18.06.2025
2880
35
0Winbox auf Mikrotik Router hinter Deutscher Glasfaser
Guten Tag,
ich habe folgendes Szenario:
Ein Mikrotik-Router ist über einen Anschluss der Deutschen Glasfaser mit dem Internet verbunden. Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Um den Router dennoch aus der Ferne administrieren zu können, habe ich folgende Konfiguration umgesetzt:
Setup:
`
Mikrotik-Router (Deutsche Glasfaser, keine öffentliche IP)
<-> WireGuard VPN-Server (mit öffentlicher IPv4-Adresse)
<-> Laptop (Client)
`
Der VPN-Tunnel ist mit WireGuard realisiert.
Status:
Firewall-Konfiguration am Mikrotik-Router:
Trotz dieser Konfiguration funktioniert Winbox nicht über die VPN-Verbindung.
Weitere Informationen:
Hat jemand eine Idee, woran es liegen könnte? Gibt es bekannte Probleme mit Winbox über WireGuard?
Vielen Dank im Voraus!
ich habe folgendes Szenario:
Ein Mikrotik-Router ist über einen Anschluss der Deutschen Glasfaser mit dem Internet verbunden. Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Um den Router dennoch aus der Ferne administrieren zu können, habe ich folgende Konfiguration umgesetzt:
Setup:
`
Mikrotik-Router (Deutsche Glasfaser, keine öffentliche IP)
<-> WireGuard VPN-Server (mit öffentlicher IPv4-Adresse)
<-> Laptop (Client)
`
Der VPN-Tunnel ist mit WireGuard realisiert.
Status:
- Ping auf den Router funktioniert
- SSH funktioniert
- WebFig funktioniert
- Winbox funktioniert nicht
Firewall-Konfiguration am Mikrotik-Router:
/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"
# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG" Weitere Informationen:
- Unter habe ich das WireGuard-Netzwerk eingetragen.
/ip services winbox - Auch ein Test mit `0.0.0.0/0` brachte keinen Erfolg.
Hat jemand eine Idee, woran es liegen könnte? Gibt es bekannte Probleme mit Winbox über WireGuard?
Vielen Dank im Voraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673445
Url: https://administrator.de/forum/mikrotik-wireguard-vpn-router-zugriff-673445.html
Ausgedruckt am: 10.07.2025 um 09:07 Uhr
35 Kommentare
Neuester Kommentar
Das hast du hoffentlich zur DG Thematik gelesen?!
Mikrotik für Deutsche Glasfaser einrichten
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen. Guckst du HIER
Der Mikrotik supportet im Übrigen auch alle überall vorhandenen onboard VPN Clients (L2TP) Das erspart dir dir unnötige Frickelei mit (überflüssigen) VPN Clients auf den Endgeräten.
L2TP VPN Server mit Mikrotik für onboard VPN Clients
Mikrotik für Deutsche Glasfaser einrichten
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen. Guckst du HIER
Der Mikrotik supportet im Übrigen auch alle überall vorhandenen onboard VPN Clients (L2TP) Das erspart dir dir unnötige Frickelei mit (überflüssigen) VPN Clients auf den Endgeräten.
L2TP VPN Server mit Mikrotik für onboard VPN Clients
@aqui - Danke für deine Antwort,
geht mit L2TP vielleicht einfacher, habe ich aber keine Erfahrung, also WireGuard. Klappt ja auch grundsätzlich und Jumpserver läuft eh bei mir.
Kannst du mir dies netterweise näher erklären? Zugriff mittels Winbox soll ja über die WG-Schnittsteller erfolgen. Dies klappt ja auch in meiner Konfiguration bei Webfig (80/443) und SSH (22). Was ist also bei Winbox(8291) anders bezüglich der Firewallregel?
Danke!
PS: gibt ausser dieser Sache keine Probleme mit dem Mikrotik und der Deutschen Glasfaser...
geht mit L2TP vielleicht einfacher, habe ich aber keine Erfahrung, also WireGuard. Klappt ja auch grundsätzlich und Jumpserver läuft eh bei mir.
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen und Winbox auf der Outbound Interface List zulassen.
