今年の8月からeo光のIPv6サービスがトンネル方式からデュアルスタック方式に変わっていて、DHCPv6経由でPPPoEインターフェースからIPv6のアドレスが割り振られるようになっていた。
/ipv6 dhcp-client add add-default-route=yes interface=(PPPoEInterface名) pool-name=(適用なプール名) prefix-hint=::/64 request=prefix
これで、IPv6のPrefixが降ってくるので、LAN側にIPアドレスを割り当ててRAを有効化したらとりあえずIPアドレスは各PCに降ってくるようになる。
/ipv6 address add from-pool=(さっきのプール名) interface=(LAN側ブリッジ名) advertise=yes eui-64=yes
で、DNSをRA経由で割り振るにはNDを使う。
/ipv6 nd set [ find default=yes ] advertise-dns=yes
Firewallルールがこの時点ではまだ一切されておらず、IPv6だと外部からアクセスし放題になるので、このまま使うのは非常にまずいので、PPPoEからのIPv6接続はとりあえず、全拒否しておく
/ipv6 firewall filter add action=drop chain=forward connection-state=invalid,new in-interface=all-ppp log=yes log-prefix="invalid ipv6"
DNSがISPのやつでも良いけど、今回はQuad9を採用。
それはそうと、降ってくるPrefixが64bitなので、複数ネットワークがある我が家では非常に使い辛い。RA Proxyを別途用意するか、単一ネットワークに再設計するか、本来のIPv6では推奨されていない96bit以上に更にサブネットを分割するか。ぶっちゃけDMZは外部からのアクセスはほぼ全部CloudFlare経由なので単一サブネットにしちゃっても実害はないかもしれない。せっかくVLANTrunkを設計したのにもったいないというのはあるけど。