40
IPv6-Prefix-Delegation auf MikroTik-Router mit FritzBox als Internetrouter
Hallo Leute,
kann mir vielleicht jemand einen Tipp geben, wo der Fehler in meiner bisherigen IPv6-Konfiguration liegen könnte?
Möchte gerne den Geräten in meinem LAN die Möglichkeit geben eigene öffentliche IPv6-Adressen zu beziehen.
Der DSL-Anschluss an meiner FritzBox ist Dual-Stack-Anschluss, habe also eine öffentliche IPv4- sowie eine öffentliche IPv6-Adresse.
Zur Verteilung von IPv6-Adressen an die Geräte im LAN wird ja auf dem MikroTik-Router erstmal ein IPv6-Prefix benötigt,
das die FritzBox dem MikroTik-Router zur Verfügung stellt.
Der Aufbau ist also DSL-Anschluss - (WAN-IP = a.b.c.d)FritzBox(LAN-IP=192.168.180.1/24)-------(ether1=192.168.180.2/24)MikroTik-Router(vlan10-IP = 192.168.10.1/24)
Der MikroTik-Router ist also per "ether1" an der FritzBox angeschlossen.
Nochmal zur Übersicht die IPs des MikroTik-Routers:
IP-Adresse Interface "ether1" = 192.168.180.2/24
IP-Adresse Interface "vlan10" = 192.168.10.1/24
Auf der FritzBox habe ich Folgendes gemacht:
Auf der FritzBox habe ich unter "Netzwerk" --> "Netzwerkeinstellungen" --> "IPv6-Adressen" den
DHCPv6-Server aktiviert mit der Option "DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren".
Außerdem ist die Option "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" aktiviert.
Habe auch Screenshots der Seite "IPv6-Einstellungen" der FritzBox mit angehangen.
Auf dem MikroTik-Router habe ich Folgendes gemacht:
Unter "IPv6" --> "ND" --> Reiter "Prefixes" die Verteilung eines IPv6-Prefixes für die Geräte im LAN eingerichtet (siehe Screenshot).
Unter "IPv6" --> "ND" Reiter "Interfaces" die "Neighbour Discovery" für das "vlan10"-Interface eingerichtet bzw. aktiviert (siehe Screenshot).
Unter "IPv6" --> "DHCPv6 Client" ein "DHCPv6 Client"-Interface auf dem Interface "ether1" angelegt (siehe Screenshot).
Leider erhalte ich kein IPv6-Prefix von der FritzBox zugewiesen. Das "DHCPv6 Client"-Interface bleibt im Status "searching...", mehr passiert aktuell nicht.
Auf dem MikroTik-Router habe ich in der INPUT-Table testweise eine "Alles erlauben"-Regel erstellt,
das hatte auch nicht geholfen.
Welche Ports und Protokolle müssen in der INPUT-Table später freigeschaltet sein, damit die IPv6-Prefix-Delegation
problemlos funktioniert? Die "Alles erlauben"-Regel soll natürlich nicht bleiben.
Kann jemand von Euch vielleicht helfen? Bekomme wie gesagt kein IPv6-Prefix zugewiesen auf dem MikroTik-Router,
das "DHCPv6 Client"-Interface bleibt im Status "searching...".
MfG, Datax
kann mir vielleicht jemand einen Tipp geben, wo der Fehler in meiner bisherigen IPv6-Konfiguration liegen könnte?
Möchte gerne den Geräten in meinem LAN die Möglichkeit geben eigene öffentliche IPv6-Adressen zu beziehen.
Der DSL-Anschluss an meiner FritzBox ist Dual-Stack-Anschluss, habe also eine öffentliche IPv4- sowie eine öffentliche IPv6-Adresse.
Zur Verteilung von IPv6-Adressen an die Geräte im LAN wird ja auf dem MikroTik-Router erstmal ein IPv6-Prefix benötigt,
das die FritzBox dem MikroTik-Router zur Verfügung stellt.
Der Aufbau ist also DSL-Anschluss - (WAN-IP = a.b.c.d)FritzBox(LAN-IP=192.168.180.1/24)-------(ether1=192.168.180.2/24)MikroTik-Router(vlan10-IP = 192.168.10.1/24)
Der MikroTik-Router ist also per "ether1" an der FritzBox angeschlossen.
Nochmal zur Übersicht die IPs des MikroTik-Routers:
IP-Adresse Interface "ether1" = 192.168.180.2/24
IP-Adresse Interface "vlan10" = 192.168.10.1/24
Auf der FritzBox habe ich Folgendes gemacht:
Auf der FritzBox habe ich unter "Netzwerk" --> "Netzwerkeinstellungen" --> "IPv6-Adressen" den
DHCPv6-Server aktiviert mit der Option "DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren".
Außerdem ist die Option "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" aktiviert.
Habe auch Screenshots der Seite "IPv6-Einstellungen" der FritzBox mit angehangen.
Auf dem MikroTik-Router habe ich Folgendes gemacht:
Unter "IPv6" --> "ND" --> Reiter "Prefixes" die Verteilung eines IPv6-Prefixes für die Geräte im LAN eingerichtet (siehe Screenshot).
Unter "IPv6" --> "ND" Reiter "Interfaces" die "Neighbour Discovery" für das "vlan10"-Interface eingerichtet bzw. aktiviert (siehe Screenshot).
Unter "IPv6" --> "DHCPv6 Client" ein "DHCPv6 Client"-Interface auf dem Interface "ether1" angelegt (siehe Screenshot).
Leider erhalte ich kein IPv6-Prefix von der FritzBox zugewiesen. Das "DHCPv6 Client"-Interface bleibt im Status "searching...", mehr passiert aktuell nicht.
Auf dem MikroTik-Router habe ich in der INPUT-Table testweise eine "Alles erlauben"-Regel erstellt,
das hatte auch nicht geholfen.
Welche Ports und Protokolle müssen in der INPUT-Table später freigeschaltet sein, damit die IPv6-Prefix-Delegation
problemlos funktioniert? Die "Alles erlauben"-Regel soll natürlich nicht bleiben.
Kann jemand von Euch vielleicht helfen? Bekomme wie gesagt kein IPv6-Prefix zugewiesen auf dem MikroTik-Router,
das "DHCPv6 Client"-Interface bleibt im Status "searching...".
MfG, Datax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2219226370
Url: https://administrator.de/contentid/2219226370
Printed on: April 19, 2024 at 18:04 o'clock
40 Comments
Latest comment
Der MikroTik-Router ist also per "ether1" an der FritzBox angeschlossen.
Kardinalsfrage wie immer: MIT oder OHNE Default Konfiguration ??In einer Kaskade solltest du es, wenn immer möglich, OHNE die MT Default Konfiguration machen, sprich also auf NO klicken wenn du in der WinBox danach gefragt wirst. Firewall und NAT Einträge in der Konfig sind dann leer.
Das sollte dir ggf. weiterhelfen:
Einstellungen der FritzBox für IPv6 in einer Kaskade:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Dahinter ist zwar eine pfSense kaskadiert aber für den kaskadierten Mikrotik ist das ja völlig identisch.
Mikrotik v6:
Welche IPv6 Adresse soll ich der LAN Schnittstelle meines Routers geben?
und auch
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Die Installation des PPPoE Interfaces dort kannst du ignorieren da nicht relevant in einer Kaskade.
Der MT muss hier als DHCPv6 Client gesetzt werden auf dem Koppelinterface zur FB, denn ansonsten könnte er die verkleinerten Prefixes die von der FritzBox per PD weitergegeben werden (DHCPv6 mit IA_PD auf der FB anschalten !) nicht umsetzen.
