 
   avg-rtt=1ms164us max-rtt=2ms267us

فایروال IPv6: آیا رول‌های Drop برای اتصال‌های ورودی محدودیت ایجاد می‌کند؟

رول‌های زیر در chain=input هستند، یعنی فقط ترافیک ورودی به خود روتر را محدود می‌کنند (نه ترافیک عبوری). اگر قرار است روتر شما از بیرون «اتصال ورودی» دریافت کند، باید پروتکل/پورت‌های موردنیاز آن سرویس را قبل از Drop نهایی مجاز کنید؛ و بهتر است این مجوز فقط برای IPهای قابل اعتماد محدود شود.

قالب امن برای input در IPv6 (با نمونه اجازه برای یک پروتکل خاص و دسترسی مدیریت محدودشده)

/ipv6/firewall/filter/add chain=input action=accept connection-state=established,related
/ipv6/firewall/filter/add chain=input action=drop connection-state=invalid
/ipv6/firewall/filter/add chain=input action=accept protocol=icmpv6

/ipv6/firewall/filter/add chain=input action=accept protocol=115 src-address=<TRUSTED_PEER_IPV6> in-interface=ether1 comment="allow protocol 115 from trusted peer"

/ipv6/firewall/filter/add chain=input action=accept protocol=tcp dst-port=22,8291 src-address=<TRUSTED_ADMIN_IPV6> in-interface=ether1 comment="mgmt access (restricted)"

/ipv6/firewall/filter/add chain=input action=drop comment="drop the rest"

IPIP و 6in4/6to4 مربوط به IPv4 هستند

برخی پروتکل‌ها از بستر IPv4 استفاده می‌کنند و بنابراین باید در فایروال IPv4 مجاز شوند (نه IPv6). برای نمونه:

• protocol=4 برای IPIP
• protocol=41 برای IPv6-over-IPv4 (مثل 6in4/6to4)

/ip/firewall/filter/add chain=input action=accept connection-state=established,related
/ip/firewall/filter/add chain=input action=drop connection-state=invalid

/ip/firewall/filter/add chain=input action=accept protocol=4 src-address=<TRUSTED_PEER_IPV4> in-interface=ether1 comment="allow protocol 4 from trusted peer"
/ip/firewall/filter/add chain=input action=accept protocol=41 src-address=<TRUSTED_PEER_IPV4> in-interface=ether1 comment="allow protocol 41 from trusted peer"

/ip/firewall/filter/add chain=input action=drop comment="drop the rest"

لینک‌های پیشنهادی (برای خرید/آموزش‌های تکمیلی)

• مشاهده همه سرویس‌های سرور مجازی در پارس آپتایم
• سرور مجازی میکروتیک ایران (MikroTik VPS)
• آموزش نصب CHR روی کلاد هتزنر
• آموزش فعال‌سازی لایسنس آزمایشی CHR