Mar 05, 2022, updated at 16:16:47 (UTC)

4954

Kein IPv6 prefix via PPPoE (Mikrotik)

Hallo zusammen,

ich habe seit einigen Wochen ein Problem mit der IPv6 prefix delegation auf meinem Mikrotik RB4011 bei dem ich nicht mehr weiter komme. Vielleicht sieht von euch jemand den (einen) Baum in meinem Wald

Folgendes Setup habe ich:

[Telekom VDSL] <--- [DrayTek Vigor 167] <--- [Mikrotik RB4011 ROS 7.1.3]

Das Vigor 167 wird im Modem Modus betrieben und macht das VLAN7 tagging.
Der Mikrotik verbindet sich via PPPoE. Ich bin dabei weitestgehend der Anleitung von michi1983 gefolgt.

Ich bilde mir auch ein, dass ich mal ein Prefix mit dem Setup bekommen habe, was jetzt leider nicht mehr der Fall ist.

Folgenden DHCPv6 Client habe ich eingerichtet, der Status bleibt jedoch ewig auf "searching" stehen:

/ipv6 dhcp-client
add interface=pppoe-telekom pool-name="Pool IPv6 Global Unique Address" request=prefix use-peer-dns=no  

Die PPPoE Verbindung funktioniert soweit, IPv6 ist kein Problem:

/ppp profile
add change-tcp-mss=yes comment="Telekom VDSL profile" name=VDSL-Telekom only-one=yes  

/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap2 dial-on-demand=yes disabled=no interface=ether1 \
    max-mru=1492 max-mtu=1492 name=pppoe-telekom user=...0001@t-online.de

Für die IPv6 Fierewall verwende weitestgehend die Standard Konfiguration:

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp  
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 \  
    protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=\  
    in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" \  
    in-interface-list=!LANs
add action=accept chain=forward comment="defconf: accept established,related,untracked" \  
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=\  
    bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=\  
    bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=\  
    icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=\  
    in,ipsec
add action=accept chain=forward comment="allow CORE clients to access all other VLANs" in-interface=\  
    "VLAN 20 - Core" out-interface-list=LANs  
add action=accept chain=forward comment="allow internet access for allowed VLANs" dst-port=80,443 \  
    in-interface-list="INTERNET ACCESS" out-interface-list=WAN protocol=tcp  
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN"  
/ipv6 firewall mangle
add action=log chain=output disabled=yes dst-port=547 dst-prefix=::/0 log-prefix="ipv6 client" \  
    protocol=udp src-prefix=::/0

ND ist auf die vlan-bridge beschränkt:

/ipv6 nd
set [ find default=yes ] interface=vlan-bridge

Eine Beobachtung macht mich etwas stutzig:

Ich habe den Packet Sniffer verwendet um zu schauen, ob die DHCPv6 solicit Pakete raus gehen. Da konnte ich NICHTS sehen, wenn der DHCPv6 client auf das "pppoe-telekom" Interface eingestellt war. War testweise der "ether1" Port eingestellt sprudelten die Pakete fröhlich vor sich hin...

Ich habe leider keine Idee mehr, wie ich das Problem weiter einkreisen kann und bin um jede Hilfe froh

Danke euch!

Please also mark the comments that contributed to the solution of the article

Content-Key: 2072581353

Url: https://administrator.de/contentid/2072581353

Printed on: April 19, 2024 at 08:04 o'clock

13 Comments

Latest comment

IPv6 Prefix Delegation via PPPoE/VLAN Interface ist noch "broken" im 7er Firmware-Zweig. Siehe Mikrotik Forum.

Gab aber noch kein dediziertes Entwickler Feedback auf den MT KB Thread vom TO:
https://forum.mikrotik.com/viewtopic.php?t=183662&p=915854

Das Vigor 167 wird im Modem Modus betrieben und macht das VLAN7 tagging.

Hast du denn eine funktionierende v4 Verbindung und die Problematik taucht einzig nur bei v6 auf ??
Wenn nein und generell keine PPPoE Verbindung besteht, bist du dir ganz sicher des dein Provider auch das VLAN 7 verwendet ???
Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID
Das ist nicht so wirklich klar ob die PPPoE Verbindung generell aktiv ist...?!