Welche Ports und Protokolle müssen in der INPUT-Table später freigeschaltet sein
Du solltest das generell erstmal OHNE aktive Firewall Rulesets für v6 zum Laufen bringen um dir keine Fussfallen zu legen.Inbound muss die FW UDP 547 und 546 erlauben (DHCPv6). On Top darfst du einige Protokoll spezifische ICMP Typen im v6 nicht filtern die für das IPv6 Protokoll Handling zwingend wichtig sind ! Siehe dazu HIER Tabelle 5 auf Seite 6.
Als Vergleich sind ggf. die v6 ICMP Access Listen eines Cisco Routers eine gute Hilfe zum Vergleich.
Beachte bei RouterOS 7.1 und ARM MT Hardware auch unbedingt das hier:
Kein IPv6 prefix via PPPoE (Mikrotik)
Leider machst du zu deiner MT HW ja keinerlei Angaben.
1
Hi, besten Dank für die Infos @aqui.
Der Router ist ein ein kleiner "hap ac²"-Router.
Zurzeit ist RouterOS 7.1.3 installiert.
Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.
Die IPv6-Konfiguration hatte er ja gegengeprüft unter RouterOS 6.49.4,
wo sie dann problemlos funktionierte.
Muss ich mich wohl etwas gedulden bis der Bug mit einer der nächsten RouterOS-Versionen gefixt ist.
Der Router ist ein ein kleiner "hap ac²"-Router.
Zurzeit ist RouterOS 7.1.3 installiert.
Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.
Die IPv6-Konfiguration hatte er ja gegengeprüft unter RouterOS 6.49.4,
wo sie dann problemlos funktionierte.
Muss ich mich wohl etwas gedulden bis der Bug mit einer der nächsten RouterOS-Versionen gefixt ist.
Zitat von @Datax87:
Hi, besten Dank für die Infos @aqui.
Der Router ist ein ein kleiner "hap ac²"-Router.
Zurzeit ist RouterOS 7.1.3 installiert.
Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.
Hi, besten Dank für die Infos @aqui.
Der Router ist ein ein kleiner "hap ac²"-Router.
Zurzeit ist RouterOS 7.1.3 installiert.
Kann also wirklich sein, dass da ein Bug die Ursache sein kann wie es
User "Pretty" berichtet hat.
Nope, das gilt nur für IPv6 PD via PPPoE Interface, was du ja nicht machst du hast ja nur eine einfach Routerkaskade un darüber klappt das problemlos auch im 7er Zweig ...
Deine Prefix-Delegation Settings sind falsch!
Das Setting im zweiten Screenshot ist falsch, du musst stattdessen dem VLAN Interface eine IP aus dem Prefix zuweisen und das Prefix damit advertisen, dann wird das Subnetz automatisch in den ND Settings mit D (Dynamic) Flag auftauchen
/ipv6 address add address=::1 from-pool=ipv6-pool interface="vlan10 - LAN" Des weiteren beachte die Firewall Settings für DHCPv6 wie @aqui schon drauf hingewiesen hat.
2
Ah, okay. Besten Dank @1915348599.
Ist also doch noch was falsch konfiguriert auf dem MikroTik-Router.
Wenn ich mit unten stehendem Befehl die 1. IP-Adresse aus dem IP-Pool "ipv6-pool"
auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).
/ipv6 address add address=::1 from-pool=ipv6-pool interface="vlan10 - LAN"
Muss ich den IP-Pool "ipv6-pool" unter "IPv6" --> "IP Pool" einfach selbst anlegen?
Falls ich diesen IP-Pool selbst anlegen muss, wie habe ich die Felder in diesem Einstellungsdialog
auszufüllen (siehe Screenshot zum Erstellen des IPv6-Pools).
Mir ist aufgefallen, dass auf meiner FritzBox noch keine Freigabe für den MikroTik-Router existiert.
Bei der Einrichtung der Freigabe muss man ja zum Beispiel die Option "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." anhaken.
Das Erstellen einer Freigabe für den MikroTik-Router scheitert im Moment an der Stelle,
dass ich nicht weiß, woher ich die "IPv6 Interface-ID" nehmen soll. Die entsprechenden Felder
werden nicht automatisch befüllt.
Ist also doch noch was falsch konfiguriert auf dem MikroTik-Router.
Wenn ich mit unten stehendem Befehl die 1. IP-Adresse aus dem IP-Pool "ipv6-pool"
auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).
/ipv6 address add address=::1 from-pool=ipv6-pool interface="vlan10 - LAN"
Muss ich den IP-Pool "ipv6-pool" unter "IPv6" --> "IP Pool" einfach selbst anlegen?
Falls ich diesen IP-Pool selbst anlegen muss, wie habe ich die Felder in diesem Einstellungsdialog
auszufüllen (siehe Screenshot zum Erstellen des IPv6-Pools).
Mir ist aufgefallen, dass auf meiner FritzBox noch keine Freigabe für den MikroTik-Router existiert.
Bei der Einrichtung der Freigabe muss man ja zum Beispiel die Option "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." anhaken.
Das Erstellen einer Freigabe für den MikroTik-Router scheitert im Moment an der Stelle,
dass ich nicht weiß, woher ich die "IPv6 Interface-ID" nehmen soll. Die entsprechenden Felder
werden nicht automatisch befüllt.
Zitat von @Datax87:
Wenn ich mit unten stehendem Befehl die 1. IP-Adresse aus dem IP-Pool "ipv6-pool"
auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).
Dann hat dein DHCPv6 Client das Prefix noch nicht bezogen, somit gibt es den Pool aktuell noch nicht.auf "vlan10 - LAN" konfigurieren möchte, wird mir angezeigt, dass es diesen IP-Pool nicht gibt (siehe Screenshot).
Muss ich den IP-Pool "ipv6-pool" unter "IPv6" --> "IP Pool" einfach selbst anlegen?
Nein, der wird automatisch angelegt, du hast den Namen ja selbst im DHCP Client definiert!Mir ist aufgefallen, dass auf meiner FritzBox noch keine Freigabe für den MikroTik-Router existiert.
Nein die ist nicht nötig, nur wenn du Server Dienste anbieten willst!Schau dir die Einrichtung des PD in den o.g. Anleitungen nochmal genau an.
Und checke wie gesagt die Firewall am WAN des MIkrotik falls du dort eine aktiv hast muss dort UDP546 im INPUT und ICMPv6 im
INPUT freigegeben sein!
2Zitat von @1915348599:
Dann hat dein DHCPv6 Client das Prefix noch nicht bezogen, somit gibt es den Pool aktuell noch nicht.
Dann hat dein DHCPv6 Client das Prefix noch nicht bezogen, somit gibt es den Pool aktuell noch nicht.
Ja, genau. Daran scheitert es im Moment noch. Der DHCPv6-Client kann von der FritzBox kein Prefix beziehen,
verbleibt im Status "searching..." (siehe Screenshot).
"ICMPv6" sowie der UDP-Port 546 müssen im INPUT-Table für "IPv6" freigegeben sein!? Also die entsprechenden Firewall-Regeln muss ich dann unter "IPv6" --> "Firewall" einrichten, richtig?
Weiß gerade nicht den Grund, warum der MikroTik-Router kein Prefix von der FritzBox bekommt.
Wenn ich das richtig verstanden habe, muss außer der DHCPv6-Client nichts Weiteres eingerichtet werden,
um ein IPv6-Prefix von der FritzBox zu bekommen.
Die Einstellungen des DHCPv6-Servers der FritzBox habe ich so eingestellt wie es in der Anleitung beschrieben steht (siehe Screenshot im Anhang).
