datax87
Goto Top

IPv6-Prefix-Delegation auf MikroTik-Router mit FritzBox als Internetrouter

Hallo Leute,

kann mir vielleicht jemand einen Tipp geben, wo der Fehler in meiner bisherigen IPv6-Konfiguration liegen könnte?

Möchte gerne den Geräten in meinem LAN die Möglichkeit geben eigene öffentliche IPv6-Adressen zu beziehen.

Der DSL-Anschluss an meiner FritzBox ist Dual-Stack-Anschluss, habe also eine öffentliche IPv4- sowie eine öffentliche IPv6-Adresse.

Zur Verteilung von IPv6-Adressen an die Geräte im LAN wird ja auf dem MikroTik-Router erstmal ein IPv6-Prefix benötigt,
das die FritzBox dem MikroTik-Router zur Verfügung stellt.

Der Aufbau ist also DSL-Anschluss - (WAN-IP = a.b.c.d)FritzBox(LAN-IP=192.168.180.1/24)-------(ether1=192.168.180.2/24)MikroTik-Router(vlan10-IP = 192.168.10.1/24)

Der MikroTik-Router ist also per "ether1" an der FritzBox angeschlossen.

Nochmal zur Übersicht die IPs des MikroTik-Routers:
IP-Adresse Interface "ether1" = 192.168.180.2/24
IP-Adresse Interface "vlan10" = 192.168.10.1/24

Auf der FritzBox habe ich Folgendes gemacht:
Auf der FritzBox habe ich unter "Netzwerk" --> "Netzwerkeinstellungen" --> "IPv6-Adressen" den
DHCPv6-Server aktiviert mit der Option "DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren".

Außerdem ist die Option "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" aktiviert.

Habe auch Screenshots der Seite "IPv6-Einstellungen" der FritzBox mit angehangen.

Auf dem MikroTik-Router habe ich Folgendes gemacht:
Unter "IPv6" --> "ND" --> Reiter "Prefixes" die Verteilung eines IPv6-Prefixes für die Geräte im LAN eingerichtet (siehe Screenshot).

Unter "IPv6" --> "ND" Reiter "Interfaces" die "Neighbour Discovery" für das "vlan10"-Interface eingerichtet bzw. aktiviert (siehe Screenshot).

Unter "IPv6" --> "DHCPv6 Client" ein "DHCPv6 Client"-Interface auf dem Interface "ether1" angelegt (siehe Screenshot).

Leider erhalte ich kein IPv6-Prefix von der FritzBox zugewiesen. Das "DHCPv6 Client"-Interface bleibt im Status "searching...", mehr passiert aktuell nicht.

Auf dem MikroTik-Router habe ich in der INPUT-Table testweise eine "Alles erlauben"-Regel erstellt,
das hatte auch nicht geholfen.

Welche Ports und Protokolle müssen in der INPUT-Table später freigeschaltet sein, damit die IPv6-Prefix-Delegation
problemlos funktioniert? Die "Alles erlauben"-Regel soll natürlich nicht bleiben.

Kann jemand von Euch vielleicht helfen? Bekomme wie gesagt kein IPv6-Prefix zugewiesen auf dem MikroTik-Router,
das "DHCPv6 Client"-Interface bleibt im Status "searching...".

MfG, Datax
dhcpv6_client
ipv6_nd_prefixes
ipv6-einstellungen_2
nd_vlan10
ipv6-einstellungen_3
ipv6-einstellungen_1

Content-Key: 2219226370

Url: https://administrator.de/contentid/2219226370

Printed on: April 13, 2024 at 14:04 o'clock

Member: aqui
aqui Mar 19, 2022 updated at 18:35:56 (UTC)
Goto Top
Der MikroTik-Router ist also per "ether1" an der FritzBox angeschlossen.
Kardinalsfrage wie immer: MIT oder OHNE Default Konfiguration ??
In einer Kaskade solltest du es, wenn immer möglich, OHNE die MT Default Konfiguration machen, sprich also auf NO klicken wenn du in der WinBox danach gefragt wirst. Firewall und NAT Einträge in der Konfig sind dann leer.

Das sollte dir ggf. weiterhelfen:
Einstellungen der FritzBox für IPv6 in einer Kaskade:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Dahinter ist zwar eine pfSense kaskadiert aber für den kaskadierten Mikrotik ist das ja völlig identisch.
Mikrotik v6:
Welche IPv6 Adresse soll ich der LAN Schnittstelle meines Routers geben?
und auch
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Die Installation des PPPoE Interfaces dort kannst du ignorieren da nicht relevant in einer Kaskade.
Der MT muss hier als DHCPv6 Client gesetzt werden auf dem Koppelinterface zur FB, denn ansonsten könnte er die verkleinerten Prefixes die von der FritzBox per PD weitergegeben werden (DHCPv6 mit IA_PD auf der FB anschalten !) nicht umsetzen.
Welche Ports und Protokolle müssen in der INPUT-Table später freigeschaltet sein
Du solltest das generell erstmal OHNE aktive Firewall Rulesets für v6 zum Laufen bringen um dir keine Fussfallen zu legen.
Inbound muss die FW UDP 547 und 546 erlauben (DHCPv6). On Top darfst du einige Protokoll spezifische ICMP Typen im v6 nicht filtern die für das IPv6 Protokoll Handling zwingend wichtig sind ! Siehe dazu HIER Tabelle 5 auf Seite 6.
Als Vergleich sind ggf. die v6 ICMP Access Listen eines Cisco Routers eine gute Hilfe zum Vergleich.

Beachte bei RouterOS 7.1 und ARM MT Hardware auch unbedingt das hier:
Kein IPv6 prefix via PPPoE (Mikrotik)
Leider machst du zu deiner MT HW ja keinerlei Angaben. face-sad
Member: Datax87
Datax87 Mar 19, 2022 updated at 18:56:33 (UTC)
Goto Top
Hi, besten Dank für die Infos @aqui.

Der Router ist ein ein kleiner "hap ac²"-Router.

Zurzeit ist RouterOS 7.1.3 installiert.

Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.

Die IPv6-Konfiguration hatte er ja gegengeprüft unter RouterOS 6.49.4,
wo sie dann problemlos funktionierte.

Muss ich mich wohl etwas gedulden bis der Bug mit einer der nächsten RouterOS-Versionen gefixt ist.
Mitglied: 1915348599
1915348599 Mar 19, 2022 updated at 19:38:17 (UTC)
Goto Top
Zitat von @Datax87:

Hi, besten Dank für die Infos @aqui.

Der Router ist ein ein kleiner "hap ac²"-Router.

Zurzeit ist RouterOS 7.1.3 installiert.

Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.

Nope, das gilt nur für IPv6 PD via PPPoE Interface, was du ja nicht machst du hast ja nur eine einfach Routerkaskade un darüber klappt das problemlos auch im 7er Zweig ...

