20
Mikrotik - Einstieg in IPv6
Hallo zusammen,
Ich habe einen Mikrotik-Router am Laufen, der aktuell nur IPv4 bedient und mein Heimnetzwerk in diverse VLANs spaltet.
Da ich nun aber gern Matter nutzen würde für mein Smarthome müsste ich zwingend auch IPv6 in mein Netzwerk integrieren.
Mein Provider arbeitet mit IPv4, daher ist ein kompletter Umstieg sowieso nicht möglich.
Bevor ich jetzt etwas an meinem Netzwerk kaputt mache (ich habe leider kein Testsystem) hier mal zusammengefasst was ich vor habe zu tun:
1. IPv6 ULA-Pools anlegen, getrennt eins pro VLAN also zum Beispiel VLAN50 hat dann den Prefix fd00:50::/64 und das VLAN60 dann fd00:60::/64
2. Für jedes VLAN eine Adresse anlegen, also zum Beispiel fd00:50::1/64 für das Interface VLAN50 und so weiter
3. Einen DHCP-Server für jedes VLAN einrichten, der sich dann aus dem jeweiligen Pool des VLANs bedient.
Das müsste es doch dann auch schon gewesen sein, so dass jedes Gerät dann eine jeweilige iPv6-ULA-Adresse vom Router bekommt, oder habe ich irgendwo einen Denkfehler?
Wenn ich das dann so umsetze, dürfe doch mein Netzwerk erst mal wieder laufen (auch wenn es natürlich dann noch keine Multicast-Anfragen kann wie es für Matter erforderlich ist).
Ich habe einen Mikrotik-Router am Laufen, der aktuell nur IPv4 bedient und mein Heimnetzwerk in diverse VLANs spaltet.
Da ich nun aber gern Matter nutzen würde für mein Smarthome müsste ich zwingend auch IPv6 in mein Netzwerk integrieren.
Mein Provider arbeitet mit IPv4, daher ist ein kompletter Umstieg sowieso nicht möglich.
Bevor ich jetzt etwas an meinem Netzwerk kaputt mache (ich habe leider kein Testsystem) hier mal zusammengefasst was ich vor habe zu tun:
1. IPv6 ULA-Pools anlegen, getrennt eins pro VLAN also zum Beispiel VLAN50 hat dann den Prefix fd00:50::/64 und das VLAN60 dann fd00:60::/64
2. Für jedes VLAN eine Adresse anlegen, also zum Beispiel fd00:50::1/64 für das Interface VLAN50 und so weiter
3. Einen DHCP-Server für jedes VLAN einrichten, der sich dann aus dem jeweiligen Pool des VLANs bedient.
Das müsste es doch dann auch schon gewesen sein, so dass jedes Gerät dann eine jeweilige iPv6-ULA-Adresse vom Router bekommt, oder habe ich irgendwo einen Denkfehler?
Wenn ich das dann so umsetze, dürfe doch mein Netzwerk erst mal wieder laufen (auch wenn es natürlich dann noch keine Multicast-Anfragen kann wie es für Matter erforderlich ist).
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670469
Url: https://administrator.de/forum/mikrotik-einstieg-in-ipv6-670469.html
Ausgedruckt am: 05.01.2025 um 13:01 Uhr
20 Kommentare
Neuester Kommentar
Moin.
OK, du willst also erst mal daheim üben ohne Zugriff aufs IPv6 Internet, kein Problem ...
Damit die Clients ihre Adressen aus dem jeweiligen VLAN generieren (SLAAC) musst also nur das Neighbor-Discovery (/ipv6/nd) auf den jeweiligen Interfaces aktivieren und bei den IPv6 Adressen das Häkchen bei "Advertise" anhaken und schon generieren sich die Clients automatisch ihre IPv6 Adressen im Netz.
Wie immer sind die IPv6 Grundlagen hier lesenswert: https://danrl.com/ipv6/
Wenn du dann mal irgendwann einen IPv6 Provider hast liest du noch das hier
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Und für eine wasserdichte Firewall für IPv6 das hier
Building Advanced Firewall
Gruß gastric
Mein Provider arbeitet mit IPv4, daher ist ein kompletter Umstieg sowieso nicht möglich.
