Kein IPv6 prefix via PPPoE (Mikrotik)
Hallo zusammen,
ich habe seit einigen Wochen ein Problem mit der IPv6 prefix delegation auf meinem Mikrotik RB4011 bei dem ich nicht mehr weiter komme. Vielleicht sieht von euch jemand den (einen) Baum in meinem Wald
Folgendes Setup habe ich:
[Telekom VDSL] <--- [DrayTek Vigor 167] <--- [Mikrotik RB4011 ROS 7.1.3]
Das Vigor 167 wird im Modem Modus betrieben und macht das VLAN7 tagging.
Der Mikrotik verbindet sich via PPPoE. Ich bin dabei weitestgehend der Anleitung von michi1983 gefolgt.
Ich bilde mir auch ein, dass ich mal ein Prefix mit dem Setup bekommen habe, was jetzt leider nicht mehr der Fall ist.
Folgenden DHCPv6 Client habe ich eingerichtet, der Status bleibt jedoch ewig auf "searching" stehen:
Die PPPoE Verbindung funktioniert soweit, IPv6 ist kein Problem:
Für die IPv6 Fierewall verwende weitestgehend die Standard Konfiguration:
ND ist auf die vlan-bridge beschränkt:
Eine Beobachtung macht mich etwas stutzig:
Ich habe den Packet Sniffer verwendet um zu schauen, ob die DHCPv6 solicit Pakete raus gehen. Da konnte ich NICHTS sehen, wenn der DHCPv6 client auf das "pppoe-telekom" Interface eingestellt war. War testweise der "ether1" Port eingestellt sprudelten die Pakete fröhlich vor sich hin...
Ich habe leider keine Idee mehr, wie ich das Problem weiter einkreisen kann und bin um jede Hilfe froh
Danke euch!
ich habe seit einigen Wochen ein Problem mit der IPv6 prefix delegation auf meinem Mikrotik RB4011 bei dem ich nicht mehr weiter komme. Vielleicht sieht von euch jemand den (einen) Baum in meinem Wald
Folgendes Setup habe ich:
[Telekom VDSL] <--- [DrayTek Vigor 167] <--- [Mikrotik RB4011 ROS 7.1.3]
Das Vigor 167 wird im Modem Modus betrieben und macht das VLAN7 tagging.
Der Mikrotik verbindet sich via PPPoE. Ich bin dabei weitestgehend der Anleitung von michi1983 gefolgt.
Ich bilde mir auch ein, dass ich mal ein Prefix mit dem Setup bekommen habe, was jetzt leider nicht mehr der Fall ist.
Folgenden DHCPv6 Client habe ich eingerichtet, der Status bleibt jedoch ewig auf "searching" stehen:
/ipv6 dhcp-client
add interface=pppoe-telekom pool-name="Pool IPv6 Global Unique Address" request=prefix use-peer-dns=no
Die PPPoE Verbindung funktioniert soweit, IPv6 ist kein Problem:
/ppp profile
add change-tcp-mss=yes comment="Telekom VDSL profile" name=VDSL-Telekom only-one=yes
/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap2 dial-on-demand=yes disabled=no interface=ether1 \
max-mru=1492 max-mtu=1492 name=pppoe-telekom user=...0001@t-online.de
Für die IPv6 Fierewall verwende weitestgehend die Standard Konfiguration:
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 \
protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=\
in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" \
in-interface-list=!LANs
add action=accept chain=forward comment="defconf: accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=\
bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=\
bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=\
in,ipsec
add action=accept chain=forward comment="allow CORE clients to access all other VLANs" in-interface=\
"VLAN 20 - Core" out-interface-list=LANs
add action=accept chain=forward comment="allow internet access for allowed VLANs" dst-port=80,443 \
in-interface-list="INTERNET ACCESS" out-interface-list=WAN protocol=tcp
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN"
/ipv6 firewall mangle
add action=log chain=output disabled=yes dst-port=547 dst-prefix=::/0 log-prefix="ipv6 client" \
protocol=udp src-prefix=::/0
ND ist auf die vlan-bridge beschränkt:
/ipv6 nd
set [ find default=yes ] interface=vlan-bridge
Eine Beobachtung macht mich etwas stutzig:
Ich habe den Packet Sniffer verwendet um zu schauen, ob die DHCPv6 solicit Pakete raus gehen. Da konnte ich NICHTS sehen, wenn der DHCPv6 client auf das "pppoe-telekom" Interface eingestellt war. War testweise der "ether1" Port eingestellt sprudelten die Pakete fröhlich vor sich hin...
Ich habe leider keine Idee mehr, wie ich das Problem weiter einkreisen kann und bin um jede Hilfe froh
Danke euch!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2072581353
Url: https://administrator.de/forum/kein-ipv6-prefix-via-pppoe-mikrotik-2072581353.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
13 Kommentare
Neuester Kommentar
IPv6 Prefix Delegation via PPPoE/VLAN Interface ist noch "broken" im 7er Firmware-Zweig. Siehe Mikrotik Forum.
