arcorpi
Goto Top

Mikrotik für Deutsche Glasfaser einrichten

Hallo community,

ich brauche Hilfe. Wir haben den Anschluß von der Deutschen Glasfaser bekommen, und ich brauche Antwort auf folgende Fragen:

1. Der Mikrotik "ethernet 1" ist an dem NT der Deutschen Glasfaser angeschlossen. Ich sehe Traffic an "ethernet 1"

2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client. Wenn ich einen dhcp client einrichte, sehe ich ein "bound", aber "invalid". Mit einem ipv6 client hat es bisher nicht funktioniert, ich brauche dort wohl einen DHCP_pool. Für PPPOE habe ich keinen User und Passwort von DG bekommen. Ich hatte ein Telefonat, erste Antwort war, dass Mikrotik nicht unterstützt wird, und sie die Account-Daten nicht herausgeben (?). Dann habe ich gefragt, ob es mit einem TP-Link Router gehen würde: ja, das ginge. Sie schicken mir die notwendigen Daten.

3. Ich brauche noch eine gute Anleitung zur Einrichtung von ipv6 plus Firewall settings. Ich habe es aktiviert, muss ich jetzt wie bei ipv4 einen DHCP Server, Adressen, und Pool anlegen?

Content-ID: 670045

Url: https://administrator.de/forum/mikrotik-fuer-deutsche-glasfaser-einrichten-670045.html

Ausgedruckt am: 11.01.2025 um 10:01 Uhr

151081
151081 06.12.2024 aktualisiert um 19:18:03 Uhr
Goto Top
Zitat von @ArcorPi:

Hallo community,
2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client.
Fur IPv4 reicht ein simpler DHCP Client. Kann aber mal etwas dauern, besonders wenn vorher ein Device mit anderer MAC-Adresse dran hing.
Für IPv6 einen simplen DHCPv6 Client mit global pool und Prefix Delegation.
Bei IPv6 Port 546 UDP nicht vergessen aufzumachen, wegen DHCPv6, das kommt stateless inbound.
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10  
Rest steht unten verlinkt.
Wenn ich einen dhcp client einrichte, sehe ich ein "bound", aber "invalid". Mit einem ipv6 client hat es bisher nicht funktioniert, ich brauche dort wohl einen DHCP_pool.

Ich hatte ein Telefonat, erste Antwort war, dass Mikrotik nicht unterstützt wird,
Blödsinn, geht problemlos, wenn man bei der Buchung "Eigener Router" angegeben hat.
und sie die Account-Daten nicht herausgeben (?)
Da braucht es keine Zugangsdaten. Die Account-Daten sind bereits im NT hinterlegt.

IPv6 Setup

IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)

Firewall

Die Default Config kommt bereits mit einer wasserdichten Firewall Config inkl. IPv6, noch mehr Finetuning bietet folgende Anleitung
https://help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced ...
ArcorPi
ArcorPi 06.12.2024 um 20:45:29 Uhr
Goto Top
Super, vielen Dank @151081 für die schnelle Antwort. Das werde ich versuchen, vielleicht erstmal mit ipv4.
Visucius
Visucius 06.12.2024 um 22:10:55 Uhr
Goto Top
Das Thema „MAC Adresse“ ist doch schon mit dem ONT abgewickelt. Das ist der Vorteil davon (wenn man so will).
151081
151081 06.12.2024 aktualisiert um 22:17:25 Uhr
Goto Top
Zitat von @Visucius:

Das Thema „MAC Adresse“ ist doch schon mit dem ONT abgewickelt. Das ist der Vorteil davon (wenn man so will).

Nein, der DHCP der DG stellt sich da quer wenn zwei unterschiedliche MACs am ONT innerhalb kurzer Zeit eine IP beziehen wollen, da muss man dann den Timeout abwarten, bis der eine neue MAC akzeptiert.
Früher war das schlimmer, mittlerweile ist der Timeout aber kürzer, kamen vermutlich zu viele Beschwerden ...
Visucius
Visucius 06.12.2024 um 22:16:46 Uhr
Goto Top
Verstehe, Danke Dir
ArcorPi
ArcorPi 07.12.2024 um 16:59:41 Uhr
Goto Top
Es funktioniert! Vielen Dank!