Echt jetzt? Sowas gibt's noch <( : )-D?OK, du willst also erst mal daheim üben ohne Zugriff aufs IPv6 Internet, kein Problem ...
1. IPv6 ULA-Pools anlegen, getrennt eins pro VLAN also zum Beispiel VLAN50 hat dann den Prefix fd00:50::/64 und das VLAN60 dann fd00:60::/64
OK, kannst du machen.2. Für jedes VLAN eine Adresse anlegen, also zum Beispiel fd00:50::1/64 für das Interface VLAN50 und so weiter
Korrekt, und den Haken Advertise nicht vergessen, damit die Clients sich selbstständig eine Adresse aus dem ULA Bereich generieren können (SLAAC).3. Einen DHCP-Server für jedes VLAN einrichten, der sich dann aus dem jeweiligen Pool des VLANs bedient.
Nein brauchst du nicht, und das kann der Mikrotik auch nicht, er hat zwar einen DHCPv6 Server an Bord, aber dieser verteilt keine individuellen Adressen für Clients sondern ist ausschließlich für Prefix Delegation via DHCPv6 gedacht, verteilt also nur Netz-Prefixes womit ein nachgelagerter Router einen Prefix anfordern kann dessen Bereich er dann selbst verwaltet.Damit die Clients ihre Adressen aus dem jeweiligen VLAN generieren (SLAAC) musst also nur das Neighbor-Discovery (/ipv6/nd) auf den jeweiligen Interfaces aktivieren und bei den IPv6 Adressen das Häkchen bei "Advertise" anhaken und schon generieren sich die Clients automatisch ihre IPv6 Adressen im Netz.
Wie immer sind die IPv6 Grundlagen hier lesenswert: https://danrl.com/ipv6/
Wenn du dann mal irgendwann einen IPv6 Provider hast liest du noch das hier
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Und für eine wasserdichte Firewall für IPv6 das hier
Building Advanced Firewall
Gruß gastric
2
Hallo gastric,
Vielen Dank für die schnelle Antwort.
War auch schon so mutig und hab es versucht.
Scheint auch zu funktionieren und zumindest mein Desktop-Rechner bekommt jetzt eine fd00 Adresse.
Ja als Vodafone-Kabel-Kunde (ex Unitymedia und ex KabelBW) Kunde habe ich meine IPv4-Adresse bisher behalten.
Das einzige was ich machen könnte wäre per Fritzbox dann eine entsprechende Delegation, aber da sehe ich denn sinn nicht.
Neighbor-Discovery hab ich nicht gefunden aber wie gesagt scheint zu funktionieren.
Jetzt muss ich dann nur noch das IGMP zum Laufen bekommen, aber da muss ich mich erst mal rein lesen.
Nochmal vielen Dank!
Vielen Dank für die schnelle Antwort.
War auch schon so mutig und hab es versucht.
Scheint auch zu funktionieren und zumindest mein Desktop-Rechner bekommt jetzt eine fd00 Adresse.
Ja als Vodafone-Kabel-Kunde (ex Unitymedia und ex KabelBW) Kunde habe ich meine IPv4-Adresse bisher behalten.
Das einzige was ich machen könnte wäre per Fritzbox dann eine entsprechende Delegation, aber da sehe ich denn sinn nicht.
Neighbor-Discovery hab ich nicht gefunden aber wie gesagt scheint zu funktionieren.
Jetzt muss ich dann nur noch das IGMP zum Laufen bekommen, aber da muss ich mich erst mal rein lesen.
Nochmal vielen Dank!
Hi.
wäre mir neu, das z.B. Matter IPv6 zwingend voraussetzt ...
... und: selbst die Hiobs-Botschaften rund um IPv4 sind Geschichte ...
... es wird langfristig IPv4 wie gewohnt unterstützt werden ...
genauso wie .local von manchen versierten Admins falsch vernegatived wird ^^
wäre mir neu, das z.B. Matter IPv6 zwingend voraussetzt ...
