Mikrotik für Deutsche Glasfaser einrichten
Hallo community,
ich brauche Hilfe. Wir haben den Anschluß von der Deutschen Glasfaser bekommen, und ich brauche Antwort auf folgende Fragen:
1. Der Mikrotik "ethernet 1" ist an dem NT der Deutschen Glasfaser angeschlossen. Ich sehe Traffic an "ethernet 1"
2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client. Wenn ich einen dhcp client einrichte, sehe ich ein "bound", aber "invalid". Mit einem ipv6 client hat es bisher nicht funktioniert, ich brauche dort wohl einen DHCP_pool. Für PPPOE habe ich keinen User und Passwort von DG bekommen. Ich hatte ein Telefonat, erste Antwort war, dass Mikrotik nicht unterstützt wird, und sie die Account-Daten nicht herausgeben (?). Dann habe ich gefragt, ob es mit einem TP-Link Router gehen würde: ja, das ginge. Sie schicken mir die notwendigen Daten.
3. Ich brauche noch eine gute Anleitung zur Einrichtung von ipv6 plus Firewall settings. Ich habe es aktiviert, muss ich jetzt wie bei ipv4 einen DHCP Server, Adressen, und Pool anlegen?
ich brauche Hilfe. Wir haben den Anschluß von der Deutschen Glasfaser bekommen, und ich brauche Antwort auf folgende Fragen:
1. Der Mikrotik "ethernet 1" ist an dem NT der Deutschen Glasfaser angeschlossen. Ich sehe Traffic an "ethernet 1"
2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client. Wenn ich einen dhcp client einrichte, sehe ich ein "bound", aber "invalid". Mit einem ipv6 client hat es bisher nicht funktioniert, ich brauche dort wohl einen DHCP_pool. Für PPPOE habe ich keinen User und Passwort von DG bekommen. Ich hatte ein Telefonat, erste Antwort war, dass Mikrotik nicht unterstützt wird, und sie die Account-Daten nicht herausgeben (?). Dann habe ich gefragt, ob es mit einem TP-Link Router gehen würde: ja, das ginge. Sie schicken mir die notwendigen Daten.
3. Ich brauche noch eine gute Anleitung zur Einrichtung von ipv6 plus Firewall settings. Ich habe es aktiviert, muss ich jetzt wie bei ipv4 einen DHCP Server, Adressen, und Pool anlegen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670045
Url: https://administrator.de/forum/mikrotik-fuer-deutsche-glasfaser-einrichten-670045.html
Ausgedruckt am: 11.01.2025 um 10:01 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @ArcorPi:
Hallo community,
2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client.
Fur IPv4 reicht ein simpler DHCP Client. Kann aber mal etwas dauern, besonders wenn vorher ein Device mit anderer MAC-Adresse dran hing.Hallo community,
2. Was muss ich machen: PPPOE oder dhcp6 client, oder dhcp4 client.
Für IPv6 einen simplen DHCPv6 Client mit global pool und Prefix Delegation.
Bei IPv6 Port 546 UDP nicht vergessen aufzumachen, wegen DHCPv6, das kommt stateless inbound.
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
Wenn ich einen dhcp client einrichte, sehe ich ein "bound", aber "invalid". Mit einem ipv6 client hat es bisher nicht funktioniert, ich brauche dort wohl einen DHCP_pool.
Ich hatte ein Telefonat, erste Antwort war, dass Mikrotik nicht unterstützt wird,
Blödsinn, geht problemlos, wenn man bei der Buchung "Eigener Router" angegeben hat.und sie die Account-Daten nicht herausgeben (?)
Da braucht es keine Zugangsdaten. Die Account-Daten sind bereits im NT hinterlegt.IPv6 Setup
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Firewall
Die Default Config kommt bereits mit einer wasserdichten Firewall Config inkl. IPv6, noch mehr Finetuning bietet folgende Anleitung
https://help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced ...
Zitat von @Visucius:
Das Thema „MAC Adresse“ ist doch schon mit dem ONT abgewickelt. Das ist der Vorteil davon (wenn man so will).
Das Thema „MAC Adresse“ ist doch schon mit dem ONT abgewickelt. Das ist der Vorteil davon (wenn man so will).
Nein, der DHCP der DG stellt sich da quer wenn zwei unterschiedliche MACs am ONT innerhalb kurzer Zeit eine IP beziehen wollen, da muss man dann den Timeout abwarten, bis der eine neue MAC akzeptiert.