Deine Prefix-Delegation Settings sind falsch!
Das Setting im zweiten Screenshot ist falsch, du musst stattdessen dem VLAN Interface eine IP aus dem Prefix zuweisen und das Prefix damit advertisen, dann wird das Subnetz automatisch in den ND Settings mit D (Dynamic) Flag auftauchen
/ipv6 address add address=::1 from-pool=ipv6-pool interface="vlan10 - LAN"  

Des weiteren beachte die Firewall Settings für DHCPv6 wie @aqui schon drauf hingewiesen hat.
Member: Datax87
Datax87 Mar 19, 2022 at 20:27:03 (UTC)
Goto Top
Ah, okay. Besten Dank @1915348599.

Ist also doch noch was falsch konfiguriert auf dem MikroTik-Router.

Wenn ich mit unten stehendem Befehl die 1. IP-Adresse aus dem IP-Pool "ipv6-pool"
auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).

/ipv6 address add address=::1 from-pool=ipv6-pool interface="vlan10 - LAN"

Muss ich den IP-Pool "ipv6-pool" unter "IPv6" --> "IP Pool" einfach selbst anlegen?

Falls ich diesen IP-Pool selbst anlegen muss, wie habe ich die Felder in diesem Einstellungsdialog
auszufüllen (siehe Screenshot zum Erstellen des IPv6-Pools).

Mir ist aufgefallen, dass auf meiner FritzBox noch keine Freigabe für den MikroTik-Router existiert.
Bei der Einrichtung der Freigabe muss man ja zum Beispiel die Option "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." anhaken.

Das Erstellen einer Freigabe für den MikroTik-Router scheitert im Moment an der Stelle,
dass ich nicht weiß, woher ich die "IPv6 Interface-ID" nehmen soll. Die entsprechenden Felder
werden nicht automatisch befüllt.
screenshot 2022-03-19 211823
screenshot 2022-03-19 212103
Mitglied: 1915348599
1915348599 Mar 19, 2022 updated at 20:39:15 (UTC)
Goto Top
Zitat von @Datax87:

Wenn ich mit unten stehendem Befehl die 1. IP-Adresse aus dem IP-Pool "ipv6-pool"
auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).
Dann hat dein DHCPv6 Client das Prefix noch nicht bezogen, somit gibt es den Pool aktuell noch nicht.
Muss ich den IP-Pool "ipv6-pool" unter "IPv6" --> "IP Pool" einfach selbst anlegen?
Nein, der wird automatisch angelegt, du hast den Namen ja selbst im DHCP Client definiert!
Mir ist aufgefallen, dass auf meiner FritzBox noch keine Freigabe für den MikroTik-Router existiert.
Nein die ist nicht nötig, nur wenn du Server Dienste anbieten willst!
Schau dir die Einrichtung des PD in den o.g. Anleitungen nochmal genau an.
Und checke wie gesagt die Firewall am WAN des MIkrotik falls du dort eine aktiv hast muss dort UDP546 im INPUT und ICMPv6 im
INPUT freigegeben sein!
Member: Datax87
Datax87 Mar 20, 2022 updated at 07:48:00 (UTC)
Goto Top
Zitat von @1915348599:

Dann hat dein DHCPv6 Client das Prefix noch nicht bezogen, somit gibt es den Pool aktuell noch nicht.

Ja, genau. Daran scheitert es im Moment noch. Der DHCPv6-Client kann von der FritzBox kein Prefix beziehen,
verbleibt im Status "searching..." (siehe Screenshot).

"ICMPv6" sowie der UDP-Port 546 müssen im INPUT-Table für "IPv6" freigegeben sein!? Also die entsprechenden Firewall-Regeln muss ich dann unter "IPv6" --> "Firewall" einrichten, richtig?

Weiß gerade nicht den Grund, warum der MikroTik-Router kein Prefix von der FritzBox bekommt.

Wenn ich das richtig verstanden habe, muss außer der DHCPv6-Client nichts Weiteres eingerichtet werden,
um ein IPv6-Prefix von der FritzBox zu bekommen.

Die Einstellungen des DHCPv6-Servers der FritzBox habe ich so eingestellt wie es in der Anleitung beschrieben steht (siehe Screenshot im Anhang).
dhcpv6-server_fritzbox
dhcpv6-client
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 09:00:57 (UTC)
Goto Top
Zitat von @Datax87:
Ja, genau. Daran scheitert es im Moment noch. Der DHCPv6-Client kann von der FritzBox kein Prefix beziehen,
verbleibt im Status "searching..." (siehe Screenshot).
OK, dann wird deine FW noch blockieren.
"ICMPv6" sowie der UDP-Port 546 müssen im INPUT-Table für "IPv6" freigegeben sein!? Also die entsprechenden Firewall-Regeln muss ich dann unter "IPv6" --> "Firewall" einrichten, richtig?
Rischtisch. Denn DHCPv6 Antworten kommen stateless von Port 547 des DHCPv6 Servers an Port 546UDP an der Firewall des Routers an, diese Regel ist essentiell für das Funktionieren von DHCPv6, genauso wie das ICMPv6 Protokoll, beides muss zwingend in der IPv6 INPUT-Chain freigeschaltete werden!

Wenn ich das richtig verstanden habe, muss außer der DHCPv6-Client nichts Weiteres eingerichtet werden,
um ein IPv6-Prefix von der FritzBox zu bekommen.
Außer dem Firewall-Regeln, nein, das ist richtig.

Die Einstellungen des DHCPv6-Servers der FritzBox habe ich so eingestellt wie es in der Anleitung beschrieben steht (siehe Screenshot im Anhang).
Das ist korrekt so.

Übrigens, ein sniffen mit dem MIkrotik im WAN Port zeigt dir im Klartext was Sache ist 😉
Mach dir einfach nochmal klar wie DHCPv6 im Background funktioniert, dann ist das ein Klacks.
Ein MIkrotik ist halt nix für Fritzbüx Klicki Bunti User, hier muss man schon mehr von der Materie und dem Protokoll-Background verstehen um ihn wirklich auszureizen.
Member: Datax87
Datax87 Mar 20, 2022 at 10:02:01 (UTC)
Goto Top
Zitat von @1915348599:


OK, dann wird deine FW noch blockieren.

Hm, wüsste nur nicht wie er das machen sollte. Hatte bis gerade keine einzige Firewall-Regel für "IPv6" festgelegt. Meines Wissens ist dann einfach jeglicher Traffic erlaubt, weil es ja auch keinerlei DROP-Regeln gibt.

Habe aber gerade auch einfach nochmal "ICMPv6" sowie UDP-Port 546 im INPUT-Table für "IPv6" freigeschaltet (siehe Screenshot).

Der "DHCPv6"-Client ist weiterhin im Status "searching...".