Zitat von @Datax87:
Ja, genau. Daran scheitert es im Moment noch. Der DHCPv6-Client kann von der FritzBox kein Prefix beziehen,
verbleibt im Status "searching..." (siehe Screenshot).
OK, dann wird deine FW noch blockieren.Ja, genau. Daran scheitert es im Moment noch. Der DHCPv6-Client kann von der FritzBox kein Prefix beziehen,
verbleibt im Status "searching..." (siehe Screenshot).
"ICMPv6" sowie der UDP-Port 546 müssen im INPUT-Table für "IPv6" freigegeben sein!? Also die entsprechenden Firewall-Regeln muss ich dann unter "IPv6" --> "Firewall" einrichten, richtig?
Rischtisch. Denn DHCPv6 Antworten kommen stateless von Port 547 des DHCPv6 Servers an Port 546UDP an der Firewall des Routers an, diese Regel ist essentiell für das Funktionieren von DHCPv6, genauso wie das ICMPv6 Protokoll, beides muss zwingend in der IPv6 INPUT-Chain freigeschaltete werden!Wenn ich das richtig verstanden habe, muss außer der DHCPv6-Client nichts Weiteres eingerichtet werden,
um ein IPv6-Prefix von der FritzBox zu bekommen.
Außer dem Firewall-Regeln, nein, das ist richtig.um ein IPv6-Prefix von der FritzBox zu bekommen.
Die Einstellungen des DHCPv6-Servers der FritzBox habe ich so eingestellt wie es in der Anleitung beschrieben steht (siehe Screenshot im Anhang).
Das ist korrekt so.Übrigens, ein sniffen mit dem MIkrotik im WAN Port zeigt dir im Klartext was Sache ist 😉
Mach dir einfach nochmal klar wie DHCPv6 im Background funktioniert, dann ist das ein Klacks.
Ein MIkrotik ist halt nix für Fritzbüx Klicki Bunti User, hier muss man schon mehr von der Materie und dem Protokoll-Background verstehen um ihn wirklich auszureizen.
2Zitat von @1915348599:
OK, dann wird deine FW noch blockieren.
Hm, wüsste nur nicht wie er das machen sollte. Hatte bis gerade keine einzige Firewall-Regel für "IPv6" festgelegt. Meines Wissens ist dann einfach jeglicher Traffic erlaubt, weil es ja auch keinerlei DROP-Regeln gibt.
Habe aber gerade auch einfach nochmal "ICMPv6" sowie UDP-Port 546 im INPUT-Table für "IPv6" freigeschaltet (siehe Screenshot).
Der "DHCPv6"-Client ist weiterhin im Status "searching...".
Wenn ich mit dem Packet-Sniffer auf "ether1-WAN" den Traffic mitschneide, dann sehe ich dort weder eingehend auf UDP-Port 546 irgendwas ankommen, noch Traffic, der vom MikroTik-Router an UDP-Port 547 versendet wird. Im Grunde passiert da im Moment was die Kommunikation zwischen dem DHCPv6-Server und dem DHCPv6-Client betrifft, rein gar nichts.
Wo könnte ich noch etwas falsch konfiguriert haben?
Zitat von @Datax87:
Hm, wüsste nur nicht wie er das machen sollte. Hatte bis gerade keine einzige Firewall-Regel für "IPv6" festgelegt. Meines Wissens ist dann einfach jeglicher Traffic erlaubt, weil es ja auch keinerlei DROP-Regeln gibt.
In dem Fall ist natürlich Durchzug dann brauchst du sie nicht.Hm, wüsste nur nicht wie er das machen sollte. Hatte bis gerade keine einzige Firewall-Regel für "IPv6" festgelegt. Meines Wissens ist dann einfach jeglicher Traffic erlaubt, weil es ja auch keinerlei DROP-Regeln gibt.
Der "DHCPv6"-Client ist weiterhin im Status "searching...".
Wenn ich mit dem Packet-Sniffer auf "ether1-WAN" den Traffic mitschneide, dann sehe ich dort weder eingehend auf UDP-Port 546 irgendwas ankommen, noch Traffic, der vom MikroTik-Router an UDP-Port 547 versendet wird. Im Grunde passiert da im Moment was die Kommunikation zwischen dem DHCPv6-Server und dem DHCPv6-Client betrifft, rein gar nichts.
Das ist schlecht.Wenn ich mit dem Packet-Sniffer auf "ether1-WAN" den Traffic mitschneide, dann sehe ich dort weder eingehend auf UDP-Port 546 irgendwas ankommen, noch Traffic, der vom MikroTik-Router an UDP-Port 547 versendet wird. Im Grunde passiert da im Moment was die Kommunikation zwischen dem DHCPv6-Server und dem DHCPv6-Client betrifft, rein gar nichts.
Dann setze den MIkrotik mal komplett zurück ohne die Default-Config zu laden und konfiguriere ihn neu.
Oder am besten die 7er Firmware nochmal per Netinstall drauf klatschen um sicher zu gehen das keine Überbleibsel der 6er Firmware Probleme machen,das ist nämlich in den meisten Fällen beim Upgrade auf die 7er das Problem.
Wo könnte ich noch etwas falsch konfiguriert haben?
Poste deine komplette Config hier mal im KlartextEin export hide-sensitive im Terminal erledigt das
2Zitat von @1915348599:
Dann setze den MIkrotik mal komplett zurück ohne die Default-Config zu laden und konfiguriere ihn neu.
Oder am besten die 7er Firmware nochmal per Netinstall drauf klatschen um sicher zu gehen das keine Überbleibsel der 6er Firmware Probleme machen,das ist nämlich in den meisten Fällen beim Upgrade auf die 7er das Problem.
Oder am besten die 7er Firmware nochmal per Netinstall drauf klatschen um sicher zu gehen das keine Überbleibsel der 6er Firmware Probleme machen,das ist nämlich in den meisten Fällen beim Upgrade auf die 7er das Problem.
Ein export hide-sensitive im Terminal erledigt das
Wenn ich ein Config-Backup mit dem "export"-Befehl mache, wird dann wirklich ALLES (also 100,00 %) der aktuellen Konfiguration gesichert?
Oder gibt es noch Sachen, die ich sonst wie per Hand sichern muss? Die Zertifikate und PrivateKeys für OpenVPN-Verbindungen werde ich ja per Hand sichern müssen, denke ich.
Noch was, an das ich denken sollte, bevor ich den Router platt mache und nochmal neu installiere?
Zitat von @Datax87:
Wenn ich ein Config-Backup mit dem "export"-Befehl mache, wird dann wirklich ALLES (also 100,00 %) der aktuellen Konfiguration gesichert?
Nein, Dateien oder Zertifikate nicht die musst du dann separat sichern.Wenn ich ein Config-Backup mit dem "export"-Befehl mache, wird dann wirklich ALLES (also 100,00 %) der aktuellen Konfiguration gesichert?
Man kann zwar ein binary Backup machen dann spielst du dir aber evt. Fehler genauso wieder mit zurück.
Oder gibt es noch Sachen, die ich sonst wie per Hand sichern muss? Die Zertifikate und PrivateKeys für OpenVPN-Verbindungen werde ich ja per Hand sichern müssen, denke ich.
Jepp.Noch was, an das ich denken sollte, bevor ich den Router platt mache und nochmal neu installiere?
Zertifikate sollte man ja eh extern gesichert haben. Ansonsten eben noch die Sachen die du im Dateisystem unter "Files" abgelegt hast und evt. noch brauchst.
