dirkschwarz

Winbox auf Mikrotik Router hinter Deutscher Glasfaser

Guten Tag,

ich habe folgendes Szenario:

Ein Mikrotik-Router ist über einen Anschluss der Deutschen Glasfaser mit dem Internet verbunden. Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.

Um den Router dennoch aus der Ferne administrieren zu können, habe ich folgende Konfiguration umgesetzt:

Setup:

`
Mikrotik-Router (Deutsche Glasfaser, keine öffentliche IP)
<-> WireGuard VPN-Server (mit öffentlicher IPv4-Adresse)
<-> Laptop (Client)
`

Der VPN-Tunnel ist mit WireGuard realisiert.

Status:

  • Ping auf den Router funktioniert
  • SSH funktioniert
  • WebFig funktioniert
  • Winbox funktioniert nicht

Firewall-Konfiguration am Mikrotik-Router:

/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"  

# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"  
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"  
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG"  
Trotz dieser Konfiguration funktioniert Winbox nicht über die VPN-Verbindung.

Weitere Informationen:

  • Unter
    /ip services winbox
    habe ich das WireGuard-Netzwerk eingetragen.
  • Auch ein Test mit `0.0.0.0/0` brachte keinen Erfolg.

Hat jemand eine Idee, woran es liegen könnte? Gibt es bekannte Probleme mit Winbox über WireGuard?

Vielen Dank im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673445

Url: https://administrator.de/forum/mikrotik-wireguard-vpn-router-zugriff-673445.html

Ausgedruckt am: 10.07.2025 um 09:07 Uhr

aqui
aqui 18.06.2025 aktualisiert um 14:43:46 Uhr
Das hast du hoffentlich zur DG Thematik gelesen?!
Mikrotik für Deutsche Glasfaser einrichten

Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen. Guckst du HIER

Der Mikrotik supportet im Übrigen auch alle überall vorhandenen onboard VPN Clients (L2TP) Das erspart dir dir unnötige Frickelei mit (überflüssigen) VPN Clients auf den Endgeräten. face-wink
L2TP VPN Server mit Mikrotik für onboard VPN Clients
dirkschwarz
dirkschwarz 18.06.2025 um 12:29:56 Uhr
@aqui - Danke für deine Antwort,

geht mit L2TP vielleicht einfacher, habe ich aber keine Erfahrung, also WireGuard. Klappt ja auch grundsätzlich und Jumpserver läuft eh bei mir.

Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen und Winbox auf der Outbound Interface List zulassen.

Kannst du mir dies netterweise näher erklären? Zugriff mittels Winbox soll ja über die WG-Schnittsteller erfolgen. Dies klappt ja auch in meiner Konfiguration bei Webfig (80/443) und SSH (22). Was ist also bei Winbox(8291) anders bezüglich der Firewallregel?

Danke!

PS: gibt ausser dieser Sache keine Probleme mit dem Mikrotik und der Deutschen Glasfaser...
aqui
aqui 18.06.2025 aktualisiert um 14:48:51 Uhr
Eine Frage vorweg:
Arbeitest du mit der klassischen Internet Router Default Firewall Einstellung die üblicherweise an ether1 aktiv ist und die auch die üblichen Interface Listen "LAN" und "WAN" benutzt?

Nebenbei zum Thema v6:
gibt ausser dieser Sache keine Probleme mit dem Mikrotik
Das kann eigentlich nicht sein, denn eine öffentliche IPv6 Adresse bekommt man bei der DG als CG-NAT Provider immer. Kann es sein das du IPv6 nicht richtig konfiguriert hast und den DHCPv6 Client und die Prefix Delegation falsch eingerichtet hast? 🤔
Siehe auch hier und hier
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 546) erlaubt auf den WAN Port. (Tutorial)
dirkschwarz
dirkschwarz 18.06.2025 um 12:57:56 Uhr
ja - ether1/WAN | bridge=ether2-ether5 / LAN
commodity
commodity 18.06.2025 aktualisiert um 13:11:16 Uhr
Ich torche in solchen Fällen immer, wozu hat man den Mikrotik denn? face-smile

Ansonsten: Zugriff über IP/Services beschränkt? Vergisst man gern.

Viele Grüße, commodity
dirkschwarz
dirkschwarz 18.06.2025 um 13:13:36 Uhr
@commodity

hatte ich oben bereits erwähnt - Range vom WG-VPN unter /ip services Winbox eingetragen - kein Erfolg. Auch ein Test mit 0.0.0.0/0 - kein Erfolg.