Früher war das schlimmer, mittlerweile ist der Timeout aber kürzer, kamen vermutlich zu viele Beschwerden ...
Kommt drauf an welche Bandbreite du bei 5 Ghz definiert hast?
Bei 40 und 80 Mhz ist deine Kanalwahl etwas unglücklich, denn damit hast du Überschneidungen was dann in gegenseitigen Störungen zu Lasten der Performance resultieren kann.
https://wlanport.de/information/wlanwiki/5ghz-kanaele-fuer-wlan-in-deuts ...
Da 2,4 Ghz auf 20 Mhz festgelegt ist wird das wohl nicht viel mehr.
Alles hängt in sehr großem Maße vom baulichen Umfeld, der Entfernung Client zum AP sowie der Antennenaustattung beider Seiten (MIMO etc.) ab wozu du leider keine Angaben machst. Deshalb sind diese an sich sehr guten Werte mehr oder minder Schall und Rauch weil ein Bezug fehlt.
Bei 40 und 80 Mhz ist deine Kanalwahl etwas unglücklich, denn damit hast du Überschneidungen was dann in gegenseitigen Störungen zu Lasten der Performance resultieren kann.
https://wlanport.de/information/wlanwiki/5ghz-kanaele-fuer-wlan-in-deuts ...
Da 2,4 Ghz auf 20 Mhz festgelegt ist wird das wohl nicht viel mehr.
Alles hängt in sehr großem Maße vom baulichen Umfeld, der Entfernung Client zum AP sowie der Antennenaustattung beider Seiten (MIMO etc.) ab wozu du leider keine Angaben machst. Deshalb sind diese an sich sehr guten Werte mehr oder minder Schall und Rauch weil ein Bezug fehlt.
Kein Wunder, da ist so gut wie alles falsch, erstens
Macht keinen Sinn, du musst schon dem richtigen Interface an dem die Clients hängen eine IP aus dem Pool vergeben und "Advertise" anhaken, zweitens muss das ND auch auf diesem Interface aktiviert sein und wenn mit vlans in einer Bridge gearbeitet wird gehört das ND auf die VLANs aktiviert und nicht die Bridge selbst ...
Wieso machst du also alles anders als in der Anleitung ?? Leider vollkommen unverständlich 🤔
Und das folgende ist auch alles Bullshit, erstens wird der Prefix durch das "Advertise" in den IPv6 Addresses automatisch hinzugefügt und Accept Router Advertisements gehören ebenfalls ausgeschaltet weil du ja per DHCPv6 die IPs vom Provider beziehst und nicht per SLAAC
Ich würde mir als erstes mal die IPv6 Grundlagen aneignen, dann stellst du auch nicht Dinge ein die keinen Sinn ergeben
https://danrl.com/ipv6/
/ipv6 address
add address=2001:db8::1 interface=bridge
add from-pool=dhcpv6-pool interface=lo
add address=2001:db8::1 interface=bridge
add from-pool=dhcpv6-pool interface=lo
Macht keinen Sinn, du musst schon dem richtigen Interface an dem die Clients hängen eine IP aus dem Pool vergeben und "Advertise" anhaken, zweitens muss das ND auch auf diesem Interface aktiviert sein und wenn mit vlans in einer Bridge gearbeitet wird gehört das ND auf die VLANs aktiviert und nicht die Bridge selbst ...
Wieso machst du also alles anders als in der Anleitung ?? Leider vollkommen unverständlich 🤔
Und das folgende ist auch alles Bullshit, erstens wird der Prefix durch das "Advertise" in den IPv6 Addresses automatisch hinzugefügt und Accept Router Advertisements gehören ebenfalls ausgeschaltet weil du ja per DHCPv6 die IPs vom Provider beziehst und nicht per SLAAC
ipv6 nd prefix add interface=bridge prefix=2001:db8::/64
/ipv6 settings set accept-redirects=no accept-router-advertisements=yes
/ipv6 settings set accept-redirects=no accept-router-advertisements=yes
Ich würde mir als erstes mal die IPv6 Grundlagen aneignen, dann stellst du auch nicht Dinge ein die keinen Sinn ergeben
https://danrl.com/ipv6/
Zitat von @ArcorPi:
Was nicht mehr geht: MT Back ToHome, und von außen über IP->cloud auf einen Rechner im Netzwerk zu kommen, den ich in der ipv4 Firewall in einer NAT-Regel freigegeben habe.