Auf Werkseinstellungen zurücksetzen und dann das Config-Backup zurückspielen war nicht ausreichend. Das habe ich gerade ausprobiert.
Das Zurücksichern des Config-Backups mit dem import-Befehl sowie das Importieren der Zertifikate war alles kein Problem. Allerdings weiterhin das Problem, dass der DHCPv6-Client im Status "searching..." verbleibt.
Mal schaun, vielleicht installiere ich den Router wie du sagtest per "Netinstall" mal neu,
also Firmware neu aufspielen. Und danach wieder das Config-Backup einspielen und erneut testen,
ob der DHCPv6-Client dann funktioniert.
Danke dir schon mal für die Hilfe
.
Das Zurücksichern des Config-Backups mit dem import-Befehl sowie das Importieren der Zertifikate war alles kein Problem. Allerdings weiterhin das Problem, dass der DHCPv6-Client im Status "searching..." verbleibt.
Mal schaun, vielleicht installiere ich den Router wie du sagtest per "Netinstall" mal neu,
also Firmware neu aufspielen. Und danach wieder das Config-Backup einspielen und erneut testen,
ob der DHCPv6-Client dann funktioniert.
Danke dir schon mal für die Hilfe
.Und danach wieder das Config-Backup einspielen
Lass das mal komplett weg und konfiguriere rein eine IP für den WAN, default route und setze den DHCPv6 Client und checke dann. Deine Config haben wir hier ja leider immer noch nicht im Klartext vorliegen .Mal schaun,
Und deiner FritzBox vertraust du blind ? Vielleicht ist die ja auch der böse Buhmann und möchte mal rebootet werden... ?!Hilfreich wäre da im Zweifel einmal ein Wireshark Trace der DHCPv6 Kommunikation auf dem Koppellink. Da sollte sich dann sehr schnell zeigen wo der Fehler liegt.
Habe gerade den MikroTik-Router nochmal zurückgesetzt. Nach dem Zurücksetzen des Routers ohne Einspielen der Config habe ich dann ein DHCPv6-Client-Interface erstellt und konnte problemlos ein IPv6-Prefix beziehen (siehe Screenshot).
Da muss also was im Argen sein mit meiner Config. Welche Teile der Config könnten da Probleme bereiten? Könnt ihr mir sagen, was ich überprüfen sollte, ohne, dass ich hier meine gesamte Config posten muss?
Da muss also was im Argen sein mit meiner Config. Welche Teile der Config könnten da Probleme bereiten? Könnt ihr mir sagen, was ich überprüfen sollte, ohne, dass ich hier meine gesamte Config posten muss?
ohne, dass ich hier meine gesamte Config posten muss?
Wo ist denn das Problem? Der hide-sensitive parameter beim export entfernt schon die meisten "persönlichen" secrets aus dem export, bisl nachträgliche anonymisierung feddisch, spart dir und vor allem uns unnötige Rumraterei und Zeit! Kann viele Ursachen haben, von falschem Interface über verbogene Routen, fälschlich nicht wissend hinterlegte OSPF Interfaces, etc. pp.Du hast die Wahl, vermutlich eine schnell und unkomplizierte Lösung oder langwierige rum raterei was du wohl wie konfiguriert hast ...
Bei letzterem wäre ich definitiv raus, da ist mir die Zeit dann doch zu schade wenn man hier auf dem trockenen sitzen gelassen wird.
1
Hi, hier ist die Config des MikroTik-Routers:
/interface bridge
add ingress-filtering=no name="bridge1 - LAN-DMZ" protocol-mode=none \
vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] name=ether5-Trunk
/interface wireguard
add listen-port=13231 mtu=1420 name=wg0
/interface vlan
add interface="bridge1 - LAN-DMZ" name="vlan10 - LAN" vlan-id=10
add interface="bridge1 - LAN-DMZ" name="vlan20 - DMZ" vlan-id=20
add interface="bridge1 - LAN-DMZ" name="vlan30 - WLAN-G\E4ste" vlan-id=30
add interface="bridge1 - LAN-DMZ" name="vlan40 - WLAN-Arbeit" vlan-id=40
add interface="bridge1 - LAN-DMZ" name="vlan50 - LAN-Arbeit" vlan-id=50
add interface="bridge1 - LAN-DMZ" name="vlan99 - MGMT" vlan-id=99
/interface ovpn-client
add certificate=Jitsi-MikroTik-OVPN-Client cipher=aes256 connect-to=\
AA.BB.CC.DD.EE mac-address=02:EC:3C:E2:11:F4 name=ovpn-jitsi port=22445 \
use-peer-dns=no user=mikrotik
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-2G supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-5G supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-2G-7360N supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-2G-Guest supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-5G-Guest supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
BlubBlub-5G-Arbeit supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-XX \
country=germany disabled=no frequency=2452 installation=indoor mode=\
ap-bridge name="wlan1 - BlubBlub-2G" security-profile=BlubBlub-2G ssid=\
BlubBlub-2G wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=\
20/40/80mhz-XXXX country=germany disabled=no frequency=auto installation=\
indoor mode=ap-bridge name="wlan2 - BlubBlub-5G" security-profile=\
BlubBlub-5G skip-dfs-channels=all ssid=BlubBlub-5G wireless-protocol=802.11 \
wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BA \
master-interface="wlan1 - BlubBlub-2G" multicast-buffering=disabled name=\
"wlan3 - BlubBlub-2G-7360N" security-profile=BlubBlub-2G-7360N ssid=\
BlubBlub-2G-7360N wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BB master-interface=\
"wlan1 - BlubBlub-2G" multicast-buffering=disabled name=\
"wlan4 - BlubBlub-2G-Guest" security-profile=BlubBlub-2G-Guest ssid=\
BlubBlub-2G-Guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BC master-interface=\
"wlan2 - BlubBlub-5G" multicast-buffering=disabled name=\
"wlan5 - BlubBlub-5G-Guest" security-profile=BlubBlub-5G-Guest ssid=\
BlubBlub-5G-Guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add hide-ssid=yes keepalive-frames=disabled mac-address=4A:8F:5A:4D:C3:BD \
master-interface="wlan2 - BlubBlub-5G" multicast-buffering=disabled name=\
"wlan6 - BlubBlub-5G-Arbeit" security-profile=BlubBlub-5G-Arbeit ssid=\
BlubBlub-5G-Arbeit wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] login-by=cookie
/ip ipsec profile
set [ find default=yes ] dh-group=\
modp8192,modp6144,modp4096,modp2048,modp1024 enc-algorithm=\
aes-256,aes-128,3des nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.10.100-192.168.10.199
add name=dhcp_pool1 ranges=192.168.20.100-192.168.20.199
add name=dhcp_pool2 ranges=192.168.30.100-192.168.30.199
add name=dhcp_pool5 ranges=192.168.40.100-192.168.40.199
add name=dhcp_pool6 ranges=192.168.50.100-192.168.50.199
/ip dhcp-server
add address-pool=dhcp_pool0 interface="vlan10 - LAN" name=dhcp1
add address-pool=dhcp_pool1 interface="vlan20 - DMZ" name=dhcp2
add address-pool=dhcp_pool2 interface="vlan30 - WLAN-G\E4ste" name=dhcp3
add address-pool=dhcp_pool5 interface="vlan40 - WLAN-Arbeit" name=dhcp4
add address-pool=dhcp_pool6 interface="vlan50 - LAN-Arbeit" name=dhcp5
/ppp profile
set *0 use-compression=no
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=ether5-Trunk \
pvid=77
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\
"wlan1 - BlubBlub-2G" pvid=10
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\
"wlan2 - BlubBlub-5G" pvid=10
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\
"wlan3 - BlubBlub-2G-7360N" pvid=20
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\
"wlan4 - BlubBlub-2G-Guest" pvid=30
add bridge="bridge1 - LAN-DMZ" ingress-filtering=no interface=\
"wlan5 - BlubBlub-5G-Guest" pvid=30
add bridge="bridge1 - LAN-DMZ" interface="wlan6 - BlubBlub-5G-Arbeit" pvid=40
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge="bridge1 - LAN-DMZ" tagged="ether5-Trunk,bridge1 - LAN-DMZ" \
untagged="wlan1 - BlubBlub-2G,wlan2 - BlubBlub-5G" vlan-ids=10
add bridge="bridge1 - LAN-DMZ" tagged="ether5-Trunk,bridge1 - LAN-DMZ" \
untagged="wlan3 - BlubBlub-2G-7360N" vlan-ids=20