Danke für den Link Pretty, ich habe das auch im Mikrotik Forum gelesen, habe es aber so verstanden, dass es nur den RB5009 betrifft und auch nur, wenn das VLAN Tagging auf dem Mikrotik passiert. Laut dem Beitrag hier funktioniert das wenn extern getaggt wird.

Aber ausschließen kann ich natürlich nicht, dass das generell kaputt ist

Hi aqui,

ja, PPPoE funktioniert generell, nur läuft DHCPv6 darüber nicht.
Alle Verbindungen über v4 laufen stabil.
Ich kann’s mir bis jetzt nicht erklären.

Was ich noch beobachtet habe: für alle Interfaces gibt es eine Route auf die v6 LLA, nur für das PPPoE IF nicht. Scheint auch generell keine Adresse zu haben. Ist das OK?

1000 Dank!

Verdächtig ist ja das aus deinem WAN Interface keinerlei DHCPv6 Traffic kommt wenn man dich oben richtig versteht.
Dort müssen DHCPv6 solicit Frames mit der WAN Port LLA und Source Port 546 an ff02::1:2 mit Destination Port 547 gehen.
Ohne solche v6 DHCP Requests keine v6 IP und kein Prefix vom Provider.

So, habe das ganze hier mal nachgestellt, mit einem CHR mit ROS 7.1.3 auf dem PPPoE Interface zusätzlich gesniffert und problemlos ein Prefix erhalten!

Hier der Capture Trace des Mikrotik ... so wie erwartet:

Dann das gleiche mit einem RB4011 den ich hier noch auf Halde rumliegen hatte ebenfalls clean aufgesetzt mit einem Netinstall auf 7.1.3 (also ohne jegliche Überreste einer 6.x Firmware), Ergebnis => kein Prefix, keine Pakete beim Aktivieren des DHCPv6 Client, keine LL auf dem PPPoE. Ergo muss wie vermutet in der Firmware für die ARM 32bit Variante für das Device noch ein Bug vorhanden sein.
Danach noch auf ROS 6.49.4 Stable Version zurück gesetzt, funktioniert das ganze dann auf dem RB4011 wieder absolut problemlos!

Ein Grund mehr warum man den 7er Zweig noch reifen lassen sollte, den hat MK im Dezember voreilig auf den Markt geschmissen, wohl um die Community mehr Bugs finden zu lassen

. IPv6 hat im 7er Zweig eh noch diverse andere nervige Bugs, da ist der eh noch der harmloseste.

Habe auf jeden Fall auch mal ein Supout an Mikrotik geschickt.

🖖

Wow, danke Pretty für die Mühe!!!

Da kann ich natürlich suchen bis ich graue Haare bekomme wenn das generell nicht funktioniert…

Dann werde ich gucken wieder auf die 6er runter zu gehen und den Support bemühen.

Das Phänomen der “Bananaware” kenne ich auch gut, arbeite selbst in der Branche. Mich ärgert es nur immer, weil ich das Gefühle habe, dass es immer schlimmer wird. Man stelle sich Mal vor, andere Branchen würden so arbeiten…

Man stelle sich Mal vor, andere Branchen würden so arbeiten…

Die gibt es leider genug, nur sieht man den Pfusch dann oft erst wenn es zu spät ist

. Hier hat man ja zum Glück selbst noch die Wahl auf bewährtes zurückzugreifen. Bei anderen Plaste-Elaste Herstellern hat man ja noch nicht mal das...

Bleibt ja dann nur noch: How can I mark a post as solved? 😉

Nur noch als Ergänzung, hoffe zwar das der TO den Fehler nicht auch begangen hat aber, der Herr hier hatte IPv6 auf dem MK vollkommen deaktiviert, in dem Fall geht natürlich ebenfalls nüscht: IPv6-Prefix-Delegation auf MikroTik-Router mit FritzBox als Internetrouter

Ein kurzes Update, mit ROS 7.2 funktioniert die Prefix Delegation via PPPoE wieder:
mikrotik.com/download/changelogs

*) ipv6 - fixed VLAN tagged PPPoE packet receiving on RB5009;

in v7.10.1 ist Bug wieder da. hap ac3.

Es gibt aber schon den .2er Patch dafür!

https://mikrotik.com/download

German solved Question MikroTik Other systems

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment

Check of ZFW Firewallgleixnerd