Kannst du mir dies netterweise näher erklären? Zugriff mittels Winbox soll ja über die WG-Schnittsteller erfolgen. Dies klappt ja auch in meiner Konfiguration bei Webfig (80/443) und SSH (22). Was ist also bei Winbox(8291) anders bezüglich der Firewallregel?
Danke!
PS: gibt ausser dieser Sache keine Probleme mit dem Mikrotik und der Deutschen Glasfaser...
Eine Frage vorweg:
Arbeitest du mit der klassischen Internet Router Default Firewall Einstellung die üblicherweise an ether1 aktiv ist und die auch die üblichen Interface Listen "LAN" und "WAN" benutzt?
Nebenbei zum Thema v6:
Siehe auch hier und hier
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 546) erlaubt auf den WAN Port. (Tutorial)
Arbeitest du mit der klassischen Internet Router Default Firewall Einstellung die üblicherweise an ether1 aktiv ist und die auch die üblichen Interface Listen "LAN" und "WAN" benutzt?
Nebenbei zum Thema v6:
gibt ausser dieser Sache keine Probleme mit dem Mikrotik
Das kann eigentlich nicht sein, denn eine öffentliche IPv6 Adresse bekommt man bei der DG als CG-NAT Provider immer. Kann es sein das du IPv6 nicht richtig konfiguriert hast und den DHCPv6 Client und die Prefix Delegation falsch eingerichtet hast? 🤔Siehe auch hier und hier
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 546) erlaubt auf den WAN Port. (Tutorial)
ja - ether1/WAN | bridge=ether2-ether5 / LAN
Ich torche in solchen Fällen immer, wozu hat man den Mikrotik denn? 
Ansonsten: Zugriff über IP/Services beschränkt? Vergisst man gern.
Viele Grüße, commodity
Ansonsten: Zugriff über IP/Services beschränkt? Vergisst man gern.
Viele Grüße, commodity
@commodity
hatte ich oben bereits erwähnt - Range vom WG-VPN unter /ip services Winbox eingetragen - kein Erfolg. Auch ein Test mit 0.0.0.0/0 - kein Erfolg.
Winbox bleibt nicht erreichbar.
hatte ich oben bereits erwähnt - Range vom WG-VPN unter /ip services Winbox eingetragen - kein Erfolg. Auch ein Test mit 0.0.0.0/0 - kein Erfolg.
Winbox bleibt nicht erreichbar.
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox an, wenn ich ein Verbindungsversuch mit Winbox starte.
/ip services winbox
Zitat von @dirkschwarz:
/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"
# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG"
> - Interface Namen verwechselt?! Einmal in-interface=wg-vpn und einmal in-interface=wg0
- Reihenfolge der Regeln in der INPUT Chain beachtet?!
Gibt es bekannte Probleme mit Winbox über WireGuard?
Nein, stink normales TCP... Klappt hier schon jahrelang einwandfrei! As always with Mikrotik PEBKAC.Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Blödsinn, eine öffentliche IPv6 bekommst du dort immer, nur die IPv4 ist dort aus dem CGNAT Bereich 100.64.0.0/10!1
Das o.a. L2TP Tutorial hat eine Anleitung wie der WinBox Zugang einfach zu realisieren ist mit einer simplen Anpassung der Default Firewall Regel. Das sollte entsprechend auch für WG klappen.
WinBox Zugang per VPN freigeben
WinBox Zugang per VPN freigeben
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 547) erlaubt auf den WAN Port. (Tutorial)
Du meinst wohl UDP 546 😉
1
Ooops...stimmt! Korrigiert. Danke für den Hinweis.
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox
nimm testweise mal die "Available From"s weg bzw. schau, ob im Torch auch diese Ranges angezeigt werden.Viele Grüße, commodity
Mit 2 Klicks in der WinBox die Default Regel anpassen geht schneller...
Die 2 Klicks bringen nur nichts, wenn die Beschränkung bei IP/Services greift. Der TO hat das 2 Ranges gewhitelisted, er sagt im Ausgangspost, das WG-Netzwerk gehört dazu. Ob das wirklich so ist, wissen wir nicht. Er sieht das, wenn er die Beschränkung kurz mal komplett abschaltet.