... und: selbst die Hiobs-Botschaften rund um IPv4 sind Geschichte ...
... es wird langfristig IPv4 wie gewohnt unterstützt werden ...
genauso wie .local von manchen versierten Admins falsch vernegatived wird ^^
wäre mir neu, das z.B. Matter IPv6 zwingend voraussetzt ...
https://de.wikipedia.org/wiki/Matter_(Standard)
1
Recherchen ergeben bei mir, das nicht nur IPv6 NICHT zwingend ist, sondern sogar als"geschwâtziges" Protokoll in Frage gestellt wird.
Die Suchergebnisse zeigen keine zwingende Nutzung von IPv6 🤔
Die Suchergebnisse zeigen keine zwingende Nutzung von IPv6 🤔
Standard lesen statt Suchmaschine
:https://leconiot.com/matter/1.2/index.html#_ipv6_addressing
This protocol uses IPv6 addressing for its operational communication. Node IDs and Fabric IDs are resolved to various types of IPv6 addresses [RFC 4291].
...
In principle, any IPv6-bearing network is suitable for Matter deployment, subject to supporting a few core IPv6 standards.
...
In principle, any IPv6-bearing network is suitable for Matter deployment, subject to supporting a few core IPv6 standards.
Ein Bild sagt mehr als 1000 Worte
1
Ich bin auch so dran, dass zwingend IPv6 erforderlich ist.
Zumindest wird fix die fd80 benutzt und das gibt es bekanntlich bei IPv4 nicht...
Zumindest wird fix die fd80 benutzt und das gibt es bekanntlich bei IPv4 nicht...
Moinsen,
nun, es steht ja sogar auf (einigen) Umpackungen zu den Matter Produkten.
Da wird via v6 dann ein ULA Netzwerk aufgesponnen, um die verschiedenen Geräte einzubinden. Solange deine hardware (Router, switch) v6 "können" und IPv6 "aktiv" ist, sollte das unauffällig im Hintergrund automagisch funktionieren.
nun, es steht ja sogar auf (einigen) Umpackungen zu den Matter Produkten.
Da wird via v6 dann ein ULA Netzwerk aufgesponnen, um die verschiedenen Geräte einzubinden. Solange deine hardware (Router, switch) v6 "können" und IPv6 "aktiv" ist, sollte das unauffällig im Hintergrund automagisch funktionieren.
Das würde mein Problem erklären.
Da ich aktuell ja leider durch das IPv4-Internet keine Prefix Delegation habe wird das deshalb auch nicht funktionieren...
Dann muss ich schauen wie ich das hinbekomme wobei das mit meinen VLANs vermutlich sehr schwer werden wird...
Da ich aktuell ja leider durch das IPv4-Internet keine Prefix Delegation habe wird das deshalb auch nicht funktionieren...
Dann muss ich schauen wie ich das hinbekomme wobei das mit meinen VLANs vermutlich sehr schwer werden wird...
Mein Provider arbeitet mit IPv4
Das ist eher ungewöhnlich, denn die meisten modernen Provider arbeiten mit einem Dual Stack, supporten also beides. Das Gros der kleineren oder solchen die keine IPv4 Kontingente mehr an öffentlichen IPs haben arbeiten mit CG-NAT also nativ auf IPv6 an den Nutzeranschlüssen.Es wäre aus sehr außergewöhnlich das dein Provider angeblich kein v6 macht oder der lebt noch hinter dem (IPv6) Mond. 🤣
die fd80 benutzt und das gibt es bekanntlich bei IPv4 nicht...
Kann man so nicht sagen. fd80:: Adressen gehört in den Bereich der Unique Local Adressen (fc00:: /7)was bei IPv4 den Privaten IP Adressen des RFC1918 und 6598 entspricht. Gibt es also auch bei IPv4. Zitat von @Thor2605:
Das würde mein Problem erklären.
Da ich aktuell ja leider durch das IPv4-Internet keine Prefix Delegation habe wird das deshalb auch nicht funktionieren...