SPEEDTEST über LAN:
Download: 937 Mpbs, Upload: 509 Mbps

SPEEDTEST über WLAN:
Download: 585 Mbps, Upload: 296 Mbps

Ich habe WLAN über capsman 2 konfiguriert:

/interface wifi channel
add disabled=no frequency=5170-5300,2412,2437,2462 name=channel1 

/interface wifi configuration
add channel=channel1 country=Germany datapath="datapath1 [BRIDGE]" disabled=no name="cfg11" security="sec2" security.ft=yes .ft-over-ds=yes ssid=<ssid1>  
add channel=channel1 country=Germany datapath="datapath1 [BRIDGE]" disabled=no name="cfg12" security="sec3" security.ft=yes .ft-over-ds=yes ssid=<ssid2>  
add channel=channel1 country=Germany datapath="datapath1 [BRIDGE]" disabled=no name="cfg10" security="sec1" security.ft=yes .ft-over-ds=yes ssid=<ssid3>  

/interface wifi provisioning
add action=create-dynamic-enabled comment=cAP disabled=no identity-regexp="^MikroTik cAP ax\$" master-configuration="cfg10" name-format=%I- slave-configurations="cfg11 "  
add action=create-dynamic-enabled comment=ax2 disabled=no identity-regexp="^MikroTik ax2\$" master-configuration="cfg10" name-format=%I- slave-configurations=\  
    "cfg11,cfg12"  
add action=create-dynamic-enabled comment=ax3 disabled=no identity-regexp="^MikroTik ax3\$" master-configuration="cfg10 " name-format=%I- slave-configurations="cfg11"  

/interface/wifi/registration-table/ print
Flags: A - AUTHORIZED
Columns:^tINTERFACE, SSID, MAC-ADDRESS, UPTIME, SIGNAL
 #   INTERFACE          SSID                  MAC-ADDRESS        UPTIME  SIGNAL
 0 A MikroTik ax3-4     <ssid1>     xx:xx:xx:xx:xx:xx  30m27s  -76   
 1 A MikroTik ax3-4     <ssid1>     xx:xx:xx:xx:xx:xx  28m42s  -38   
 2 A MikroTik ax3-4     <ssid1>     xx:xx:xx:xx:xx:xx  28m37s  -72   
 3 A MikroTik cAP ax-4  <ssid2>     xx:xx:xx:xx:xx:xx  26m2s   -61   
 4 A MikroTik ax2-5     <ssid2>     xx:xx:xx:xx:xx:xx  26m2s   -91   
 5 A MikroTik ax2-5     <ssid2>     xx:xx:xx:xx:xx:xx  26m1s   -65   
 6 A MikroTik ax3-      <ssid1>     xx:xx:xx:xx:xx:xx  26m     -49   
 7 A MikroTik ax2-4     <ssid1>     xx:xx:xx:xx:xx:xx  25m58s  -63   
 8 A MikroTik ax2-5     <ssid2>     xx:xx:xx:xx:xx:xx  25m57s  -30   
 9 A MikroTik cAP ax-4  <ssid2>     xx:xx:xx:xx:xx:xx  25m56s  -39   
10 A MikroTik ax3-      <ssid1>     xx:xx:xx:xx:xx:xx  25m36s  -62   
11 A MikroTik ax2-      <ssid1>     xx:xx:xx:xx:xx:xx  24m50s  -61   
12 A MikroTik ax3-4     <ssid1>     xx:xx:xx:xx:xx:xx  22m52s  -54   
13 A MikroTik cAP ax-   <ssid1>     xx:xx:xx:xx:xx:xx  19m35s  -67   
14 A MikroTik cAP ax-   <ssid1>     xx:xx:xx:xx:xx:xx  10m38s  -60   
15 A MikroTik cAP ax-4  <ssid2>     xx:xx:xx:xx:xx:xx  7m51s   -82   
16 A MikroTik cAP ax-4  <ssid2>     xx:xx:xx:xx:xx:xx  5m25s   -62   
17 A MikroTik ax2-      <ssid1>     xx:xx:xx:xx:xx:xx  4m52s   -71

Die besten 5GHz Werte erhalte ich bei Frequenzen von 5240 MHz und 5300 MHz.