Viele Grüße, commodity
Viele Grüße, commodity
1
Guten Morgen,
wen es interessiert....
Habe die WG-Schnittstelle in die Interface LAN-Liste aufgenommen = klappt!
Verstehen tu ich es aber nicht. Warum klappt SSH und Webfig ohne Aufnahme der WG-Schnittstelle (auch TCP) aber Winbox nicht, bzw. nur nach Aufnahme in die LAN Liste?
Kann mir das jemand erklären? Lerne immer gerne hinzu....
Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.
IPv6 Test - siehe Anhang!
wen es interessiert....
Habe die WG-Schnittstelle in die Interface LAN-Liste aufgenommen = klappt!
Verstehen tu ich es aber nicht. Warum klappt SSH und Webfig ohne Aufnahme der WG-Schnittstelle (auch TCP) aber Winbox nicht, bzw. nur nach Aufnahme in die LAN Liste?
Kann mir das jemand erklären? Lerne immer gerne hinzu....
Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.
IPv6 Test - siehe Anhang!
Normal weil für die Interfaces in der LAN Liste in der Firewall eh so gut wie alles erlaubt ist.
First match wins und wenn deine Regel hinter der letzten Drop-Rule steht, wirkt sie nicht mehr .
Auch hier ist das ohne komplette FW Config im Klartext als Export wieder mal Rätselraten.
Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.
IPv6 Test - siehe Anhang!
Tja, DHCP ist nicht DHCPv6!
Und ohne deine Config, rätselraten . Bin hier selbst bei der DG und das lüpt 200%ig einwandfrei seit Jahren man muss es halt nur richtig machen! Der Mikrotik ist keine Fritte die alles selbst macht.
Wie man Prefix Delegation richtig einrichtet kannst du hier nachlesen
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Einfach das PPPoE IF weg denken und den DHCPv6-Client direkt auf das IF zum ONT setzen.
Du hast wohl vergessen das zugeteilte Prefix auf das LAN Interface zu announcen damit die Clients anhand des zugeteilten Prefixes sich eine globale IPv6 generieren können.
Verstehen tu ich es aber nicht. Warum klappt SSH und Webfig ohne Aufnahme der WG-Schnittstelle (auch TCP) aber Winbox nicht, bzw. nur nach Aufnahme in die LAN Liste?
Weil deine Firewall Regeln zu 99,999% nicht in der richtigen Reihenfolge stehen....First match wins und wenn deine Regel hinter der letzten Drop-Rule steht, wirkt sie nicht mehr .
Auch hier ist das ohne komplette FW Config im Klartext als Export wieder mal Rätselraten.
Bezüglich öffentliche IPv6-Adresse: habe die WAN Schnittstelle als DHCP-Klient konfiguriert - eine IPv6 Adresse wird NICHT zugeteilt.
IPv6 Test - siehe Anhang!
Tja, DHCP ist nicht DHCPv6!
Und ohne deine Config, rätselraten . Bin hier selbst bei der DG und das lüpt 200%ig einwandfrei seit Jahren man muss es halt nur richtig machen! Der Mikrotik ist keine Fritte die alles selbst macht.
Wie man Prefix Delegation richtig einrichtet kannst du hier nachlesen
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Einfach das PPPoE IF weg denken und den DHCPv6-Client direkt auf das IF zum ONT setzen.
Du hast wohl vergessen das zugeteilte Prefix auf das LAN Interface zu announcen damit die Clients anhand des zugeteilten Prefixes sich eine globale IPv6 generieren können.
1
Zudem ja auch auch die Aussage des TOs von oben (Zitat) "Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse." auch gelogen ist denn wie man unschwer am obigen Screenshot erkennt ist dort eine öffentliche IP 94.31.93.32 (DG bei Düsseldorf) zu sehen.
Wird sich dann wohl auch wie die praxisfremde Aussage zur DG v6 Adressierung (DHCPv6) von oben verhalten...
Eigentlich ja kinderleicht zu ändern indem der den DHCPv4 Client wieder deaktiviert und dann den DHCPv6 Client am WAN Port aktiviert. Das schafft eigentlich auch ein MT Laie mit ein paar Mausklicks in der Winbox.