Logisch, denn die DG arbeitet mit zentralem CGNAT (Dual Stack mit öffentlicher IPv6 aber zentral genNATeter privater IPv4), IPv4 Zugriff auf dein Netz mit Portweiterleitung kannst du also per se sowieso knicken und von außen ausschließlich per IPv6 in dein Netz ...Was nicht mehr geht: MT Back ToHome, und von außen über IP->cloud auf einen Rechner im Netzwerk zu kommen, den ich in der ipv4 Firewall in einer NAT-Regel freigegeben habe.
Alternativ, Business Anschluss bei der DG beantragen mit fester IPv4 oder vServer mit öffentlicher IPv4 mieten und zu dem ein VPN offen halten, wenn man aus Netzen ohne IPv6 daheim zugreifen muss.
Was "DS-Lite" ist und wie dort CG-NAT implementiert ist (Skizze) kann man u.a. HIER nachlesen.
Bei DS-Lite Anschlüssen ist es generel technisch nicht möglich aus dem Internet eingehende IPv4 Verbindungen zu realisieren weil das NAT Gateway des Providers dies verhindert.
Es klappt nur IPv6 oder bei v4 eben ein externer Jumphost.
Bei dir aber kein Thema, denn per VPN kannst du in einem v6 Tunnel auch problemlos v4 Traffic übertragen.
Der einzige Haken ist nur das der VPN Client in dem Falle auch immer in einem v6 Netz (Dual Stack) liegen muss was heute aber (fast) immer der Fall ist. Ansonsten bleibt dir nur der Business Anschluss oder der Jumphost.
Sowas weiss man aber immer vorher bevor man einen DS-Lite Vertrag unterschreibt!
Bei DS-Lite Anschlüssen ist es generel technisch nicht möglich aus dem Internet eingehende IPv4 Verbindungen zu realisieren weil das NAT Gateway des Providers dies verhindert.
Es klappt nur IPv6 oder bei v4 eben ein externer Jumphost.
Bei dir aber kein Thema, denn per VPN kannst du in einem v6 Tunnel auch problemlos v4 Traffic übertragen.
Der einzige Haken ist nur das der VPN Client in dem Falle auch immer in einem v6 Netz (Dual Stack) liegen muss was heute aber (fast) immer der Fall ist. Ansonsten bleibt dir nur der Business Anschluss oder der Jumphost.
Sowas weiss man aber immer vorher bevor man einen DS-Lite Vertrag unterschreibt!
Sowas weiss man aber immer vorher bevor man einen DS-Lite Vertrag unterschreibt! face-wink
Das sagt sich immer so leicht. Aber die Anbieter werben damit ja nicht wirklich. Und wenn man recherchiert muss das auch nicht für alle Verträge gleich sein, bzw. davon abhängen, wessen Leitungen da vom Reseller verschachert werden.
Hier wird aber von manchen oft DS-Lite mit Dual Stack (mit privater IPv4) durcheinander geworfen ...
DS-Lite verwendet ausschließlich öffentliche IPv6 Adressen um darüber dann über die IPv6 AFTR Endpoints IPv4 zu tunneln um dem User IPv4 Zugang zu ermöglichen. Die Deutsche Glasfaser verwendet hier aber kein DS-Lite sondern Dual Stack bei dem IPv4 und IPv6 separat laufen und die IPv4 aus dem nicht öffentlichen Carriergrade NAT Bereich beim Provider zentral zu einer öffentlichen IP geNATed wird.
Schnittstellenbeschreibung Deutsche-Glasfaser
Also wenn, dann bitte auch dir richtigen Termini verwenden 😉.
DS-Lite verwendet ausschließlich öffentliche IPv6 Adressen um darüber dann über die IPv6 AFTR Endpoints IPv4 zu tunneln um dem User IPv4 Zugang zu ermöglichen. Die Deutsche Glasfaser verwendet hier aber kein DS-Lite sondern Dual Stack bei dem IPv4 und IPv6 separat laufen und die IPv4 aus dem nicht öffentlichen Carriergrade NAT Bereich beim Provider zentral zu einer öffentlichen IP geNATed wird.
Schnittstellenbeschreibung Deutsche-Glasfaser
Also wenn, dann bitte auch dir richtigen Termini verwenden 😉.