Winbox bleibt nicht erreichbar.
dirkschwarz
dirkschwarz 18.06.2025 um 13:17:05 Uhr
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox an, wenn ich ein Verbindungsversuch mit Winbox starte.
dirkschwarz
dirkschwarz 18.06.2025 um 13:32:26 Uhr
/ip services winbox
ip services winbox
BiberMan
BiberMan 18.06.2025 aktualisiert um 14:31:41 Uhr
Zitat von @dirkschwarz:

/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"  

# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"  
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"  
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG"  
> 

  • Interface Namen verwechselt?! Einmal in-interface=wg-vpn und einmal in-interface=wg0
  • Reihenfolge der Regeln in der INPUT Chain beachtet?!

Gibt es bekannte Probleme mit Winbox über WireGuard?
Nein, stink normales TCP... Klappt hier schon jahrelang einwandfrei! As always with Mikrotik PEBKAC.

Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Blödsinn, eine öffentliche IPv6 bekommst du dort immer, nur die IPv4 ist dort aus dem CGNAT Bereich 100.64.0.0/10!
aqui
aqui 18.06.2025 aktualisiert um 14:42:45 Uhr
Das o.a. L2TP Tutorial hat eine Anleitung wie der WinBox Zugang einfach zu realisieren ist mit einer simplen Anpassung der Default Firewall Regel. Das sollte entsprechend auch für WG klappen.
WinBox Zugang per VPN freigeben
BiberMan
BiberMan 18.06.2025 aktualisiert um 14:43:15 Uhr
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 547) erlaubt auf den WAN Port. (Tutorial)

Du meinst wohl UDP 546 😉
aqui
aqui 18.06.2025 um 14:49:33 Uhr
Ooops...stimmt! Korrigiert. Danke für den Hinweis. face-wink
commodity
commodity 18.06.2025 um 16:09:23 Uhr
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox
nimm testweise mal die "Available From"s weg bzw. schau, ob im Torch auch diese Ranges angezeigt werden.

Viele Grüße, commodity
aqui
aqui 18.06.2025 um 17:00:46 Uhr
Mit 2 Klicks in der WinBox die Default Regel anpassen geht schneller... face-wink
commodity
commodity 18.06.2025 um 17:25:51 Uhr
Die 2 Klicks bringen nur nichts, wenn die Beschränkung bei IP/Services greift. Der TO hat das 2 Ranges gewhitelisted, er sagt im Ausgangspost, das WG-Netzwerk gehört dazu. Ob das wirklich so ist, wissen wir nicht. Er sieht das, wenn er die Beschränkung kurz mal komplett abschaltet.

Viele Grüße, commodity
dirkschwarz
dirkschwarz 19.06.2025 um 08:30:57 Uhr
Guten Morgen,

wen es interessiert....

Habe die WG-Schnittstelle in die Interface LAN-Liste aufgenommen = klappt!

Verstehen tu ich es aber nicht. Warum klappt SSH und Webfig ohne Aufnahme der WG-Schnittstelle (auch TCP) aber Winbox nicht, bzw. nur nach Aufnahme in die LAN Liste?
Kann mir das jemand erklären? Lerne immer gerne hinzu....

Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.

IPv6 Test - siehe Anhang!
ipv6
BiberMan
BiberMan 19.06.2025 aktualisiert um 09:38:37 Uhr
Zitat von @dirkschwarz:

Habe die WG-Schnittstelle in die Interface LAN-Liste aufgenommen = klappt!
Normal weil für die Interfaces in der LAN Liste in der Firewall eh so gut wie alles erlaubt ist.
Verstehen tu ich es aber nicht. Warum klappt SSH und Webfig ohne Aufnahme der WG-Schnittstelle (auch TCP) aber Winbox nicht, bzw. nur nach Aufnahme in die LAN Liste?
Weil deine Firewall Regeln zu 99,999% nicht in der richtigen Reihenfolge stehen....
First match wins und wenn deine Regel hinter der letzten Drop-Rule steht, wirkt sie nicht mehr .
Auch hier ist das ohne komplette FW Config im Klartext als Export wieder mal Rätselraten.

Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.

IPv6 Test - siehe Anhang!

Tja, DHCP ist nicht DHCPv6!
Und ohne deine Config, rätselraten . Bin hier selbst bei der DG und das lüpt 200%ig einwandfrei seit Jahren man muss es halt nur richtig machen! Der Mikrotik ist keine Fritte die alles selbst macht.