Mit der entsprechenden DHCPv6 Regel am WAN Port. Natürlich auch in der richtigen Reihenfolge!
Ein paar WinBox Screenshots oder Export Auszüge des TOs wären in der Tat sehr hilfreich für ein zielführendes Troubleshooting bzw. Lösung um zu verstehen welches vermutlich falsche Regelwerk für die v6 Adressierung dort aktiv ist. v6 am DG Anschluss rennt, wie oben schon gesagt vollkommen unproblematisch und warum sollte man darauf verzichten wenn man es angeboten bekommt?!
Wird sich dann wohl auch wie die praxisfremde Aussage zur DG v6 Adressierung (DHCPv6) von oben verhalten...
Eigentlich ja kinderleicht zu ändern indem der den DHCPv4 Client wieder deaktiviert und dann den DHCPv6 Client am WAN Port aktiviert. Das schafft eigentlich auch ein MT Laie mit ein paar Mausklicks in der Winbox.
Ein paar WinBox Screenshots oder Export Auszüge des TOs wären in der Tat sehr hilfreich für ein zielführendes Troubleshooting bzw. Lösung um zu verstehen welches vermutlich falsche Regelwerk für die v6 Adressierung dort aktiv ist. v6 am DG Anschluss rennt, wie oben schon gesagt vollkommen unproblematisch und warum sollte man darauf verzichten wenn man es angeboten bekommt?!
# 2025-06-19 09:32:51 by RouterOS 7.19
# software id = Y2RR-M291
#
# model = RB960PGS
# serial number = HGW0A2K2422
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment=\
"accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept WireGuard UDP" dst-port=37957 \
in-interface-list=WAN protocol=udp
add action=accept chain=input comment="Allow Winbox from WG" dst-port=8921 \
in-interface=wg0 log=yes log-prefix="winbox test" protocol=tcp
add action=log chain=input comment="Log Winbox attempts" dst-port=8291 log=\
yes log-prefix=winbox protocol=tcp
add action=accept chain=input comment="Allow WebFig from WG" dst-port=80,443 \
in-interface=wg0 protocol=tcp
add action=accept chain=input comment="Allow SSH from WG" dst-port=22 \
in-interface=wg0 protocol=tcp
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN log=yes
add action=fasttrack-connection chain=forward comment=\
"fasttrack" connection-state=\
established,related hw-offload=yes
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WANund klar DHCPv6-Client....keine Adresszuteilung!
zur Ergänzung:
Public Adresse: 94.31.93.32
Mikrotik:
DHCP WAN/ ether1: 100.112.176.7/16
DHCP IPv6 WAN/ether1: Nichts! - Status searching
Public Adresse: 94.31.93.32
Mikrotik:
DHCP WAN/ ether1: 100.112.176.7/16
DHCP IPv6 WAN/ether1: Nichts! - Status searching
....keine Adresszuteilung!
Was ja auch kein Wunder ist oder siehst du in deinem eigenen Regelwerk oben irgendeine Regel die UDP 546 (DHCPv6, da DG die v6 Adressen mit DHCPv6 zuteilt) auf die INPUT Chain am WAN Port erlaubt??? ☹️Wie hattest du denn gedacht sollen IPv6 Adressen und die Prefix Delegation jemals an deinem Router WAN Port (DG Anschluss) ankommen ohne diese Firewall Regel??? Das der MT sich dann einen Wolf "sucht" nach der v6 Adresse ist dann mehr als verständlich...
Mehr Silbertablett als dir das immer und immer zu sagen und entsprechende Screenshots zu zeigen kann man ja in einem Forum nicht machen... Zeigt das du das IPv6 Tutorial oben leider auch nicht richtig gelesen hast.