Wenn ich mit dem Packet-Sniffer auf "ether1-WAN" den Traffic mitschneide, dann sehe ich dort weder eingehend auf UDP-Port 546 irgendwas ankommen, noch Traffic, der vom MikroTik-Router an UDP-Port 547 versendet wird. Im Grunde passiert da im Moment was die Kommunikation zwischen dem DHCPv6-Server und dem DHCPv6-Client betrifft, rein gar nichts.

Wo könnte ich noch etwas falsch konfiguriert haben?
screenshot 2022-03-20 105422
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 10:08:50 (UTC)
Goto Top
Zitat von @Datax87:
Hm, wüsste nur nicht wie er das machen sollte. Hatte bis gerade keine einzige Firewall-Regel für "IPv6" festgelegt. Meines Wissens ist dann einfach jeglicher Traffic erlaubt, weil es ja auch keinerlei DROP-Regeln gibt.
In dem Fall ist natürlich Durchzug dann brauchst du sie nicht.
Der "DHCPv6"-Client ist weiterhin im Status "searching...".

Wenn ich mit dem Packet-Sniffer auf "ether1-WAN" den Traffic mitschneide, dann sehe ich dort weder eingehend auf UDP-Port 546 irgendwas ankommen, noch Traffic, der vom MikroTik-Router an UDP-Port 547 versendet wird. Im Grunde passiert da im Moment was die Kommunikation zwischen dem DHCPv6-Server und dem DHCPv6-Client betrifft, rein gar nichts.
Das ist schlecht.
Dann setze den MIkrotik mal komplett zurück ohne die Default-Config zu laden und konfiguriere ihn neu.
Oder am besten die 7er Firmware nochmal per Netinstall drauf klatschen um sicher zu gehen das keine Überbleibsel der 6er Firmware Probleme machen,das ist nämlich in den meisten Fällen beim Upgrade auf die 7er das Problem.

Wo könnte ich noch etwas falsch konfiguriert haben?
Poste deine komplette Config hier mal im Klartext
Ein export hide-sensitive im Terminal erledigt das
Member: Datax87
Datax87 Mar 20, 2022 at 10:45:43 (UTC)
Goto Top
Zitat von @1915348599:

Dann setze den MIkrotik mal komplett zurück ohne die Default-Config zu laden und konfiguriere ihn neu.
Oder am besten die 7er Firmware nochmal per Netinstall drauf klatschen um sicher zu gehen das keine Überbleibsel der 6er Firmware Probleme machen,das ist nämlich in den meisten Fällen beim Upgrade auf die 7er das Problem.

Ein export hide-sensitive im Terminal erledigt das

Wenn ich ein Config-Backup mit dem "export"-Befehl mache, wird dann wirklich ALLES (also 100,00 %) der aktuellen Konfiguration gesichert?

Oder gibt es noch Sachen, die ich sonst wie per Hand sichern muss? Die Zertifikate und PrivateKeys für OpenVPN-Verbindungen werde ich ja per Hand sichern müssen, denke ich.

Noch was, an das ich denken sollte, bevor ich den Router platt mache und nochmal neu installiere?
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 10:55:44 (UTC)
Goto Top
Zitat von @Datax87:
Wenn ich ein Config-Backup mit dem "export"-Befehl mache, wird dann wirklich ALLES (also 100,00 %) der aktuellen Konfiguration gesichert?
Nein, Dateien oder Zertifikate nicht die musst du dann separat sichern.
Man kann zwar ein binary Backup machen dann spielst du dir aber evt. Fehler genauso wieder mit zurück.
Oder gibt es noch Sachen, die ich sonst wie per Hand sichern muss? Die Zertifikate und PrivateKeys für OpenVPN-Verbindungen werde ich ja per Hand sichern müssen, denke ich.
Jepp.
Noch was, an das ich denken sollte, bevor ich den Router platt mache und nochmal neu installiere?
Zertifikate sollte man ja eh extern gesichert haben. Ansonsten eben noch die Sachen die du im Dateisystem unter "Files" abgelegt hast und evt. noch brauchst.
Member: Datax87
Datax87 Mar 20, 2022 at 12:53:45 (UTC)
Goto Top
Auf Werkseinstellungen zurücksetzen und dann das Config-Backup zurückspielen war nicht ausreichend. Das habe ich gerade ausprobiert.

Das Zurücksichern des Config-Backups mit dem import-Befehl sowie das Importieren der Zertifikate war alles kein Problem. Allerdings weiterhin das Problem, dass der DHCPv6-Client im Status "searching..." verbleibt.

Mal schaun, vielleicht installiere ich den Router wie du sagtest per "Netinstall" mal neu,
also Firmware neu aufspielen. Und danach wieder das Config-Backup einspielen und erneut testen,
ob der DHCPv6-Client dann funktioniert.

Danke dir schon mal für die Hilfe face-smile.
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 13:08:32 (UTC)
Goto Top
Und danach wieder das Config-Backup einspielen
Lass das mal komplett weg und konfiguriere rein eine IP für den WAN, default route und setze den DHCPv6 Client und checke dann. Deine Config haben wir hier ja leider immer noch nicht im Klartext vorliegen .
Member: aqui
aqui Mar 20, 2022 updated at 13:25:33 (UTC)
Goto Top
Mal schaun,
Und deiner FritzBox vertraust du blind ? Vielleicht ist die ja auch der böse Buhmann und möchte mal rebootet werden... ?!
Hilfreich wäre da im Zweifel einmal ein Wireshark Trace der DHCPv6 Kommunikation auf dem Koppellink. Da sollte sich dann sehr schnell zeigen wo der Fehler liegt.
Member: Datax87
Datax87 Mar 20, 2022 at 14:15:31 (UTC)
Goto Top
Habe gerade den MikroTik-Router nochmal zurückgesetzt. Nach dem Zurücksetzen des Routers ohne Einspielen der Config habe ich dann ein DHCPv6-Client-Interface erstellt und konnte problemlos ein IPv6-Prefix beziehen (siehe Screenshot).

Da muss also was im Argen sein mit meiner Config. Welche Teile der Config könnten da Probleme bereiten? Könnt ihr mir sagen, was ich überprüfen sollte, ohne, dass ich hier meine gesamte Config posten muss?
ipv6-pool
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 14:28:20 (UTC)
Goto Top
ohne, dass ich hier meine gesamte Config posten muss?
Wo ist denn das Problem? Der hide-sensitive parameter beim export entfernt schon die meisten "persönlichen" secrets aus dem export, bisl nachträgliche anonymisierung feddisch, spart dir und vor allem uns unnötige Rumraterei und Zeit! Kann viele Ursachen haben, von falschem Interface über verbogene Routen, fälschlich nicht wissend hinterlegte OSPF Interfaces, etc. pp.