Wie man Prefix Delegation richtig einrichtet kannst du hier nachlesen
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Einfach das PPPoE IF weg denken und den DHCPv6-Client direkt auf das IF zum ONT setzen.
Du hast wohl vergessen das zugeteilte Prefix auf das LAN Interface zu announcen damit die Clients anhand des zugeteilten Prefixes sich eine globale IPv6 generieren können.
aqui
aqui 19.06.2025 aktualisiert um 10:12:16 Uhr
Zudem ja auch auch die Aussage des TOs von oben (Zitat) "Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse." auch gelogen ist denn wie man unschwer am obigen Screenshot erkennt ist dort eine öffentliche IP 94.31.93.32 (DG bei Düsseldorf) zu sehen.
Wird sich dann wohl auch wie die praxisfremde Aussage zur DG v6 Adressierung (DHCPv6) von oben verhalten... face-sad

Eigentlich ja kinderleicht zu ändern indem der den DHCPv4 Client wieder deaktiviert und dann den DHCPv6 Client am WAN Port aktiviert. Das schafft eigentlich auch ein MT Laie mit ein paar Mausklicks in der Winbox. face-wink
client
Mit der entsprechenden DHCPv6 Regel am WAN Port. Natürlich auch in der richtigen Reihenfolge! face-wink
regel

Ein paar WinBox Screenshots oder Export Auszüge des TOs wären in der Tat sehr hilfreich für ein zielführendes Troubleshooting bzw. Lösung um zu verstehen welches vermutlich falsche Regelwerk für die v6 Adressierung dort aktiv ist. v6 am DG Anschluss rennt, wie oben schon gesagt vollkommen unproblematisch und warum sollte man darauf verzichten wenn man es angeboten bekommt?!
dirkschwarz
dirkschwarz 19.06.2025 um 10:22:44 Uhr
# 2025-06-19 09:32:51 by RouterOS 7.19
# software id = Y2RR-M291
#
# model = RB960PGS
# serial number = HGW0A2K2422
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \  
    connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid  
add action=accept chain=input comment=\
    "accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=accept chain=input comment="accept ICMP" protocol=icmp  
add action=accept chain=input comment="Accept WireGuard UDP" dst-port=37957 \  
    in-interface-list=WAN protocol=udp
add action=accept chain=input comment="Allow Winbox from WG" dst-port=8921 \  
    in-interface=wg0 log=yes log-prefix="winbox test" protocol=tcp  
add action=log chain=input comment="Log Winbox attempts" dst-port=8291 log=\  
    yes log-prefix=winbox protocol=tcp
add action=accept chain=input comment="Allow WebFig from WG" dst-port=80,443 \  
    in-interface=wg0 protocol=tcp
add action=accept chain=input comment="Allow SSH from WG" dst-port=22 \  
    in-interface=wg0 protocol=tcp
add action=drop chain=input comment="drop all not coming from LAN" \  
    in-interface-list=!LAN log=yes
add action=fasttrack-connection chain=forward comment=\
    "fasttrack" connection-state=\  
    established,related hw-offload=yes
add action=accept chain=forward comment=\
    "accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid  
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \  
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

und klar DHCPv6-Client....keine Adresszuteilung!
dirkschwarz
dirkschwarz 19.06.2025 um 10:29:49 Uhr
zur Ergänzung:

Public Adresse: 94.31.93.32
Mikrotik:
DHCP WAN/ ether1: 100.112.176.7/16
DHCP IPv6 WAN/ether1: Nichts! - Status searching
aqui
aqui 19.06.2025 aktualisiert um 10:35:58 Uhr
....keine Adresszuteilung!
Was ja auch kein Wunder ist oder siehst du in deinem eigenen Regelwerk oben irgendeine Regel die UDP 546 (DHCPv6, da DG die v6 Adressen mit DHCPv6 zuteilt) auf die INPUT Chain am WAN Port erlaubt??? ☹️
Wie hattest du denn gedacht sollen IPv6 Adressen und die Prefix Delegation jemals an deinem Router WAN Port (DG Anschluss) ankommen ohne diese Firewall Regel??? Das der MT sich dann einen Wolf "sucht" nach der v6 Adresse ist dann mehr als verständlich...
Mehr Silbertablett als dir das immer und immer zu sagen und entsprechende Screenshots zu zeigen kann man ja in einem Forum nicht machen... Zeigt das du das IPv6 Tutorial oben leider auch nicht richtig gelesen hast. face-sad
BiberMan
BiberMan 19.06.2025 aktualisiert um 11:11:15 Uhr
Was ja auch kein Wunder ist oder siehst du in deinem eigenen Regelwerk oben irgendeine Regel die UDP 546 (DHCPv6, da DG die v6 Adressen mit DHCPv6 zuteilt) auf die INPUT Chain am WAN Port erlaubt??? ☹️