Was ja auch kein Wunder ist oder siehst du in deinem eigenen Regelwerk oben irgendeine Regel die UDP 546 (DHCPv6, da DG die v6 Adressen mit DHCPv6 zuteilt) auf die INPUT Chain am WAN Port erlaubt??? ☹️
Kann man hier nicht sehen denn das ist die Ausgabe der IPv4 Firewall, leider fehlt der IPv6 Firewall Export
/ipv6 firewall filter export sowie alles andere auch was fürs Debugging hilfreich wäre .Vom DHCPv6 Server kommen die Pakete ja stateless eingehend deswegen muss der Port extern auch offen sein .
Wasserdichte Firewalls wie immer hier nachzulesen,
help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced ...
Btw., die Default-FW von Mikrotik enthält diese DHCPv6 Regel übrigens standardmäßig.
1
Btw. Tippfehler in deiner Firewall-Regel ...
dst-port=8921
statt richtigerweise 8291 - dat kann so also nicht klappen 😉.1
@BiberMan - ggrrrhhh, das war’s - mal wieder so ein Mist Tippfehler - Danke!!! - verbessert und lüppt!!
nun noch IPv6-FW:
nun noch IPv6-FW:
/ipv6 firewall filter
add action=accept chain=input comment="allow established, related, untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp \
src-address=fe80::/10
add action=accept chain=input comment="accept Wireguard" dst-port=13231 \
in-interface-list=WAN log=yes log-prefix=wg0 protocol=udp
add action=accept chain=input comment="accept wireguard traffic" \
in-interface=wg0
add action=accept chain=input comment="allow allowed addresses" \
src-address-list=allowed
add action=accept chain=forward comment=\
"accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop packets with bad src ipv6" \
src-address-list=bad_ipv6
add action=drop chain=forward comment="drop packets with bad dst ipv6" \
dst-address-list=bad_ipv6
add action=drop chain=forward comment="rfc4890 drop hop-limit=1" hop-limit=\
equal:1 protocol=icmpv6
add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment=\
"drop everything else not coming from LAN" in-interface-list=!LAN
Kollege @BiberMan schlägt jede KI um Längen 
Ich hatte anfangs auch den Port verglichen, aber im Verlauf hat der TO die Firewallregel unverständlicher Weise verändert. Im ersten Post hieß es noch, zumindest was den Port angeht, korrekt
Und wieder ein vermeintliches Mikrotik-Mysterium gelöst
Passiert aber jedem, Kopf hoch, jeder dieser Fälle schärft das Auge und man profitiert später davon.
Viele Grüße, commodity
Ich hatte anfangs auch den Port verglichen, aber im Verlauf hat der TO die Firewallregel unverständlicher Weise verändert. Im ersten Post hieß es noch, zumindest was den Port angeht, korrekt
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG" Und wieder ein vermeintliches Mikrotik-Mysterium gelöst
Gibt es bekannte Probleme mit Winbox über WireGuard?
Klares Nein, aber es gibt bekannte Probleme bei der Sorgfalt der Einrichtung dieser Router, die vor der Tastatur liegen Passiert aber jedem, Kopf hoch, jeder dieser Fälle schärft das Auge und man profitiert später davon.
Viele Grüße, commodity
1
Die "UDP Traceroute" Regel mit den ominösen Ports solltest du besser weglassen die ist nicht erforderlich.
Vom Regelwerk sieht das erstmal gut aus.
Bleibt dann nur noch dein DHCPv6 Client und seine Konfig.
Vom Regelwerk sieht das erstmal gut aus.
Bleibt dann nur noch dein DHCPv6 Client und seine Konfig.
Wie siehts denn nun aus bei dir mit der IPv6 Adresse von der DG?? 🤔
Deine Todos für eine erfolgreiche Vergabe von IPv6 Adressen in deinem LAN,(außer der Firewall-Regel die ja schon passend gesetzt ist) sind folgende (ether1 als WAN und bridge-lan an deine Gegebenheiten anpassen)
Und schon generieren die Clients instant per SLAAC ihre globale IPv6 Adresse aus dem announcten prefix.
# add dhcp client to ether1 (wan-port)
/ipv6 dhcp-client add interface=ether1 request=prefix pool-name=global-prefix add-default-route=yes
# automatically assign ipv6 address to LAN-Bridge Interface from received prefix and advertise the prefix in router advertisements
/ipv6 address add interface=bridge-lan pool=global-prefix address=::1 advertise=yes
# enable neighbor discovery on LAN-Bridge
/ipv6 nd set [find default=yes] disabled=yes
/ipv6 nd add advertise-dns=no interface=bridge-lan
@aqui @BiberMan
nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled, ich wusste gar nicht, dass einen Schalter gibt...
Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.
Was mich noch irritiert - die APs̀ angebunden über Capsman bekommen nur eine lokale ipv6 (fe80) auf Ihrer Bridge?!
Vielleicht könnt ihr mir da weiterhelfen...
Danke!
nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled
, ich wusste gar nicht, dass einen Schalter gibt...Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.
Was mich noch irritiert - die APs̀ angebunden über Capsman bekommen nur eine lokale ipv6 (fe80) auf Ihrer Bridge?!
Vielleicht könnt ihr mir da weiterhelfen...
Danke!
Zitat von @dirkschwarz:
@aqui @BiberMan
nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled, ich wusste gar nicht, dass einen Schalter gibt...
Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.
👍@aqui @BiberMan
nach überwinden des "größten" Hindernisses - IPv6 war auf dem Router disabled
, ich wusste gar nicht, dass einen Schalter gibt...Nachdem diese "Hürde" genommen war - habe ich eine IPv6 und ein Prefix zugeteilt bekommen. Verteilung an die Clients (Laptop,Handy, Tablett..) klappt auch und die Geräte erhalten eine öffentliche ipv6 mit dem entsprechenden Präfix.
Was mich noch irritiert - die APs̀ angebunden über Capsman bekommen nur eine lokale ipv6 (fe80) auf Ihrer Bridge?!
Das ist normal, denn die Mikrotiks selbst können kein SLAAC. Wenn du diesen auch eine globale v6 verpassen willst (warum auch immer) musst du einen DHCPv6-Server auf dem CAPsMan anlegen und dort den globalen Pool benutzen den du übers WAN bezogen hast. Auf den CAPs ist dann ein DHCPv6 Client zum beziehen eines eigenen prefixes (IAPD) nötig und das Zuweisen einer Adresse des Prefixes zu einer Schnittstelle des CAPs.Aber wozu möchtest du den CAPs ne globale IPv6 verpassen?? Das ist absolut nicht notwendig, außer du willst die von extern direkt via v6 erreichen oder vom CAP selbst eine externe v6 Adresse ansprechen können.
1
@BiberMan
will ich gar nicht und brauch ja auch keine globale ipv6 Adresse für die AP`s. Dachte nur es wäre wieder ein Konfigurationsfehler. Habe mich bisher vor ipv6 rumgedrückt.
Nun klappt`s auf jeden Fall.
Herzlichen Dank!
will ich gar nicht und brauch ja auch keine globale ipv6 Adresse für die AP`s. Dachte nur es wäre wieder ein Konfigurationsfehler. Habe mich bisher vor ipv6 rumgedrückt.
Nun klappt`s auf jeden Fall.
Herzlichen Dank!
Für verregnete Tage etwas Lektüre
danrl.com/ipv6/
Keine Ursache 👋
danrl.com/ipv6/
Nun klappt`s auf jeden Fall.
Herzlichen Dank!
Herzlichen Dank!
Keine Ursache 👋
1
Bei Sonnenschein als Baggerseelektüre statt dem neuesten King geht es auch, mit Mobilfunk und VPN aufs Labornetz verbinden und schon kann man auch am Baggersee ipv6 lernen.
lks
Rettet dem Dativ!
Viele Grüße, commodity
Viele Grüße, commodity
1Wenn du diesen auch eine globale v6 verpassen willst....
Früher reichte es auch wenn man in der Winbox unter IPv6->Settings den Haken bei “Accept Router Advertisements” mit “Yes, if forwarding disabled” aktiviert hat. K.A. ob das mit der aktuellen 7er Stable auch noch klappt.Siehe auch: forum.mikrotik.com/t/ipv6-slaac/140250
Ansonsten ist der DHCPv6 Server ebenso mit einer Handvoll Mausklicks unter Zuhilfenahme deines v6 Prefix Pools im Handumdrehen installiert.