Du hast die Wahl, vermutlich eine schnell und unkomplizierte Lösung oder langwierige rum raterei was du wohl wie konfiguriert hast ...
Bei letzterem wäre ich definitiv raus, da ist mir die Zeit dann doch zu schade wenn man hier auf dem trockenen sitzen gelassen wird.
Member: Datax87
Datax87 Mar 20, 2022 at 14:46:34 (UTC)
Goto Top
Hi, hier ist die Config des MikroTik-Routers:

/interface bridge
add ingress-filtering=no name="bridge1 - LAN-DMZ" protocol-mode=none \  
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] name=ether5-Trunk
/interface wireguard
add listen-port=13231 mtu=1420 name=wg0
/interface vlan
add interface="bridge1 - LAN-DMZ" name="vlan10 - LAN" vlan-id=10  
add interface="bridge1 - LAN-DMZ" name="vlan20 - DMZ" vlan-id=20  
add interface="bridge1 - LAN-DMZ" name="vlan30 - WLAN-G\E4ste" vlan-id=30  
add interface="bridge1 - LAN-DMZ" name="vlan40 - WLAN-Arbeit" vlan-id=40  
add interface="bridge1 - LAN-DMZ" name="vlan50 - LAN-Arbeit" vlan-id=50  
add interface="bridge1 - LAN-DMZ" name="vlan99 - MGMT" vlan-id=99  
/interface ovpn-client
add certificate=Jitsi-MikroTik-OVPN-Client cipher=aes256 connect-to=\
    AA.BB.CC.DD.EE mac-address=02:EC:3C:E2:11:F4 name=ovpn-jitsi port=22445 \
    use-peer-dns=no user=mikrotik
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-2G supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-5G supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-2G-7360N supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-2G-Guest supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-5G-Guest supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    BlubBlub-5G-Arbeit supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-XX \
    country=germany disabled=no frequency=2452 installation=indoor mode=\
    ap-bridge name="wlan1 - BlubBlub-2G" security-profile=BlubBlub-2G ssid=\  
    BlubBlub-2G wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=\
    20/40/80mhz-XXXX country=germany disabled=no frequency=auto installation=\
    indoor mode=ap-bridge name="wlan2 - BlubBlub-5G" security-profile=\  
    BlubBlub-5G skip-dfs-channels=all ssid=BlubBlub-5G wireless-protocol=802.11 \
    wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BA \
    master-interface="wlan1 - BlubBlub-2G" multicast-buffering=disabled name=\  
    "wlan3 - BlubBlub-2G-7360N" security-profile=BlubBlub-2G-7360N ssid=\  
    BlubBlub-2G-7360N wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BB master-interface=\
    "wlan1 - BlubBlub-2G" multicast-buffering=disabled name=\  
    "wlan4 - BlubBlub-2G-Guest" security-profile=BlubBlub-2G-Guest ssid=\  
    BlubBlub-2G-Guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BC master-interface=\
    "wlan2 - BlubBlub-5G" multicast-buffering=disabled name=\  
    "wlan5 - BlubBlub-5G-Guest" security-profile=BlubBlub-5G-Guest ssid=\  
    BlubBlub-5G-Guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add hide-ssid=yes keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BD \
    master-interface="wlan2 - BlubBlub-5G" multicast-buffering=disabled name=\  
    "wlan6 - BlubBlub-5G-Arbeit" security-profile=BlubBlub-5G-Arbeit ssid=\  
    BlubBlub-5G-Arbeit wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] login-by=cookie
/ip ipsec profile
set [ find default=yes ] dh-group=\
    modp8192,modp6144,modp4096,modp2048,modp1024 enc-algorithm=\
    aes-256,aes-128,3des nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.10.100-192.168.10.199
add name=dhcp_pool1 ranges=192.168.20.100-192.168.20.199
add name=dhcp_pool2 ranges=192.168.30.100-192.168.30.199
add name=dhcp_pool5 ranges=192.168.40.100-192.168.40.199
add name=dhcp_pool6 ranges=192.168.50.100-192.168.50.199
/ip dhcp-server
add address-pool=dhcp_pool0 interface="vlan10 - LAN" name=dhcp1  
add address-pool=dhcp_pool1 interface="vlan20 - DMZ" name=dhcp2  
add address-pool=dhcp_pool2 interface="vlan30 - WLAN-G\E4ste" name=dhcp3  
add address-pool=dhcp_pool5 interface="vlan40 - WLAN-Arbeit" name=dhcp4  
add address-pool=dhcp_pool6 interface="vlan50 - LAN-Arbeit" name=dhcp5  
/ppp profile
set *0 use-compression=no
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=ether5-Trunk \  
    pvid=77
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\  
    "wlan1 - BlubBlub-2G" pvid=10  
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\  
    "wlan2 - BlubBlub-5G" pvid=10  
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\  
    "wlan3 - BlubBlub-2G-7360N" pvid=20  
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\  
    "wlan4 - BlubBlub-2G-Guest" pvid=30  
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\  
    "wlan5 - BlubBlub-5G-Guest" pvid=30  
add bridge="bridge1 - LAN-DMZ" interface="wlan6 - BlubBlub-5G-Arbeit" pvid=40  
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge="bridge1 - LAN-DMZ" tagged="ether5-Trunk,bridge1 - LAN-DMZ" \  
    untagged="wlan1 - BlubBlub-2G,wlan2 - BlubBlub-5G" vlan-ids=10  
add bridge="bridge1 - LAN-DMZ" tagged="ether5-Trunk,bridge1 - LAN-DMZ" \  
    untagged="wlan3 - BlubBlub-2G-7360N" vlan-ids=20  
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ,ether5-Trunk" \  
    vlan-ids=99
add bridge="bridge1 - LAN-DMZ" untagged=ether2,ether3,ether4,ether5-Trunk \  
    vlan-ids=77
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ,ether5-Trunk" \  
    vlan-ids=50
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ" untagged=\  
    "wlan4 - BlubBlub-2G-Guest,wlan5 - BlubBlub-5G-Guest" vlan-ids=30  
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ" untagged=\  
    "wlan6 - BlubBlub-5G-Arbeit" vlan-ids=40  
/interface l2tp-server server
set authentication=mschap2 default-profile=default use-ipsec=yes
/interface ovpn-server server
set auth=sha1 cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=10.10.10.2/32 interface=wg0 persistent-keepalive=25s \
    public-key="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"  
/ip address
add address=192.168.180.2/24 interface=ether1-WAN network=192.168.180.0
add address=192.168.10.1/24 interface="vlan10 - LAN" network=192.168.10.0  
add address=192.168.20.1/24 interface="vlan20 - DMZ" network=192.168.20.0  
add address=192.168.0.1/24 interface="vlan99 - MGMT" network=192.168.0.0  
add address=192.168.30.1/24 interface="vlan30 - WLAN-G\E4ste" network=\  
    192.168.30.0
add address=192.168.40.1/24 interface="vlan40 - WLAN-Arbeit" network=\  
    192.168.40.0
add address=192.168.50.1/24 interface="vlan50 - LAN-Arbeit" network=\  
    192.168.50.0
add address=10.10.10.1 interface=wg0 network=10.10.10.2
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.50.1
/ip dns
set allow-remote-requests=yes servers=192.168.20.6
/ip firewall address-list
add address=8.8.8.8 list=Google-DNS
add address=8.8.4.4 list=Google-DNS
add address=10.0.0.0/8 list=PrivateNetworks
add address=172.16.0.0/12 list=PrivateNetworks
add address=192.168.0.0/16 list=PrivateNetworks
add address=1.1.1.1 list=Cloudflare-DNS
add address=1.0.0.1 list=Cloudflare-DNS
add address=1.1.1.1 list=AdGuard_Do53
add address=1.0.0.1 list=AdGuard_Do53
add address=8.8.8.8 list=AdGuard_Do53