Was soll nicht funktionieren ??Das würde mein Problem erklären.
Da ich aktuell ja leider durch das IPv4-Internet keine Prefix Delegation habe wird das deshalb auch nicht funktionieren...
Wenn du IPv6 im Mikrotik in den Settings aktiviert hast bekommen die Devices automatisch per Default schon ne LinkLocal aus dem Bereich fd80 ...,und somit ist auch schon eine generelle IPv6 Kommunikation auf den lokalen Links und deren Layer-2 Domains gegeben. Eine ULA ist auch nicht zwingend nötig hilft nur beim einfacheren merken der Adressen.
..
PD brauchst du nur wenn du per IPv6 ins Internet willst, lokal läuft das alles selbstredend ohne global addresses.
1
Einfach mal die Suchfunktion benutzen...
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Vielleicht doch mal 20 Euronen in ein kleines Testsystem investieren und etwas üben?!
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Vielleicht doch mal 20 Euronen in ein kleines Testsystem investieren und etwas üben?!
Moinsen,
es braucht keine globalen IPv6 Adressen oder Optionen für Matter! Das wäre ja, mit Verlaub, ein Schuss ins Knie (bei der heutigen Nutzungsrate von v6...). ;) Ein vorprogrammierter Ladenhüter...
Du kannst doch intern trotzdem (unabhängig von dem was der ISP anbietet) v6 aktivieren (musste ja nicht nutzen), und damit Matter ermöglichen...oder?
Also intern dafür sorgen, dass v6 läuft, Matter spannt dann sein ULA Netzwek auf (du kannst auch intern sicherlich ULA Netzwerke nutzen, um dich mit v6 "bekannt" zu machen. Dafür muss dein ISP kein v6 liefern.
Sogar die Fritzbox kann das (wenn keine globale Adresse/Präfix verfügbar fallback auf lokales ULA Netzwerk), sollte also doch für dein Gerät ein Leichtes sein (kenn mich allerdings selber null mit Mikrotik aus)...
es braucht keine globalen IPv6 Adressen oder Optionen für Matter! Das wäre ja, mit Verlaub, ein Schuss ins Knie (bei der heutigen Nutzungsrate von v6...). ;) Ein vorprogrammierter Ladenhüter...
Du kannst doch intern trotzdem (unabhängig von dem was der ISP anbietet) v6 aktivieren (musste ja nicht nutzen), und damit Matter ermöglichen...oder?
Also intern dafür sorgen, dass v6 läuft, Matter spannt dann sein ULA Netzwek auf (du kannst auch intern sicherlich ULA Netzwerke nutzen, um dich mit v6 "bekannt" zu machen. Dafür muss dein ISP kein v6 liefern.
Sogar die Fritzbox kann das (wenn keine globale Adresse/Präfix verfügbar fallback auf lokales ULA Netzwerk), sollte also doch für dein Gerät ein Leichtes sein (kenn mich allerdings selber null mit Mikrotik aus)...
1
Das Problem daran ist dass die Geräte gewollt in anderen Vlans sind und ich aktuell keine Ahnung habe wie man das ULA Ipv6 dann über die verschiedenen vlans routen kann.
Da bin ich gerade am einlesen und verstehen wie ipv6 überhaupt funktioniert.
Nur Ipv6 aktivieren hat auf jeden Fall keinen Erfolg gehabt.
Da bin ich gerade am einlesen und verstehen wie ipv6 überhaupt funktioniert.
Nur Ipv6 aktivieren hat auf jeden Fall keinen Erfolg gehabt.
Zitat von @Thor2605:
Das Problem daran ist dass die Geräte gewollt in anderen Vlans sind und ich aktuell keine Ahnung habe wie man das ULA Ipv6 dann über die verschiedenen vlans routen kann.