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ,ether5-Trunk" \
vlan-ids=99
add bridge="bridge1 - LAN-DMZ" untagged=ether2,ether3,ether4,ether5-Trunk \
vlan-ids=77
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ,ether5-Trunk" \
vlan-ids=50
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ" untagged=\
"wlan4 - BlubBlub-2G-Guest,wlan5 - BlubBlub-5G-Guest" vlan-ids=30
add bridge="bridge1 - LAN-DMZ" tagged="bridge1 - LAN-DMZ" untagged=\
"wlan6 - BlubBlub-5G-Arbeit" vlan-ids=40
/interface l2tp-server server
set authentication=mschap2 default-profile=default use-ipsec=yes
/interface ovpn-server server
set auth=sha1 cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=10.10.10.2/32 interface=wg0 persistent-keepalive=25s \
public-key="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
/ip address
add address=192.168.180.2/24 interface=ether1-WAN network=192.168.180.0
add address=192.168.10.1/24 interface="vlan10 - LAN" network=192.168.10.0
add address=192.168.20.1/24 interface="vlan20 - DMZ" network=192.168.20.0
add address=192.168.0.1/24 interface="vlan99 - MGMT" network=192.168.0.0
add address=192.168.30.1/24 interface="vlan30 - WLAN-G\E4ste" network=\
192.168.30.0
add address=192.168.40.1/24 interface="vlan40 - WLAN-Arbeit" network=\
192.168.40.0
add address=192.168.50.1/24 interface="vlan50 - LAN-Arbeit" network=\
192.168.50.0
add address=10.10.10.1 interface=wg0 network=10.10.10.2
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.50.1
/ip dns
set allow-remote-requests=yes servers=192.168.20.6
/ip firewall address-list
add address=8.8.8.8 list=Google-DNS
add address=8.8.4.4 list=Google-DNS
add address=10.0.0.0/8 list=PrivateNetworks
add address=172.16.0.0/12 list=PrivateNetworks
add address=192.168.0.0/16 list=PrivateNetworks
add address=1.1.1.1 list=Cloudflare-DNS
add address=1.0.0.1 list=Cloudflare-DNS
add address=1.1.1.1 list=AdGuard_Do53
add address=1.0.0.1 list=AdGuard_Do53
add address=8.8.8.8 list=AdGuard_Do53
add address=8.8.4.4 list=AdGuard_Do53
add address=9.9.9.9 list=AdGuard_Do53
add address=149.112.112.112 list=AdGuard_Do53
add address=1.1.1.1 list=AdGuard_DoT
add address=8.8.8.8 list=AdGuard_DoT
add address=8.8.4.4 list=AdGuard_DoT
add address=9.9.9.9 list=AdGuard_DoT
add address=149.112.112.112 list=AdGuard_DoT
add address=1.0.0.1 list=AdGuard_DoT
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\
d this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \
need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\
\_need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment=\
"MC, Class D, IANA # Check if you need this subnet before enable it" \
disabled=yes list=bogons
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=accept chain=forward comment=\
"Established- + Related-Pakete erlauben" connection-state=\
established,related
add action=accept chain=forward comment=\
"Verbindungen zu WireGuard-Server erlauben" disabled=yes dst-address=\
192.168.20.4 dst-port=51820 in-interface=ether1-WAN out-interface=\
"vlan20 - DMZ" protocol=udp
add action=accept chain=forward comment=\
"HTTP + HTTPS f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=\
80,443 in-interface="vlan10 - LAN" protocol=tcp src-address=\
192.168.10.0/24
add action=accept chain=forward comment=\
"SSH f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=22 \
in-interface="vlan10 - LAN" protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"SMB f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" dst-port=445 \
in-interface="vlan10 - LAN" protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment="OpenVPN f\FCr LAN-Netz erlauben" \
disabled=yes dst-port=1194 in-interface="vlan10 - LAN" out-interface=\
ether1-WAN protocol=udp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"SSH-Zugang zu Jitsi-Server (OpenVPN-IP) f\FCr LAN-Netz erlauben" \
dst-address=10.8.0.1 dst-port=22444 in-interface="vlan10 - LAN" \
out-interface=ovpn-jitsi protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"POP3S, IMAPS, SMTPS f\FCr LAN-Netz erlauben" dst-address-list=\
!PrivateNetworks dst-port=465,993,995 in-interface="vlan10 - LAN" \
out-interface=ether1-WAN protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"DoT zu Cloudflare-DNS f\FCr LAN-Netz erlauben" dst-address-list=\
Cloudflare-DNS dst-port=853 in-interface="vlan10 - LAN" out-interface=\
ether1-WAN protocol=tcp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"NTP zu FritzBox f\FCr LAN-Netz erlauben" dst-address=192.168.180.1 \
dst-port=123 in-interface="vlan10 - LAN" out-interface=ether1-WAN \
protocol=udp src-address=192.168.10.0/24
src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"ICMP f\FCr LAN-Netz ohne Einschr\E4nkungen erlauben" in-interface=\
"vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24
add action=accept chain=forward comment=\
"HTTP + HTTPS f\FCr DMZ-Netz (keine privaten Ziel-IPs) erlauben" \
dst-address-list=!PrivateNetworks dst-port=80,443 in-interface=\
"vlan20 - DMZ" out-interface=ether1-WAN protocol=tcp src-address=\
192.168.20.0/24
add action=accept chain=forward comment=\
"NTP f\FCr DMZ-Netz ohne Einschr\E4nkugen erlauben" dst-port=123 \
in-interface="vlan20 - DMZ" out-interface=ether1-WAN protocol=udp \
src-address=192.168.20.0/24
add action=accept chain=forward comment="Do53 f\FCr AdGuard-RasPi erlauben" \
dst-address-list=AdGuard_Do53 dst-port=53 in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=tcp src-address=192.168.20.6
add action=accept chain=forward comment="DoT f\FCr AdGuard-RasPi erlauben" \
dst-address-list=AdGuard_DoT dst-port=853 in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=tcp src-address=192.168.20.6
add action=accept chain=forward comment=\
"ICMP f\FCr DMZ-Netz (keine privaten Ziel-IPs) erlauben" \
dst-address-list=!PrivateNetworks in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=icmp src-address=192.168.20.0/24
add action=accept chain=forward comment=\
"HTTP + HTTPS f\FCr Gast-WLAN-Netz erlauben" dst-address-list=\
!PrivateNetworks dst-port=80,443 in-interface="vlan30 - WLAN-G\E4ste" \
out-interface=ether1-WAN protocol=tcp src-address=192.168.30.0/24
add action=accept chain=forward comment="Internet-Traffic (keine privaten Ziel\
-IPs) f\FCr das Arbeits-WLAN erlauben" dst-address-list=!PrivateNetworks \
in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN src-address=\
192.168.40.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (TCP) zu Cloudflare-DNS f\FCr Arbeits-WLAN" dst-address=\
1.1.1.1 dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=\
ether1-WAN protocol=tcp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (UDP) zu Cloudflare-DNS f\FCr Arbeits-WLAN" dst-address=\
1.1.1.1 dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=\
ether1-WAN protocol=udp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (TCP) zu Google-DNS f\FCr Arbeits-WLAN" dst-address=8.8.8.8 \
dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN \
protocol=tcp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (UDP) zu Google-DNS f\FCr Arbeits-WLAN" dst-address=8.8.8.8 \
dst-port=53 in-interface="vlan40 - WLAN-Arbeit" out-interface=ether1-WAN \
protocol=udp src-address=192.168.40.0/24
add action=accept chain=forward comment=\
"Erlaube SMB zu NAS f\FCr Arbeits-WLAN" disabled=yes dst-address=\
192.168.20.3 dst-port=445 in-interface="vlan40 - WLAN-Arbeit" log=yes \
log-prefix="SMB - Arbeits-WLAN" out-interface="vlan20 - DMZ" protocol=tcp \
src-address=192.168.40.0/24
add action=accept chain=forward comment="Internet-Traffic (keine privaten Ziel\