add address=8.8.4.4 list=AdGuard_Do53
add address=9.9.9.9 list=AdGuard_Do53
add address=149.112.112.112 list=AdGuard_Do53
add address=1.1.1.1 list=AdGuard_DoT
add address=8.8.8.8 list=AdGuard_DoT
add address=8.8.4.4 list=AdGuard_DoT
add address=9.9.9.9 list=AdGuard_DoT
add address=149.112.112.112 list=AdGuard_DoT
add address=1.0.0.1 list=AdGuard_DoT
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons  
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\  
    d this subnet before enable it" disabled=yes list=bogons  
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons  
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons  
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \  
    need this subnet before enable it" disabled=yes list=bogons  
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\  
    \_need this subnet before enable it" disabled=yes list=bogons  
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons  
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\  
    bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons  
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons  
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons  
add address=224.0.0.0/4 comment=\
    "MC, Class D, IANA # Check if you need this subnet before enable it" \  
    disabled=yes list=bogons
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes  
add action=accept chain=forward comment=\
    "Established- + Related-Pakete erlauben" connection-state=\  
    established,related
add action=accept chain=forward comment=\
    "Verbindungen zu WireGuard-Server erlauben" disabled=yes dst-address=\  
    192.168.20.4 dst-port=51820 in-interface=ether1-WAN out-interface=\
    "vlan20 - DMZ" protocol=udp  
add action=accept chain=forward comment=\
    "HTTP + HTTPS f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=\  
    80,443 in-interface="vlan10 - LAN" protocol=tcp src-address=\  
    192.168.10.0/24
add action=accept chain=forward comment=\
    "SSH f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=22 \  
    in-interface="vlan10 - LAN" protocol=tcp src-address=192.168.10.0/24  
add action=accept chain=forward comment=\
    "SMB f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=445 \  
    in-interface="vlan10 - LAN" protocol=tcp src-address=192.168.10.0/24  
add action=accept chain=forward comment="OpenVPN f\FCr LAN-Netz erlauben" \  
    disabled=yes dst-port=1194 in-interface="vlan10 - LAN" out-interface=\  
    ether1-WAN protocol=udp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
    "SSH-Zugang zu Jitsi-Server (OpenVPN-IP) f\FCr LAN-Netz erlauben" \  
    dst-address=10.8.0.1 dst-port=22444 in-interface="vlan10 - LAN" \  
    out-interface=ovpn-jitsi protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
    "POP3S, IMAPS, SMTPS f\FCr LAN-Netz erlauben" dst-address-list=\  
    !PrivateNetworks dst-port=465,993,995 in-interface="vlan10 - LAN" \  
    out-interface=ether1-WAN protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
    "DoT zu Cloudflare-DNS f\FCr LAN-Netz erlauben" dst-address-list=\  
    Cloudflare-DNS dst-port=853 in-interface="vlan10 - LAN" out-interface=\  
    ether1-WAN protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
    "NTP zu FritzBox f\FCr LAN-Netz erlauben" dst-address=192.168.180.1 \  
    dst-port=123 in-interface="vlan10 - LAN" out-interface=ether1-WAN \  
    protocol=udp src-address=192.168.10.0/24
    src-address=192.168.10.0/24
add action=accept chain=forward comment=\
    "ICMP f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" in-interface=\  
    "vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24  
add action=accept chain=forward comment=\
    "HTTP + HTTPS f\FCr DMZ-Netz (keine privaten Ziel-IPs) erlauben" \  
    dst-address-list=!PrivateNetworks dst-port=80,443 in-interface=\
    "vlan20 - DMZ" out-interface=ether1-WAN protocol=tcp src-address=\  
    192.168.20.0/24
add action=accept chain=forward comment=\
    "NTP f\FCr DMZ-Netz ohne Einschr\E4nkugen erlauben" dst-port=123 \  
    in-interface="vlan20 - DMZ" out-interface=ether1-WAN protocol=udp \  
    src-address=192.168.20.0/24
add action=accept chain=forward comment="Do53 f\FCr AdGuard-RasPi erlauben" \  
    dst-address-list=AdGuard_Do53 dst-port=53 in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=tcp src-address=192.168.20.6
add action=accept chain=forward comment="DoT f\FCr AdGuard-RasPi erlauben" \  
    dst-address-list=AdGuard_DoT dst-port=853 in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=tcp src-address=192.168.20.6
add action=accept chain=forward comment=\
    "ICMP f\FCr DMZ-Netz (keine privaten Ziel-IPs) erlauben" \  
    dst-address-list=!PrivateNetworks in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=icmp src-address=192.168.20.0/24
add action=accept chain=forward comment=\
    "HTTP + HTTPS f\FCr Gast-WLAN-Netz erlauben" dst-address-list=\  
    !PrivateNetworks dst-port=80,443 in-interface="vlan30 - WLAN-G\E4ste" \  
    out-interface=ether1-WAN protocol=tcp src-address=192.168.30.0/24
add action=accept chain=forward comment="Internet-Traffic (keine privaten Ziel\  
    -IPs) f\FCr das Arbeits-WLAN erlauben" dst-address-list=!PrivateNetworks \  
    in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN src-address=\  
    192.168.40.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (TCP) zu Cloudflare-DNS f\FCr Arbeits-WLAN" dst-address=\  
    1.1.1.1 dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=\  
    ether1-WAN protocol=tcp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (UDP) zu Cloudflare-DNS f\FCr Arbeits-WLAN" dst-address=\  
    1.1.1.1 dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=\  
    ether1-WAN protocol=udp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (TCP) zu Google-DNS f\FCr Arbeits-WLAN" dst-address=8.8.8.8 \  
    dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN \  
    protocol=tcp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (UDP) zu Google-DNS f\FCr Arbeits-WLAN" dst-address=8.8.8.8 \  
    dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN \  
    protocol=udp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
    "Erlaube SMB zu NAS f\FCr Arbeits-WLAN" disabled=yes dst-address=\  
    192.168.20.3 dst-port=445 in-interface="vlan40 - WLAN-Arbeit" log=yes \  
    log-prefix="SMB - Arbeits-WLAN" out-interface="vlan20 - DMZ" protocol=tcp \  
    src-address=192.168.40.0/24
add action=accept chain=forward comment="Internet-Traffic (keine privaten Ziel\  
    -IPs) f\FCr das Arbeits-LAN erlauben" dst-address-list=!PrivateNetworks \  
    in-interface="vlan50 - LAN-Arbeit" out-interface=ether1-WAN src-address=\  
    192.168.50.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (TCP) zu Cloudflare-DNS f\FCr das Arbeits-LAN" dst-address=\  
    1.1.1.1 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\  
    ether1-WAN protocol=tcp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (UDP) zu Cloudflare-DNS f\FCr das Arbeits-LAN" dst-address=\  
    1.1.1.1 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\  