Kann ich da noch mehr optimieren? Wären separate Kanal-Konfiguration für 2.4 GHz und 5 GHz besser?
aqui
aqui 07.12.2024 aktualisiert um 18:05:06 Uhr
Goto Top
Kommt drauf an welche Bandbreite du bei 5 Ghz definiert hast?
Bei 40 und 80 Mhz ist deine Kanalwahl etwas unglücklich, denn damit hast du Überschneidungen was dann in gegenseitigen Störungen zu Lasten der Performance resultieren kann.
https://wlanport.de/information/wlanwiki/5ghz-kanaele-fuer-wlan-in-deuts ...
Da 2,4 Ghz auf 20 Mhz festgelegt ist wird das wohl nicht viel mehr.
Alles hängt in sehr großem Maße vom baulichen Umfeld, der Entfernung Client zum AP sowie der Antennenaustattung beider Seiten (MIMO etc.) ab wozu du leider keine Angaben machst. Deshalb sind diese an sich sehr guten Werte mehr oder minder Schall und Rauch weil ein Bezug fehlt.
ArcorPi
ArcorPi 07.12.2024 um 20:08:02 Uhr
Goto Top
Danke @aqui.

Ich verwende ja nur eine Channel-Config, dort habe ich keine Bandbreite und kein Band ausgewählt, sonder lasse das MT entscheiden.
Dann wäre es wohl doch besser, zwei Channel-Configs zu erstellen, eine für 2,4 GHz und eine für 5 GHz.
Dann brauche ich aber auch doppelt so viele Konfigurationen, und auch beim Provisioning zweimal so viele, weil ich dann jeweils einen Master für 2,4 GHz und 5 GHz erstellen muss.

Ist doch richtig so, oder?

Bauliches Umfeld:
- Haus mit drei Stockwerken
- Im EG steht der ax3, der mit dem Glasfaser-NT verbunden ist.
- Im OG hängt der cAP ax an der Decke
- Im UG steht der ax2

Alle drei Router sind mit Kabel verbunden, die Clients, die sich mit dem ax2 verbunden haben, sind nur zwei bis drei Meter von diesem entfernt.
In EG und OG sind die Entfernungen z.T. weiter.
ultiman
ultiman 07.12.2024 um 22:25:22 Uhr
Goto Top
Hallo,
darf ich fragen was Ihr für den Anschluss im Monat bezahlen müsst ca. ?
viele Grüße
ulti
ArcorPi
ArcorPi 08.12.2024 um 10:47:35 Uhr
Goto Top
Hallo @ultiman,

die Preise und verfügbaren Tarife gibt es hier: https://www.deutsche-glasfaser.de/tarife
Für das erste Jahr sind die Preise günstiger, danach kann man in einen anderen Tarif wechseln
ArcorPi
ArcorPi 08.12.2024 um 12:11:51 Uhr
Goto Top
Habe jetzt versucht, ipv6 zu aktivieren:

ipv6 client ist bound, aber wenn ich versuche, über ping6 eine externe Adresse anzupingen: "no route to host"

/ipv6 address
add address=2001:db8::1 interface=bridge
add from-pool=dhcpv6-pool interface=lo
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=dhcpv6-pool pool-prefix-length=56 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10  
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp  
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16  
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=accept chain=input comment="Allow link-local traffic from WAN" in-interface=ether1 src-address=fe80::/10  
add action=accept chain=input comment="Allow ICMPv6 on WAN" in-interface=ether1 protocol=icmpv6  
add action=accept chain=input comment="Allow all IPv6 traffic on ether1" in-interface=ether1 protocol=icmpv6  
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
add action=drop chain=forward comment="HARMAN Laptop - drop if destination not WAN" out-interface-list=!WAN src-mac-address=C8:5E:A9:B4:A3:16  
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=accept chain=forward comment="Allow IPv6 LAN to WAN forwarding" in-interface=bridge out-interface=ether1  
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
/ipv6 nd
set [ find default=yes ] interface=bridge
/ipv6 nd prefix
add interface=bridge prefix=2001:db8::/64
/ipv6 settings
set accept-redirects=no accept-router-advertisements=yes