MDNS womit das meiste an Diensten im Netz anounced wird ist bekanntlich auf Layer-2 begrenzt und nicht routbar! Damit du Geräte subnetzübergreifend finden kannst ist ein MDNS-Repeater notwenig. Das hat der Mikrotik mit einer aktuellen RouteOS FIrmware mittlerweile an Bord unterDas Problem daran ist dass die Geräte gewollt in anderen Vlans sind und ich aktuell keine Ahnung habe wie man das ULA Ipv6 dann über die verschiedenen vlans routen kann.
/ip dns set mdns-repeat-ifaces=vlan10,vlan20
Damit das klappt muss zusätzlich in der Firewall-Input-Chain das auch in den jeweiligen VLANs zugelassen werden falls diese beschränkt wurden, so sähe das bspw. für zwei VLANs aus:
/ip firewall filter
add action=accept chain=input dst-address=224.0.0.251 dst-port=5353 in-interface=vlan10 protocol=udp place-before=0
add action=accept chain=input dst-address=224.0.0.251 dst-port=5353 in-interface=vlan20 protocol=udp place-before=0
/ipv6 firewall filter
add action=accept chain=input dst-address=ff02::fb dst-port=5353 in-interface=vlan10 protocol=udp place-before=0
add action=accept chain=input dst-address=ff02::fb dst-port=5353 in-interface=vlan20 protocol=udp place-before=0Natürlich muss dann aber auch der gewünschte Traffic zwischen den Geräten selbst in der Forwarding Chain erlaubt werden.
Je nach Gerät und Funktionsweise sind weitere Maßnahmen erforderlich, wenn bestimmte Multicasts oder uPNP weitergeleitet werden (über die PIM Funktion des Mikrotik) müssen wie bspw. die TTL dieser Pakete in der Mangle Chain anzupassen. Hier ist dann die Sniffer-Funktion des Mikrotik dein Freund!
Mehr findest du dazu findest du auch in den Standards zu Matter ....Lesen bildet, copy n paste meistens nicht
.1
Vielen Dank für die Antwort!
Da hab ich glaube ich noch viel zu lesen und lernen bis ich das verstanden habe...
Vor allem dann auch alles so zu konfigurieren dass die Geräte dann zwischen den Vlans nur so verbunden sind wie sie unbedingt sein müssen.
Sonst könnte man sich schließlich auch den Aufwand sparen.
Da hab ich glaube ich noch viel zu lesen und lernen bis ich das verstanden habe...
Vor allem dann auch alles so zu konfigurieren dass die Geräte dann zwischen den Vlans nur so verbunden sind wie sie unbedingt sein müssen.
Sonst könnte man sich schließlich auch den Aufwand sparen.
Da hab ich glaube ich noch viel zu lesen und lernen bis ich das verstanden habe...
Letztendlich ist IPv6 genau so wie IPv4 im Routing nur das die Adressen eben "etwas" länger sind. Routingtechnisch gibt es keinerlei Unterschiede.Der größte Unterschied ist grob gesagt das ICMP Management Handling, was bei v6 deutlich mehr ist als bei v4 und das es eben mehrere IPv6 Adressen auf einem Interface geben kann (aber nicht muss).
Der kostenlose IPv6 Workshop erklärt das sehr gut und leicht verständlich.
Da hab ich glaube ich noch viel zu lesen und lernen bis ich das verstanden habe...
Dafür hat man ja einen Mikrotik, bei dem man alles bis ins Kleinste selbst machen muss. Wenn man daran keinen Spaß hat sollte man sich was von der Blödmarkt-Stange holen ist dann aber i.d.R. wieder ziemlich Beschränkt was die Möglichkeiten anbelangt 🙂.Nur die Harten kommen in den Garten 😉
1
Ja genau das war der Grund für mich einen Mikrotik zu kaufen.
Spaß am lernen und endlich verstehen wie genau Netzwerke funktionieren.
Aber letztlich festgestellt dass alles nicht ganz so einfach ist 😅
Spaß am lernen und endlich verstehen wie genau Netzwerke funktionieren.
Aber letztlich festgestellt dass alles nicht ganz so einfach ist 😅
1
"Einfach" ist wie immer relativ. Kommt immer auf die persönliche Sichtweise an!