    ether1-WAN protocol=udp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (TCP) zu Google-DNS f\FCr das Arbeits-LAN" dst-address=\  
    8.8.8.8 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\  
    ether1-WAN protocol=tcp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
    "Erlaube DNS (UDP) zu Google-DNS f\FCr das Arbeits-LAN" dst-address=\  
    8.8.8.8 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\  
    ether1-WAN protocol=udp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
    "Erlaube SMB zu NAS f\FCr Arbeits-LAN" dst-address=192.168.20.3 dst-port=\  
    445 in-interface="vlan50 - LAN-Arbeit" log-prefix="SMB - Arbeits-WLAN" \  
    out-interface="vlan20 - DMZ" protocol=tcp src-address=192.168.50.0/24  
add action=accept chain=forward comment=\
    "HTTP + HTTPS f\FCr VPN-Netz erlauben" dst-address-list=!PrivateNetworks \  
    dst-port=80,443 in-interface="vlan20 - DMZ" out-interface=ether1-WAN \  
    protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
    "DoT zu Cloudflare-DNS f\FCr VPN-Netz erlauben" dst-address-list=\  
    Cloudflare-DNS dst-port=853 in-interface="vlan20 - DMZ" out-interface=\  
    ether1-WAN protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
    "DNS (UDP) zu Cloudflare-DNS f\FCr VPN-Netz erlauben" disabled=yes \  
    dst-address-list=Cloudflare-DNS dst-port=53 in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=udp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
    "DNS (TCP) zu Cloudflare-DNS f\FCr VPN-Netz erlauben" disabled=yes \  
    dst-address-list=Cloudflare-DNS dst-port=53 in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment="ICMP f\FCr VPN-Netz erlauben" \  
    dst-address-list=!PrivateNetworks in-interface="vlan20 - DMZ" \  
    out-interface=ether1-WAN protocol=icmp src-address=10.0.0.0/24
add action=accept chain=forward comment="Internet-Traffic, der \FCber wg0 (Wir\  
    eGuard) ankommt, vollst\E4ndig erlauben" disabled=yes dst-address-list=\  
    !PrivateNetworks in-interface=wg0 out-interface=ether1-WAN src-address=\
    10.10.10.2
add action=drop chain=forward
add action=accept chain=input comment=\
    "Established- + Related-Pakete erlauben" connection-state=\  
    established,related
add action=accept chain=input comment=\
    "Verbindungen zu WireGuard-Server erlauben" disabled=yes dst-address=\  
    192.168.180.3 dst-port=13231 in-interface=ether1-WAN protocol=udp
add action=accept chain=input comment="ICMP auf WireGuard-IP erlauben" \  
    disabled=yes dst-address=10.10.10.1 in-interface=wg0 protocol=icmp
add action=accept chain=input comment="DNS (TCP) f\FCr LAN-Netz erlauben" \  
    dst-address=192.168.10.1 dst-port=53 in-interface="vlan10 - LAN" \  
    protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment="DNS (UDP) f\FCr LAN-Netz erlauben " \  
    dst-address=192.168.10.1 dst-port=53 in-interface="vlan10 - LAN" \  
    protocol=udp src-address=192.168.10.0/24
add action=accept chain=input comment="SSH f\FCr LAN-Netz erlauben" \  
    dst-address=192.168.10.1 dst-port=22 in-interface="vlan10 - LAN" \  
    protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment="WinBox f\FCr LAN-Netz erlauben" \  
    dst-address=192.168.10.1 dst-port=8291 in-interface="vlan10 - LAN" \  
    protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment=\
    "ICMP auf Router f\FCr LAN-Netz erlauben" dst-address=192.168.10.1 \  
    in-interface="vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24  
add action=accept chain=input comment=\
    "ICMP auf VPN-IP f\FCr LAN-Netz erlauben" dst-address=10.8.0.2 \  
    in-interface="vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24  
add action=accept chain=input comment="DNS (TCP) f\FCr DMZ-Netz erlauben" \  
    dst-address=192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" \  
    protocol=tcp src-address=192.168.20.0/24
add action=accept chain=input comment="DNS (UDP) f\FCr DMZ-Netz erlauben" \  
    dst-address=192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" \  
    protocol=udp src-address=192.168.20.0/24
add action=accept chain=input comment=\
    "ICMP auf Router f\FCr DMZ-Netz erlauben" dst-address=192.168.20.1 \  
    in-interface="vlan20 - DMZ" protocol=icmp src-address=192.168.20.0/24  
add action=accept chain=input comment=\
    "DNS (TCP) f\FCr Gast-WLAN-Netz erlauben" dst-address=192.168.30.1 \  
    dst-port=53 in-interface="vlan30 - WLAN-G\E4ste" protocol=tcp \  
    src-address=192.168.30.0/24
add action=accept chain=input comment=\
    "DNS (UDP) f\FCr Gast-WLAN-Netz erlauben" dst-address=192.168.30.1 \  
    dst-port=53 in-interface="vlan30 - WLAN-G\E4ste" protocol=udp \  
    src-address=192.168.30.0/24
add action=accept chain=input comment=\
    "ICMP auf Router f\FCr Arbeits-WLAN erlauben" dst-address=192.168.40.1 \  
    in-interface="vlan40 - WLAN-Arbeit" protocol=icmp src-address=\  
    192.168.40.0/24
add action=accept chain=input comment=\
    "ICMP auf Router f\FCr Arbeits-LAN erlauben" dst-address=192.168.50.1 \  
    in-interface="vlan50 - LAN-Arbeit" protocol=icmp src-address=\  
    192.168.50.0/24
add action=accept chain=input comment=\
    "DNS (UDP) f\FCr \"NETGEAR GS108T\"-Switch erlauben" disabled=yes \  
    dst-address=192.168.0.1 dst-port=53 in-interface="vlan99 - MGMT" \  
    protocol=udp src-address=192.168.0.2
add action=accept chain=input comment=\
    "DNS (TCP) f\FCr \"NETGEAR GS108T\"-Switch erlauben" disabled=yes \  
    dst-address=192.168.0.1 dst-port=53 in-interface="vlan99 - MGMT" \  
    protocol=tcp src-address=192.168.0.2
add action=accept chain=input comment=\
    "DNS (UDP) auf Router f\FCr VPN-Netz erlauben" disabled=yes dst-address=\  
    192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" protocol=udp \  
    src-address=10.0.0.0/24
add action=accept chain=input comment=\
    "DNS (TCP) auf Router f\FCr VPN-Netz erlauben" disabled=yes dst-address=\  
    192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" protocol=tcp \  
    src-address=10.0.0.0/24
add action=accept chain=input comment=\
    "ICMP auf Router f\FCr VPN-Netz erlauben" dst-address=192.168.20.1 \  
    in-interface="vlan20 - DMZ" protocol=icmp src-address=10.0.0.0/24  
add action=drop chain=input log=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=ether1-WAN \
    src-address=10.10.10.2
/ip firewall raw
add action=drop chain=prerouting src-address-list=bogons
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.180.1 routing-table=\
    main suppress-hw-offload=no
/ip smb users
add name=guest
add name=guest
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set cpu-frequency=auto
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 15:03:50 (UTC)
Goto Top
Danke! Das hier sollte auf jeden Fall schon mal raus fliegen, das verursacht vielfach solche und andere Probleme wenn man OSPF eh nicht nutzt (v7 schieet den sie in den Default-Configs noch nicht behoben haben):
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
Member: Datax87
Datax87 Mar 20, 2022 at 15:04:15 (UTC)
Goto Top
Zitat von @1915348599:

Danke! Das hier sollte auf jeden Fall schon mal raus fliegen, das verursacht vielfach solche und andere Probleme wenn man OSPF eh nicht nutzt:
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2

Habe ich gerade entfernt über die "WinBox" (GUI).

Im Moment bekommt der MikroTik-Router noch kein IPv6-Prefix per DHCPv6-Client.
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 15:08:14 (UTC)
Goto Top
Deaktiviere mal die testweise die v4 Firewall-Regeln (klingt unlogisch, mach es trotzdem), bin noch nicht ganz durch mit der Config.
Member: Datax87
Datax87 Mar 20, 2022 at 15:17:14 (UTC)
Goto Top
Hab' gerade in der INPUT- sowie in der FORWARD-Table alle Firewall-Regeln deaktiviert.

Jetzt ist also sämtliche IPv4-Traffic erlaubt.
Mitglied: 1915348599
Solution 1915348599 Mar 20, 2022 updated at 15:28:58 (UTC)
Goto Top
Och nö .... guckst du ...

/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192

Kopf-tisch, IPv6 ist deaktiviert ... 🙈

Also anschalten:
/ipv6 settings set disable-ipv6=no

screenshot

Case closed. face-smile
Member: Datax87
Datax87 Mar 20, 2022 updated at 15:52:23 (UTC)
Goto Top
Argh, okay. ^^

Den Menüpunkt kannte ich gar nicht. Dachte IPv6 wäre dann automatisch aktiviert,
wenn das IPv6-Softwarepaket installiert ist.

Das ist dann aber wirklich Kopf-Tisch :P. Man merkt, bin echt neu in Sachen "IPv6" auf MikroTik-Routern.

Besten Dank schon mal. face-smile

Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.

Bisher werden allerdings alle Verbindungen zu Servern im Internet per "IPv4" aufgebaut. Habe den PC
auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?

Bisher ist noch kein einziges IPv6-Paket angekommen, das geforwarded werden wollte. Wenn ich eine
"ALLES ERLAUBEN"-in-Richtung-Internet-Regel erstelle, läuft dort nichts rein, wenn ich am PC Webseiten aufrufe.
Mitglied: 1915348599
1915348599 Mar 20, 2022 updated at 16:06:59 (UTC)
Goto Top
Zitat von @Datax87:
Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.
👍
Bisher werden allerdings alle Verbindungen zu Servern im Internet per "IPv4" aufgebaut. Habe den PC
auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?
So lange dein DNS-Server die IPv6 Adressen bei Anfragen zurückliefert, und du nicht am Rechner geschraubt hast das IPv4 bevorzugt genutzt wird, ja.

nslookup ipv6.google.com
ping -6 ipv6.google.com
https://ipv6-test.com/

Damit das hier jetzt nicht ausartet empfehle ich dir als jetzt als erstes:
https://danrl.com/ipv6/
Member: Datax87
Datax87 Mar 20, 2022 updated at 16:18:44 (UTC)
Goto Top
Die Namensauflösung funktioniert, bekomme also auch (wenn vorhanden) die IPv6-Adressen von angefragten
Hostnamen zurückgeliefert.

Nicht autorisierende Antwort:
Name:    ipv6.l.google.com
Address:  2a00:1450:4001:82f::200e
Aliases:  ipv6.google.com

Allerdings werden IPv6-Pakete noch nicht weitergeleitet. Kann also keine IPv6-Hosts im Internet anpingen.

Die IPv6-Firewall ist im FORWARD-Table auf Durchzug geschaltet und unter "IPv6" --> "Settings" ist "IPv6-Forward" aktiviert.
Mitglied: 1915348599
Solution 1915348599 Mar 20, 2022 updated at 16:23:55 (UTC)
Goto Top
Das hier ist nötig, mehr braucht es auf dem Mikrotik nicht wenn die v6 FW leer ist:
/ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=global_pool request=prefix
/ipv6 address add address=::1 from-pool=global_pool interface="vlan10 - LAN" advertise=yes  
/ipv6 nd set [ find default=yes ] interface="vlan10 - LAN" disabled=no  
Ansonsten hat dein Client ein v6 Problem bzw. es wurde dran gefummelt.

Ich bin jetzt raus, das eigentliche Problem wurde gelöst.

Ciao.
Member: Datax87
Datax87 Mar 20, 2022 updated at 16:28:31 (UTC)
Goto Top
Es läuft jetzt. Der Haken bei "Add Default Route" im DHCPv6-Client war nicht gesetzt.

Der Aufbau von Webseiten läuft spürbar schneller als unter IPv4 merke ich gerade ^^.