Gab aber noch kein dediziertes Entwickler Feedback auf den MT KB Thread vom TO:
https://forum.mikrotik.com/viewtopic.php?t=183662&p=915854
Wenn nein und generell keine PPPoE Verbindung besteht, bist du dir ganz sicher des dein Provider auch das VLAN 7 verwendet ???
Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID
Das ist nicht so wirklich klar ob die PPPoE Verbindung generell aktiv ist...?!
https://forum.mikrotik.com/viewtopic.php?t=183662&p=915854
Das Vigor 167 wird im Modem Modus betrieben und macht das VLAN7 tagging.
Hast du denn eine funktionierende v4 Verbindung und die Problematik taucht einzig nur bei v6 auf ??Wenn nein und generell keine PPPoE Verbindung besteht, bist du dir ganz sicher des dein Provider auch das VLAN 7 verwendet ???
Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID
Das ist nicht so wirklich klar ob die PPPoE Verbindung generell aktiv ist...?!
Verdächtig ist ja das aus deinem WAN Interface keinerlei DHCPv6 Traffic kommt wenn man dich oben richtig versteht.
Dort müssen DHCPv6 solicit Frames mit der WAN Port LLA und Source Port 546 an ff02::1:2 mit Destination Port 547 gehen.
Ohne solche v6 DHCP Requests keine v6 IP und kein Prefix vom Provider.
Dort müssen DHCPv6 solicit Frames mit der WAN Port LLA und Source Port 546 an ff02::1:2 mit Destination Port 547 gehen.
Ohne solche v6 DHCP Requests keine v6 IP und kein Prefix vom Provider.
So, habe das ganze hier mal nachgestellt, mit einem CHR mit ROS 7.1.3 auf dem PPPoE Interface zusätzlich gesniffert und problemlos ein Prefix erhalten!
Hier der Capture Trace des Mikrotik ... so wie erwartet:
Dann das gleiche mit einem RB4011 den ich hier noch auf Halde rumliegen hatte ebenfalls clean aufgesetzt mit einem Netinstall auf 7.1.3 (also ohne jegliche Überreste einer 6.x Firmware), Ergebnis => kein Prefix, keine Pakete beim Aktivieren des DHCPv6 Client, keine LL auf dem PPPoE. Ergo muss wie vermutet in der Firmware für die ARM 32bit Variante für das Device noch ein Bug vorhanden sein.
Danach noch auf ROS 6.49.4 Stable Version zurück gesetzt, funktioniert das ganze dann auf dem RB4011 wieder absolut problemlos!
Ein Grund mehr warum man den 7er Zweig noch reifen lassen sollte, den hat MK im Dezember voreilig auf den Markt geschmissen, wohl um die Community mehr Bugs finden zu lassen . IPv6 hat im 7er Zweig eh noch diverse andere nervige Bugs, da ist der eh noch der harmloseste.
Habe auf jeden Fall auch mal ein Supout an Mikrotik geschickt.
🖖
Hier der Capture Trace des Mikrotik ... so wie erwartet:
Dann das gleiche mit einem RB4011 den ich hier noch auf Halde rumliegen hatte ebenfalls clean aufgesetzt mit einem Netinstall auf 7.1.3 (also ohne jegliche Überreste einer 6.x Firmware), Ergebnis => kein Prefix, keine Pakete beim Aktivieren des DHCPv6 Client, keine LL auf dem PPPoE. Ergo muss wie vermutet in der Firmware für die ARM 32bit Variante für das Device noch ein Bug vorhanden sein.
Danach noch auf ROS 6.49.4 Stable Version zurück gesetzt, funktioniert das ganze dann auf dem RB4011 wieder absolut problemlos!
Ein Grund mehr warum man den 7er Zweig noch reifen lassen sollte, den hat MK im Dezember voreilig auf den Markt geschmissen, wohl um die Community mehr Bugs finden zu lassen . IPv6 hat im 7er Zweig eh noch diverse andere nervige Bugs, da ist der eh noch der harmloseste.
Habe auf jeden Fall auch mal ein Supout an Mikrotik geschickt.
🖖
Man stelle sich Mal vor, andere Branchen würden so arbeiten…
Die gibt es leider genug, nur sieht man den Pfusch dann oft erst wenn es zu spät ist . Hier hat man ja zum Glück selbst noch die Wahl auf bewährtes zurückzugreifen. Bei anderen Plaste-Elaste Herstellern hat man ja noch nicht mal das...
Bleibt ja dann nur noch: Wie kann ich einen Beitrag als gelöst markieren? 😉
Nur noch als Ergänzung, hoffe zwar das der TO den Fehler nicht auch begangen hat aber, der Herr hier hatte IPv6 auf dem MK vollkommen deaktiviert, in dem Fall geht natürlich ebenfalls nüscht: IPv6-Prefix-Delegation auf MikroTik-Router mit FritzBox als Internetrouter
Es gibt aber schon den .2er Patch dafür!
https://mikrotik.com/download
https://mikrotik.com/download