-IPs) f\FCr das Arbeits-LAN erlauben" dst-address-list=!PrivateNetworks \
in-interface="vlan50 - LAN-Arbeit" out-interface=ether1-WAN src-address=\
192.168.50.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (TCP) zu Cloudflare-DNS f\FCr das Arbeits-LAN" dst-address=\
1.1.1.1 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\
ether1-WAN protocol=tcp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (UDP) zu Cloudflare-DNS f\FCr das Arbeits-LAN" dst-address=\
1.1.1.1 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\
ether1-WAN protocol=udp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (TCP) zu Google-DNS f\FCr das Arbeits-LAN" dst-address=\
8.8.8.8 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\
ether1-WAN protocol=tcp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
"Erlaube DNS (UDP) zu Google-DNS f\FCr das Arbeits-LAN" dst-address=\
8.8.8.8 dst-port=53 in-interface="vlan50 - LAN-Arbeit" out-interface=\
ether1-WAN protocol=udp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
"Erlaube SMB zu NAS f\FCr Arbeits-LAN" dst-address=192.168.20.3 dst-port=\
445 in-interface="vlan50 - LAN-Arbeit" log-prefix="SMB - Arbeits-WLAN" \
out-interface="vlan20 - DMZ" protocol=tcp src-address=192.168.50.0/24
add action=accept chain=forward comment=\
"HTTP + HTTPS f\FCr VPN-Netz erlauben" dst-address-list=!PrivateNetworks \
dst-port=80,443 in-interface="vlan20 - DMZ" out-interface=ether1-WAN \
protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
"DoT zu Cloudflare-DNS f\FCr VPN-Netz erlauben" dst-address-list=\
Cloudflare-DNS dst-port=853 in-interface="vlan20 - DMZ" out-interface=\
ether1-WAN protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
"DNS (UDP) zu Cloudflare-DNS f\FCr VPN-Netz erlauben" disabled=yes \
dst-address-list=Cloudflare-DNS dst-port=53 in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=udp src-address=10.0.0.0/24
add action=accept chain=forward comment=\
"DNS (TCP) zu Cloudflare-DNS f\FCr VPN-Netz erlauben" disabled=yes \
dst-address-list=Cloudflare-DNS dst-port=53 in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward comment="ICMP f\FCr VPN-Netz erlauben" \
dst-address-list=!PrivateNetworks in-interface="vlan20 - DMZ" \
out-interface=ether1-WAN protocol=icmp src-address=10.0.0.0/24
add action=accept chain=forward comment="Internet-Traffic, der \FCber wg0 (Wir\
eGuard) ankommt, vollst\E4ndig erlauben" disabled=yes dst-address-list=\
!PrivateNetworks in-interface=wg0 out-interface=ether1-WAN src-address=\
10.10.10.2
add action=drop chain=forward
add action=accept chain=input comment=\
"Established- + Related-Pakete erlauben" connection-state=\
established,related
add action=accept chain=input comment=\
"Verbindungen zu WireGuard-Server erlauben" disabled=yes dst-address=\
192.168.180.3 dst-port=13231 in-interface=ether1-WAN protocol=udp
add action=accept chain=input comment="ICMP auf WireGuard-IP erlauben" \
disabled=yes dst-address=10.10.10.1 in-interface=wg0 protocol=icmp
add action=accept chain=input comment="DNS (TCP) f\FCr LAN-Netz erlauben" \
dst-address=192.168.10.1 dst-port=53 in-interface="vlan10 - LAN" \
protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment="DNS (UDP) f\FCr LAN-Netz erlauben " \
dst-address=192.168.10.1 dst-port=53 in-interface="vlan10 - LAN" \
protocol=udp src-address=192.168.10.0/24
add action=accept chain=input comment="SSH f\FCr LAN-Netz erlauben" \
dst-address=192.168.10.1 dst-port=22 in-interface="vlan10 - LAN" \
protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment="WinBox f\FCr LAN-Netz erlauben" \
dst-address=192.168.10.1 dst-port=8291 in-interface="vlan10 - LAN" \
protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment=\
"ICMP auf Router f\FCr LAN-Netz erlauben" dst-address=192.168.10.1 \
in-interface="vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24
add action=accept chain=input comment=\
"ICMP auf VPN-IP f\FCr LAN-Netz erlauben" dst-address=10.8.0.2 \
in-interface="vlan10 - LAN" protocol=icmp src-address=192.168.10.0/24
add action=accept chain=input comment="DNS (TCP) f\FCr DMZ-Netz erlauben" \
dst-address=192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" \
protocol=tcp src-address=192.168.20.0/24
add action=accept chain=input comment="DNS (UDP) f\FCr DMZ-Netz erlauben" \
dst-address=192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" \
protocol=udp src-address=192.168.20.0/24
add action=accept chain=input comment=\
"ICMP auf Router f\FCr DMZ-Netz erlauben" dst-address=192.168.20.1 \
in-interface="vlan20 - DMZ" protocol=icmp src-address=192.168.20.0/24
add action=accept chain=input comment=\
"DNS (TCP) f\FCr Gast-WLAN-Netz erlauben" dst-address=192.168.30.1 \
dst-port=53 in-interface="vlan30 - WLAN-G\E4ste" protocol=tcp \
src-address=192.168.30.0/24
add action=accept chain=input comment=\
"DNS (UDP) f\FCr Gast-WLAN-Netz erlauben" dst-address=192.168.30.1 \
dst-port=53 in-interface="vlan30 - WLAN-G\E4ste" protocol=udp \
src-address=192.168.30.0/24
add action=accept chain=input comment=\
"ICMP auf Router f\FCr Arbeits-WLAN erlauben" dst-address=192.168.40.1 \
in-interface="vlan40 - WLAN-Arbeit" protocol=icmp src-address=\
192.168.40.0/24
add action=accept chain=input comment=\
"ICMP auf Router f\FCr Arbeits-LAN erlauben" dst-address=192.168.50.1 \
in-interface="vlan50 - LAN-Arbeit" protocol=icmp src-address=\
192.168.50.0/24
add action=accept chain=input comment=\
"DNS (UDP) f\FCr \"NETGEAR GS108T\"-Switch erlauben" disabled=yes \
dst-address=192.168.0.1 dst-port=53 in-interface="vlan99 - MGMT" \
protocol=udp src-address=192.168.0.2
add action=accept chain=input comment=\
"DNS (TCP) f\FCr \"NETGEAR GS108T\"-Switch erlauben" disabled=yes \
dst-address=192.168.0.1 dst-port=53 in-interface="vlan99 - MGMT" \
protocol=tcp src-address=192.168.0.2
add action=accept chain=input comment=\
"DNS (UDP) auf Router f\FCr VPN-Netz erlauben" disabled=yes dst-address=\
192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" protocol=udp \
src-address=10.0.0.0/24
add action=accept chain=input comment=\
"DNS (TCP) auf Router f\FCr VPN-Netz erlauben" disabled=yes dst-address=\
192.168.20.1 dst-port=53 in-interface="vlan20 - DMZ" protocol=tcp \
src-address=10.0.0.0/24
add action=accept chain=input comment=\
"ICMP auf Router f\FCr VPN-Netz erlauben" dst-address=192.168.20.1 \
in-interface="vlan20 - DMZ" protocol=icmp src-address=10.0.0.0/24
add action=drop chain=input log=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=ether1-WAN \
src-address=10.10.10.2
/ip firewall raw
add action=drop chain=prerouting src-address-list=bogons
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.180.1 routing-table=\
main suppress-hw-offload=no
/ip smb users
add name=guest
add name=guest
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set cpu-frequency=auto
Danke! Das hier sollte auf jeden Fall schon mal raus fliegen, das verursacht vielfach solche und andere Probleme wenn man OSPF eh nicht nutzt (v7 schieet den sie in den Default-Configs noch nicht behoben haben):
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2Zitat von @1915348599:
Danke! Das hier sollte auf jeden Fall schon mal raus fliegen, das verursacht vielfach solche und andere Probleme wenn man OSPF eh nicht nutzt:
Danke! Das hier sollte auf jeden Fall schon mal raus fliegen, das verursacht vielfach solche und andere Probleme wenn man OSPF eh nicht nutzt:
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2Habe ich gerade entfernt über die "WinBox" (GUI).