Danke dir für die Hilfe und deine Geduld face-smile.
Mitglied: 1915348599
1915348599 Mar 21, 2022 updated at 10:03:20 (UTC)
Goto Top
Zitat von @Datax87:

Es läuft jetzt. Der Haken bei "Add Default Route" im DHCPv6-Client war nicht gesetzt.
Ohne Default-Route kein routing an unbekannte Adressen logisch, ist bei IPv4 ja genau das gleiche, für IPv4 hast du ja auch manuell eine Default-Route zur Fritzbox hinzugefügt face-wink.
Der Aufbau von Webseiten läuft spürbar schneller als unter IPv4 merke ich gerade ^^.
Kein performance fressendes NAT mehr face-smile.
Danke dir für die Hilfe und deine Geduld face-smile.
Bidde.
Member: svenpaush
svenpaush Mar 31, 2022 at 10:32:04 (UTC)
Goto Top
Hallo, ich habe ebenfalls eine Fritzbox 7590 und ein Mikrotik in einer Routerkaskade.
Die Fritzbox und Mikrotik habe ich wie es hier beschrieben wurde eingestellt.

Mein Mikrotik selbst bekommt keine IPv6 Adresse
ein /ip cloud print zeigt mir nur die öffentliche IPv4 Adresse an.

Ist das bei euch auch so?
Was muss ich machen damit der Mikrotik selbst auch eine öffentliche ipv6 bekommt?
Denn ohne kann ich von unterwegs keinen VPN Tunnel aufbauen.

In der Fritzbox sehe ich folgendes:
PC-192-168-171-10
192.168.171.10
::764d:28ff:fe11:4b18

Ich habe den Präfix davor gesetzt und :764d:28ff:fe11:4b18 dahinter aber ich bekomme keine Verbindung zum Router.
Mitglied: 1915348599
1915348599 Mar 31, 2022 updated at 10:57:35 (UTC)
Goto Top
Zitat von @svenpaush:
ein /ip cloud print zeigt mir nur die öffentliche IPv4 Adresse an.
Kein Wunder denn die MIkrotik Cloud spricht nur IPv4 😉.
Du musst schon im DHCPv6 Client am Mikrotik nachsehen ob du eine Addresse/Prefix bekommen hast ...

Btw. Threads einfach so zu übernehmen kommt hier gar nicht gut, also neues Thema aufmachen bitte.
Member: svenpaush
svenpaush Mar 31, 2022 at 11:16:50 (UTC)
Goto Top
@1915348599
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:

https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Mitglied: 1915348599
1915348599 Mar 31, 2022 updated at 12:09:27 (UTC)
Goto Top
Zitat von @svenpaush:

@1915348599
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:

https://wiki.mikrotik.com/wiki/Manual:IP/Cloud

Ok dann haben sie das nun geändert.
Fakt ist damit das klappt musst du entweder auch eine Address im DHCPv6 beziehen (Haken setzen), nicht nur ein Prefix, oder alternativ aus dem Prefix-Pool einem Interface eine öffentliche IP zuweisen.
Zusätzlich müssen natürlich Port-Freigaben in der Fritzbox Firewall den Zugriff auch zulassen.
Member: svenpaush
svenpaush Mar 31, 2022 at 13:21:08 (UTC)
Goto Top
An den Port-Freigaben kann es meiner Meinung nicht liegen da ich IPv6 als Exposed Host angehakt habe.
Wenn ich im DHCPv6 Client den Haken zusätzlich bei address auswähle verliert der Mikrotik sein prefix.
Den Haken nur bei address bewirkt ebenfalls nichts. Heißt kein Prefix keine IPv6.
Das einzige was funktioniert ist wie im Screenshot zu erkennen ist den Haken bei prefix zu setzen.

Zusätzlich habe im DHCPv6 Client das Interface in der auch meine Clients drin sind einen Client Eintrag erstellt.
Der steht aber dauerhaft auf searching.
Mitglied: 1915348599
1915348599 Mar 31, 2022 updated at 13:27:28 (UTC)
Goto Top
Zitat von @svenpaush:

An den Port-Freigaben kann es meiner Meinung nicht liegen da ich IPv6 als Exposed Host angehakt habe.
Das war nur ein Hinweis falls noch nicht vorgenommen.
Wenn ich im DHCPv6 Client den Haken zusätzlich bei address auswähle verliert der Mikrotik sein prefix.
Dann hast du in der Fritte in den Netzwerkeinstellungen zu IPv6 nicht ausgewählt das diese zusätzlich zum Prefix auch Adressen per DHCPv6 im RA advertised.
Den Haken nur bei address bewirkt ebenfalls nichts. Heißt kein Prefix keine IPv6.
S. letzten Kommentar.
Zusätzlich habe im DHCPv6 Client das Interface in der auch meine Clients drin sind einen Client Eintrag erstellt.
Das ist Blödsinn!

Wenn man einem Interface eine Adresse aus einem Prefix Pool zuweisen möchte geht man über /ipv6 address, wählt dort den Pool aus und das Interface, schon bekommt das Interface automatisch eine Adresse aus dem Prefix-Pool zugewiesen.
Du solltest die oben verlinkten Tutorials mal genauer lesen min Jung ...
Member: svenpaush
svenpaush Mar 31, 2022 at 13:42:22 (UTC)
Goto Top
Ahhhhh face-smile.

Ok das war der Hinweis.
Im Link so richte ich die Fritzbox ein am Anfang wurde ein Screenshot eingestllt und diese Angenaben habe ich so übernommen.

Also für alle Mitlesenden fall ihr auch darüber Stoplert:

Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> unten rechtes ipv6 Einstellungen

Bei dem Punkt DHCPv6-Server im Heimnetz sollte laut der Anleitung DNS-Server und IPv6-Präfix (IA_PD) zuweisen ausgewählt werden.

Damit der Mikrotik auch eine IP Adresse erhält muss aber:
DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
ausgwählt werden.

Danke ist das auch geklärt.
fb-ipv6
Member: aqui
aqui Mar 31, 2022 at 13:47:56 (UTC)
Goto Top
Vielleicht solltest du besser nochmal einen FB Screenshot hier einstellen um das wasserdicht zu machen !!
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.
Mitglied: 1915348599
1915348599 Mar 31, 2022 updated at 13:49:13 (UTC)
Goto Top
Zitat von @aqui:

Vielleicht solltest du besser nochmal einen FB Screenshot hier einstellen um das wasserdicht zu machen !!
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.

Wurde doch schon geklärt ... S.letzten comment vom User.
Member: aqui
aqui Mar 31, 2022 at 13:51:16 (UTC)
Goto Top
Ein zusätzliches buntes Bild hilft manchmal ja mehr... 😉
Mitglied: 1915348599
1915348599 Mar 31, 2022 at 13:58:38 (UTC)
Goto Top
Zitat von @aqui:

Ein zusätzliches buntes Bild hilft manchmal ja mehr... 😉
Hatten wir zwar schon oben, aber dann halt mit anderer Markierung ...🙃
2926ef72fa5304c1703e2e4979d8f2d3__01
Member: aqui
aqui Mar 31, 2022 at 14:00:49 (UTC)
Goto Top
Perfekt ! 👍