> /ipv6 neighbor print        
Flags: R - router 
 0 R address=fe80::ff:fe05:202 interface=ether1 mac-address=02:00:00:05:02:02 status="reachable"   

 1 R address=fe80::1884:50a:2b24:9bf9 interface=bridge mac-address=F0:B3:EC:1E:A7:9A status="stale"   

 2   address=2001:db8::6d17:34dc:db02:5e4a interface=bridge mac-address=C8:69:CD:5E:AB:32 status="stale"   

 3   address=2001:db8::d1d9:25a1:3eb0:f323 interface=bridge mac-address=38:C9:86:1A:EA:84 status="stale"   

 4   address=fe80::5e2e:3388:b629:cc8 interface=bridge mac-address=DC:A6:32:2C:97:0F status="stale"   

 5   address=fe80::d601:c3ff:fe4e:8b8f interface=bridge status="failed"   

 6 R address=fe80::c74:318b:af45:e30 interface=bridge mac-address=F0:B3:EC:1E:A7:9A status="reachable"   

 7   address=fe80::4c6:f7e7:8042:983a interface=bridge mac-address=E2:1B:0F:D5:46:5B status="stale"   

 8   address=fe80::cc8:94fb:2a77:3cbe interface=bridge mac-address=96:EA:BC:29:C8:11 status="stale"   

 9   address=fe80::822:d47c:e569:20cd interface=bridge mac-address=AE:09:3C:E6:9F:14 status="stale"   

10   address=fe80::4ee:c68e:c587:daf9 interface=bridge mac-address=C8:69:CD:5E:AB:32 status="stale"   

11   address=fe80::f4:4b19:c864:1b1b interface=bridge mac-address=72:32:32:B2:09:9D status="stale"   

12   address=fe80::6e3c:7cff:fe78:3592 interface=bridge mac-address=6C:3C:7C:78:35:92 status="stale"   

13 R address=fe80::b62:e10a:b1da:da4d interface=bridge mac-address=02:8A:FD:A5:5F:32 status="stale"   

14   address=fe80::487:373f:215:6393 interface=bridge mac-address=38:C9:86:1A:EA:84 status="stale"   

15   address=fe80::81e:fbf6:c5c:a611 interface=bridge mac-address=2A:87:5F:C3:F4:D9 status="reachable"   

16 R address=2001:db8::dbcb:a46e:fbad:f8c0 interface=bridge mac-address=02:8A:FD:A5:5F:32 status="stale"   

17 R address=2001:db8::4d91:493a:8c8f:5961 interface=bridge mac-address=F0:B3:EC:1E:A7:9A status="stale"   

18   address=fe80::484:52ed:d4d4:c8fb interface=bridge mac-address=AA:01:AC:D8:79:31 status="stale"   

19   address=fe80::9086:97ff:fe1f:43c7 interface=bridge mac-address=24:0B:B1:52:BC:63 status="stale"   

Eine Idee, woran das liegen kann? Der NT ist an ether1 angeschlossen
151081
151081 08.12.2024 aktualisiert um 12:29:53 Uhr
Goto Top
Kein Wunder, da ist so gut wie alles falsch, erstens
/ipv6 address
add address=2001:db8::1 interface=bridge
add from-pool=dhcpv6-pool interface=lo

Macht keinen Sinn, du musst schon dem richtigen Interface an dem die Clients hängen eine IP aus dem Pool vergeben und "Advertise" anhaken, zweitens muss das ND auch auf diesem Interface aktiviert sein und wenn mit vlans in einer Bridge gearbeitet wird gehört das ND auf die VLANs aktiviert und nicht die Bridge selbst ...
Wieso machst du also alles anders als in der Anleitung ?? Leider vollkommen unverständlich 🤔

Und das folgende ist auch alles Bullshit, erstens wird der Prefix durch das "Advertise" in den IPv6 Addresses automatisch hinzugefügt und Accept Router Advertisements gehören ebenfalls ausgeschaltet weil du ja per DHCPv6 die IPs vom Provider beziehst und nicht per SLAAC
ipv6 nd prefix add interface=bridge prefix=2001:db8::/64
/ipv6 settings set accept-redirects=no accept-router-advertisements=yes

Ich würde mir als erstes mal die IPv6 Grundlagen aneignen, dann stellst du auch nicht Dinge ein die keinen Sinn ergeben
https://danrl.com/ipv6/
ArcorPi
ArcorPi 08.12.2024 um 12:29:17 Uhr
Goto Top
danke @151081, damit funktioniert der ping. Ich hatte die ipv6 config schon vor langer Zeit mal erstellt, und jetzt aktiviert.