Kann man hier nicht sehen denn das ist die Ausgabe der IPv4 Firewall, leider fehlt der IPv6 Firewall Export /ipv6 firewall filter export sowie alles andere auch was fürs Debugging hilfreich wäre .

Vom DHCPv6 Server kommen die Pakete ja stateless eingehend deswegen muss der Port extern auch offen sein .

Wasserdichte Firewalls wie immer hier nachzulesen,
help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced ...
Btw., die Default-FW von Mikrotik enthält diese DHCPv6 Regel übrigens standardmäßig.
BiberMan
BiberMan 19.06.2025 aktualisiert um 11:21:47 Uhr
Btw. Tippfehler in deiner Firewall-Regel ...
dst-port=8921
statt richtigerweise 8291 - dat kann so also nicht klappen 😉.
dirkschwarz
Lösung dirkschwarz 19.06.2025 um 13:22:13 Uhr
@BiberMan - ggrrrhhh, das war’s - mal wieder so ein Mist Tippfehler - Danke!!! - verbessert und lüppt!!

nun noch IPv6-FW:

/ipv6 firewall filter
add action=accept chain=input comment="allow established, related, untracked" \  
    connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid  
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6  
add action=accept chain=input comment="accept UDP traceroute" port=\  
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp \  
    src-address=fe80::/10
add action=accept chain=input comment="accept Wireguard" dst-port=13231 \  
    in-interface-list=WAN log=yes log-prefix=wg0 protocol=udp
add action=accept chain=input comment="accept wireguard traffic" \  
    in-interface=wg0
add action=accept chain=input comment="allow allowed addresses" \  
    src-address-list=allowed
add action=accept chain=forward comment=\
    "accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid  
add action=drop chain=forward comment="drop packets with bad src ipv6" \  
    src-address-list=bad_ipv6
add action=drop chain=forward comment="drop packets with bad dst ipv6" \  
    dst-address-list=bad_ipv6
add action=drop chain=forward comment="rfc4890 drop hop-limit=1" hop-limit=\  
    equal:1 protocol=icmpv6
add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6  
add action=drop chain=forward comment=\
    "drop everything else not coming from LAN" in-interface-list=!LAN  
commodity
commodity 19.06.2025 um 13:44:42 Uhr
Kollege @BiberMan schlägt jede KI um Längen face-big-smile

Ich hatte anfangs auch den Port verglichen, aber im Verlauf hat der TO die Firewallregel unverständlicher Weise verändert. Im ersten Post hieß es noch, zumindest was den Port angeht, korrekt
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"    

Und wieder ein vermeintliches Mikrotik-Mysterium gelöst face-big-smile
Gibt es bekannte Probleme mit Winbox über WireGuard?
Klares Nein, aber es gibt bekannte Probleme bei der Sorgfalt der Einrichtung dieser Router, die vor der Tastatur liegen face-big-smile
Passiert aber jedem, Kopf hoch, jeder dieser Fälle schärft das Auge und man profitiert später davon.

Viele Grüße, commodity
aqui
aqui 19.06.2025, aktualisiert am 20.06.2025 um 14:48:39 Uhr
Die "UDP Traceroute" Regel mit den ominösen Ports solltest du besser weglassen die ist nicht erforderlich.
Vom Regelwerk sieht das erstmal gut aus.
Bleibt dann nur noch dein DHCPv6 Client und seine Konfig. face-wink
aqui
aqui 21.06.2025 um 12:17:38 Uhr
Wie siehts denn nun aus bei dir mit der IPv6 Adresse von der DG?? 🤔
BiberMan
BiberMan 21.06.2025 aktualisiert um 13:49:08 Uhr
Deine Todos für eine erfolgreiche Vergabe von IPv6 Adressen in deinem LAN,(außer der Firewall-Regel die ja schon passend gesetzt ist) sind folgende (ether1 als WAN und bridge-lan an deine Gegebenheiten anpassen)
# add dhcp client to ether1 (wan-port)
/ipv6 dhcp-client add interface=ether1 request=prefix pool-name=global-prefix add-default-route=yes
# automatically assign ipv6 address to LAN-Bridge Interface from received prefix and advertise the prefix in router advertisements 
/ipv6 address add interface=bridge-lan pool=global-prefix address=::1 advertise=yes
# enable neighbor discovery on LAN-Bridge
/ipv6 nd set [find default=yes] disabled=yes
/ipv6 nd add advertise-dns=no interface=bridge-lan
Und schon generieren die Clients instant per SLAAC ihre globale IPv6 Adresse aus dem announcten prefix.
dirkschwarz
dirkschwarz 21.06.2025 um 16:39:18 Uhr
@aqui @BiberMan

nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled face-smile, ich wusste gar nicht, dass einen Schalter gibt...

Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.

Was mich noch irritiert - die APs̀ angebunden über Capsman bekommen nur eine lokale ipv6 (fe80) auf Ihrer Bridge?!

Vielleicht könnt ihr mir da weiterhelfen...

Danke!
BiberMan
BiberMan 21.06.2025 aktualisiert um 17:45:17 Uhr
Zitat von @dirkschwarz:

@aqui @BiberMan

nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled face-smile, ich wusste gar nicht, dass einen Schalter gibt...

Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.
👍
Was mich noch irritiert - die APs̀ angebunden über Capsman bekommen nur eine lokale ipv6 (fe80) auf Ihrer Bridge?!
Das ist normal, denn die Mikrotiks selbst können kein SLAAC. Wenn du diesen auch eine globale v6 verpassen willst (warum auch immer) musst du einen DHCPv6-Server auf dem CAPsMan anlegen und dort den globalen Pool benutzen den du übers WAN bezogen hast. Auf den CAPs ist dann ein DHCPv6 Client zum beziehen eines eigenen prefixes (IAPD) nötig und das Zuweisen einer Adresse des Prefixes zu einer Schnittstelle des CAPs.

Aber wozu möchtest du den CAPs ne globale IPv6 verpassen?? Das ist absolut nicht notwendig, außer du willst die von extern direkt via v6 erreichen oder vom CAP selbst eine externe v6 Adresse ansprechen können.
dirkschwarz
dirkschwarz 21.06.2025 um 18:41:27 Uhr
@BiberMan

will ich gar nicht und brauch ja auch keine globale ipv6 Adresse für die AP`s. Dachte nur es wäre wieder ein Konfigurationsfehler. Habe mich bisher vor ipv6 rumgedrückt.

Nun klappt`s auf jeden Fall.

Herzlichen Dank!
BiberMan
BiberMan 21.06.2025 um 22:01:32 Uhr
Zitat von @dirkschwarz:
Habe mich bisher vor ipv6 rumgedrückt.
Für verregnete Tage etwas Lektüre
danrl.com/ipv6/
Nun klappt`s auf jeden Fall.

Herzlichen Dank!

Keine Ursache 👋
Lochkartenstanzer
Lochkartenstanzer 21.06.2025 um 23:35:17 Uhr
Zitat von @BiberMan:

Zitat von @dirkschwarz:
Habe mich bisher vor ipv6 rumgedrückt.
Für verregnete Tage etwas Lektüre
danrl.com/ipv6/

Bei Sonnenschein als Baggerseelektüre statt dem neuesten King geht es auch, mit Mobilfunk und VPN aufs Labornetz verbinden und schon kann man auch am Baggersee ipv6 lernen. face-smile

lks
commodity
commodity 22.06.2025 um 12:24:53 Uhr
Rettet dem Dativ! face-big-smile

Viele Grüße, commodity
aqui
aqui 22.06.2025 aktualisiert um 14:31:16 Uhr
Wenn du diesen auch eine globale v6 verpassen willst....
Früher reichte es auch wenn man in der Winbox unter IPv6->Settings den Haken bei “Accept Router Advertisements” mit “Yes, if forwarding disabled” aktiviert hat. K.A. ob das mit der aktuellen 7er Stable auch noch klappt.
Siehe auch: forum.mikrotik.com/t/ipv6-slaac/140250

Ansonsten ist der DHCPv6 Server ebenso mit einer Handvoll Mausklicks unter Zuhilfenahme deines v6 Prefix Pools im Handumdrehen installiert. face-wink
mtdhcpsrv