Im Moment bekommt der MikroTik-Router noch kein IPv6-Prefix per DHCPv6-Client.
Deaktiviere mal die testweise die v4 Firewall-Regeln (klingt unlogisch, mach es trotzdem), bin noch nicht ganz durch mit der Config.
Hab' gerade in der INPUT- sowie in der FORWARD-Table alle Firewall-Regeln deaktiviert.
Jetzt ist also sämtliche IPv4-Traffic erlaubt.
Jetzt ist also sämtliche IPv4-Traffic erlaubt.
Och nö .... guckst du ...
Kopf-tisch, IPv6 ist deaktiviert ... 🙈
Also anschalten:
Case closed.
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
set disable-ipv6=yes max-neighbor-entries=8192
Kopf-tisch, IPv6 ist deaktiviert ... 🙈
Also anschalten:
/ipv6 settings set disable-ipv6=noCase closed.
1
Argh, okay. ^^
Den Menüpunkt kannte ich gar nicht. Dachte IPv6 wäre dann automatisch aktiviert,
wenn das IPv6-Softwarepaket installiert ist.
Das ist dann aber wirklich Kopf-Tisch :P. Man merkt, bin echt neu in Sachen "IPv6" auf MikroTik-Routern.
Besten Dank schon mal.
Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.
Bisher werden allerdings alle Verbindungen zu Servern im Internet per "IPv4" aufgebaut. Habe den PC
auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?
Bisher ist noch kein einziges IPv6-Paket angekommen, das geforwarded werden wollte. Wenn ich eine
"ALLES ERLAUBEN"-in-Richtung-Internet-Regel erstelle, läuft dort nichts rein, wenn ich am PC Webseiten aufrufe.
Den Menüpunkt kannte ich gar nicht. Dachte IPv6 wäre dann automatisch aktiviert,
wenn das IPv6-Softwarepaket installiert ist.
Das ist dann aber wirklich Kopf-Tisch :P. Man merkt, bin echt neu in Sachen "IPv6" auf MikroTik-Routern.
Besten Dank schon mal.
Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.
Bisher werden allerdings alle Verbindungen zu Servern im Internet per "IPv4" aufgebaut. Habe den PC
auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?
Bisher ist noch kein einziges IPv6-Paket angekommen, das geforwarded werden wollte. Wenn ich eine
"ALLES ERLAUBEN"-in-Richtung-Internet-Regel erstelle, läuft dort nichts rein, wenn ich am PC Webseiten aufrufe.
Zitat von @Datax87:
Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.
👍Habe mal eine IPv6-Adresse aus dem IPv6-Pool der FritzBox auf "vlan10 - LAN" gelegt.
und die "Neighbour Discovery" für "vlan10-LAN" aktiviert. Mein PC bekommt bereits eine
öffentliche IPv6-Adresse zugewiesen.
Bisher werden allerdings alle Verbindungen zu Servern im Internet per "IPv4" aufgebaut. Habe den PC
auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?
So lange dein DNS-Server die IPv6 Adressen bei Anfragen zurückliefert, und du nicht am Rechner geschraubt hast das IPv4 bevorzugt genutzt wird, ja.auch schon mal neu gestartet. So Webseiten wie "Youtube" und "Google" müssten doch per "IPv6" ansprechbar
sein oder nicht!?
nslookup ipv6.google.com
ping -6 ipv6.google.comDamit das hier jetzt nicht ausartet empfehle ich dir als jetzt als erstes:
https://danrl.com/ipv6/
Die Namensauflösung funktioniert, bekomme also auch (wenn vorhanden) die IPv6-Adressen von angefragten
Hostnamen zurückgeliefert.
Allerdings werden IPv6-Pakete noch nicht weitergeleitet. Kann also keine IPv6-Hosts im Internet anpingen.
Die IPv6-Firewall ist im FORWARD-Table auf Durchzug geschaltet und unter "IPv6" --> "Settings" ist "IPv6-Forward" aktiviert.
Hostnamen zurückgeliefert.
Nicht autorisierende Antwort:
Name: ipv6.l.google.com
Address: 2a00:1450:4001:82f::200e
Aliases: ipv6.google.comAllerdings werden IPv6-Pakete noch nicht weitergeleitet. Kann also keine IPv6-Hosts im Internet anpingen.
Die IPv6-Firewall ist im FORWARD-Table auf Durchzug geschaltet und unter "IPv6" --> "Settings" ist "IPv6-Forward" aktiviert.
Das hier ist nötig, mehr braucht es auf dem Mikrotik nicht wenn die v6 FW leer ist:
Ansonsten hat dein Client ein v6 Problem bzw. es wurde dran gefummelt.
Ich bin jetzt raus, das eigentliche Problem wurde gelöst.
Ciao.
/ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=global_pool request=prefix
/ipv6 address add address=::1 from-pool=global_pool interface="vlan10 - LAN" advertise=yes
/ipv6 nd set [ find default=yes ] interface="vlan10 - LAN" disabled=no Ich bin jetzt raus, das eigentliche Problem wurde gelöst.
Ciao.
1
Es läuft jetzt. Der Haken bei "Add Default Route" im DHCPv6-Client war nicht gesetzt.
Der Aufbau von Webseiten läuft spürbar schneller als unter IPv4 merke ich gerade ^^.
Danke dir für die Hilfe und deine Geduld.
Der Aufbau von Webseiten läuft spürbar schneller als unter IPv4 merke ich gerade ^^.