Was nicht mehr geht: MT Back ToHome, und von außen über IP->cloud auf einen Rechner im Netzwerk zu kommen, den ich in der ipv4 Firewall in einer NAT-Regel freigegeben habe.
151081
151081 08.12.2024 aktualisiert um 14:10:31 Uhr
Goto Top
Zitat von @ArcorPi:
Was nicht mehr geht: MT Back ToHome, und von außen über IP->cloud auf einen Rechner im Netzwerk zu kommen, den ich in der ipv4 Firewall in einer NAT-Regel freigegeben habe.
Logisch, denn die DG arbeitet mit zentralem CGNAT (Dual Stack mit öffentlicher IPv6 aber zentral genNATeter privater IPv4), IPv4 Zugriff auf dein Netz mit Portweiterleitung kannst du also per se sowieso knicken und von außen ausschließlich per IPv6 in dein Netz ...
Alternativ, Business Anschluss bei der DG beantragen mit fester IPv4 oder vServer mit öffentlicher IPv4 mieten und zu dem ein VPN offen halten, wenn man aus Netzen ohne IPv6 daheim zugreifen muss.
ArcorPi
ArcorPi 08.12.2024 um 12:41:25 Uhr
Goto Top
ok, besten Dank für die Info!
aqui
aqui 08.12.2024 aktualisiert um 12:53:58 Uhr
Goto Top
Was "DS-Lite" ist und wie dort CG-NAT implementiert ist (Skizze) kann man u.a. HIER nachlesen. face-wink
Bei DS-Lite Anschlüssen ist es generel technisch nicht möglich aus dem Internet eingehende IPv4 Verbindungen zu realisieren weil das NAT Gateway des Providers dies verhindert.
Es klappt nur IPv6 oder bei v4 eben ein externer Jumphost.
Bei dir aber kein Thema, denn per VPN kannst du in einem v6 Tunnel auch problemlos v4 Traffic übertragen.
Der einzige Haken ist nur das der VPN Client in dem Falle auch immer in einem v6 Netz (Dual Stack) liegen muss was heute aber (fast) immer der Fall ist. Ansonsten bleibt dir nur der Business Anschluss oder der Jumphost.
Sowas weiss man aber immer vorher bevor man einen DS-Lite Vertrag unterschreibt! face-wink
Visucius
Visucius 08.12.2024 um 13:13:21 Uhr
Goto Top
Sowas weiss man aber immer vorher bevor man einen DS-Lite Vertrag unterschreibt! face-wink
Das sagt sich immer so leicht. Aber die Anbieter werben damit ja nicht wirklich. Und wenn man recherchiert muss das auch nicht für alle Verträge gleich sein, bzw. davon abhängen, wessen Leitungen da vom Reseller verschachert werden.
ArcorPi
ArcorPi 08.12.2024 um 13:27:52 Uhr
Goto Top
Danke zusammen. Ist bei mir aber tatsächlich kein Problem.
151081
151081 08.12.2024 aktualisiert um 14:18:11 Uhr
Goto Top
Hier wird aber von manchen oft DS-Lite mit Dual Stack (mit privater IPv4) durcheinander geworfen ...
DS-Lite verwendet ausschließlich öffentliche IPv6 Adressen um darüber dann über die IPv6 AFTR Endpoints IPv4 zu tunneln um dem User IPv4 Zugang zu ermöglichen. Die Deutsche Glasfaser verwendet hier aber kein DS-Lite sondern Dual Stack bei dem IPv4 und IPv6 separat laufen und die IPv4 aus dem nicht öffentlichen Carriergrade NAT Bereich beim Provider zentral zu einer öffentlichen IP geNATed wird.
Schnittstellenbeschreibung Deutsche-Glasfaser
Also wenn, dann bitte auch dir richtigen Termini verwenden 😉.