Danke dir für die Hilfe und deine Geduld
.Zitat von @Datax87:
Es läuft jetzt. Der Haken bei "Add Default Route" im DHCPv6-Client war nicht gesetzt.
Ohne Default-Route kein routing an unbekannte Adressen logisch, ist bei IPv4 ja genau das gleiche, für IPv4 hast du ja auch manuell eine Default-Route zur Fritzbox hinzugefügt Es läuft jetzt. Der Haken bei "Add Default Route" im DHCPv6-Client war nicht gesetzt.
. Der Aufbau von Webseiten läuft spürbar schneller als unter IPv4 merke ich gerade ^^.
Kein performance fressendes NAT mehr .Danke dir für die Hilfe und deine Geduld .
Bidde..2
Hallo, ich habe ebenfalls eine Fritzbox 7590 und ein Mikrotik in einer Routerkaskade.
Die Fritzbox und Mikrotik habe ich wie es hier beschrieben wurde eingestellt.
Mein Mikrotik selbst bekommt keine IPv6 Adresse
ein /ip cloud print zeigt mir nur die öffentliche IPv4 Adresse an.
Ist das bei euch auch so?
Was muss ich machen damit der Mikrotik selbst auch eine öffentliche ipv6 bekommt?
Denn ohne kann ich von unterwegs keinen VPN Tunnel aufbauen.
In der Fritzbox sehe ich folgendes:
PC-192-168-171-10
192.168.171.10
::764d:28ff:fe11:4b18
Ich habe den Präfix davor gesetzt und :764d:28ff:fe11:4b18 dahinter aber ich bekomme keine Verbindung zum Router.
Die Fritzbox und Mikrotik habe ich wie es hier beschrieben wurde eingestellt.
Mein Mikrotik selbst bekommt keine IPv6 Adresse
ein /ip cloud print zeigt mir nur die öffentliche IPv4 Adresse an.
Ist das bei euch auch so?
Was muss ich machen damit der Mikrotik selbst auch eine öffentliche ipv6 bekommt?
Denn ohne kann ich von unterwegs keinen VPN Tunnel aufbauen.
In der Fritzbox sehe ich folgendes:
PC-192-168-171-10
192.168.171.10
::764d:28ff:fe11:4b18
Ich habe den Präfix davor gesetzt und :764d:28ff:fe11:4b18 dahinter aber ich bekomme keine Verbindung zum Router.
Du musst schon im DHCPv6 Client am Mikrotik nachsehen ob du eine Addresse/Prefix bekommen hast ...
Btw. Threads einfach so zu übernehmen kommt hier gar nicht gut, also neues Thema aufmachen bitte.
2
@1915348599
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Zitat von @svenpaush:
@1915348599
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
@1915348599
Ich kann dafür auch gern ein neues Thema aufmachen.
Das /ip cloud nur ipv4 spricht steht aber in der Wiki anders:
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Ok dann haben sie das nun geändert.
Fakt ist damit das klappt musst du entweder auch eine Address im DHCPv6 beziehen (Haken setzen), nicht nur ein Prefix, oder alternativ aus dem Prefix-Pool einem Interface eine öffentliche IP zuweisen.
Zusätzlich müssen natürlich Port-Freigaben in der Fritzbox Firewall den Zugriff auch zulassen.
An den Port-Freigaben kann es meiner Meinung nicht liegen da ich IPv6 als Exposed Host angehakt habe.
Wenn ich im DHCPv6 Client den Haken zusätzlich bei address auswähle verliert der Mikrotik sein prefix.
Den Haken nur bei address bewirkt ebenfalls nichts. Heißt kein Prefix keine IPv6.
Das einzige was funktioniert ist wie im Screenshot zu erkennen ist den Haken bei prefix zu setzen.
Zusätzlich habe im DHCPv6 Client das Interface in der auch meine Clients drin sind einen Client Eintrag erstellt.
Der steht aber dauerhaft auf searching.
Wenn ich im DHCPv6 Client den Haken zusätzlich bei address auswähle verliert der Mikrotik sein prefix.
Den Haken nur bei address bewirkt ebenfalls nichts. Heißt kein Prefix keine IPv6.
Das einzige was funktioniert ist wie im Screenshot zu erkennen ist den Haken bei prefix zu setzen.
Zusätzlich habe im DHCPv6 Client das Interface in der auch meine Clients drin sind einen Client Eintrag erstellt.
Der steht aber dauerhaft auf searching.
Zitat von @svenpaush:
An den Port-Freigaben kann es meiner Meinung nicht liegen da ich IPv6 als Exposed Host angehakt habe.
Das war nur ein Hinweis falls noch nicht vorgenommen.An den Port-Freigaben kann es meiner Meinung nicht liegen da ich IPv6 als Exposed Host angehakt habe.
Wenn ich im DHCPv6 Client den Haken zusätzlich bei address auswähle verliert der Mikrotik sein prefix.
Dann hast du in der Fritte in den Netzwerkeinstellungen zu IPv6 nicht ausgewählt das diese zusätzlich zum Prefix auch Adressen per DHCPv6 im RA advertised.Den Haken nur bei address bewirkt ebenfalls nichts. Heißt kein Prefix keine IPv6.
S. letzten Kommentar.Zusätzlich habe im DHCPv6 Client das Interface in der auch meine Clients drin sind einen Client Eintrag erstellt.
Das ist Blödsinn!Wenn man einem Interface eine Adresse aus einem Prefix Pool zuweisen möchte geht man über
/ipv6 address, wählt dort den Pool aus und das Interface, schon bekommt das Interface automatisch eine Adresse aus dem Prefix-Pool zugewiesen.Du solltest die oben verlinkten Tutorials mal genauer lesen min Jung ...
2
Ahhhhh .
Ok das war der Hinweis.
Im Link so richte ich die Fritzbox ein am Anfang wurde ein Screenshot eingestllt und diese Angenaben habe ich so übernommen.
Also für alle Mitlesenden fall ihr auch darüber Stoplert:
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> unten rechtes ipv6 Einstellungen
Bei dem Punkt DHCPv6-Server im Heimnetz sollte laut der Anleitung DNS-Server und IPv6-Präfix (IA_PD) zuweisen ausgewählt werden.
Damit der Mikrotik auch eine IP Adresse erhält muss aber:
DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
ausgwählt werden.
Danke ist das auch geklärt.
.Ok das war der Hinweis.
Im Link so richte ich die Fritzbox ein am Anfang wurde ein Screenshot eingestllt und diese Angenaben habe ich so übernommen.
Also für alle Mitlesenden fall ihr auch darüber Stoplert:
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> unten rechtes ipv6 Einstellungen
Bei dem Punkt DHCPv6-Server im Heimnetz sollte laut der Anleitung DNS-Server und IPv6-Präfix (IA_PD) zuweisen ausgewählt werden.
Damit der Mikrotik auch eine IP Adresse erhält muss aber:
DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
ausgwählt werden.
Danke ist das auch geklärt.
Vielleicht solltest du besser nochmal einen FB Screenshot hier einstellen um das wasserdicht zu machen !!
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.
Zitat von @aqui:
Vielleicht solltest du besser nochmal einen FB Screenshot hier einstellen um das wasserdicht zu machen !!
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.
Vielleicht solltest du besser nochmal einen FB Screenshot hier einstellen um das wasserdicht zu machen !!
Ich verlinke den Thread mal mit dem Mikrotik Tutorial.
Wurde doch schon geklärt ... S.letzten comment vom User.
Ein zusätzliches buntes Bild hilft manchmal ja mehr... 😉
Hatten wir zwar schon oben, aber dann halt mit anderer Markierung ...🙃
2
Perfekt ! 👍
