IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Ich möchte hier eine kurze Anleitung präsentieren, die erklärt, wie man auf einem Mikrotik Device IPv6 einrichtet.
Das Subnetz wird vom ISP mittels Prefix Delegation zugewiesen. Die Internet Konnektivität selbst wird mittels PPPoE hergestellt.
Meine Netzwerktopologie ist relativ einfach gehalten.
Es gibt einen ISP Router im Bridge Mode, dahinter ein MT RB4011 welcher die PPPoE Einwahl vornimmt.
Des weiteren hängen 2 MT APs am RB4011 sowie 8 LAN Dosen im Haus via Patchpanel.
Keine VLANs, ein einziges flaches Netz im 172.16.16.0/24 Bereich.
Mein RB4011 befindet sich auf der aktuellsten Firmware Version (stable) 6.47.8
Zuallererst muss natürlich - sofern nicht schon geschehen - das IPv6 Paket über System - Packages installiert werden.
Hierzu markiert man das deaktivierte Paket, klickt auf enable und muss danach das System rebooten.
Wichtig !!
Bevor man sich dann an die eigentliche Thematik IPv6 heran macht, ist es - zumindest für das Prefix Delegation Konzept - unter
IPv6 - ND unter Defaults den Haken bei autonomous gesetzt werden. Ansonsten wird diese Option für das später bezogene Prefix vom ISP nicht angewendet und das Router Advertisment funktioniert nicht richtig.
Desweiteren sollte man darauf achten, dass unter IPv6 - ND auch nur das interne Interface aktiviert ist und die standardmäßige Konfiguration auf all dementsprechend angepasst wird.
Falls ihr noch keinen Internetzugang eingerichtet habt, könnt ihr das einfach über den Menüpunkt PPP machen.
In dem ihr auf das Plus klickt und danach auf PPPoE Client.
Hier vergebt ihr einfach einen Namen für die Verbindung und wählt unten das WAN Interface aus (bei mir eth1).
Im Tab Dial Out gebt ihr lediglich die vom Provider zur Verfügung gestellten Zugangsdaten ein und hakt zusätzlich an, falls ihr die vom ISP verwendeten DNS Server übernehmen möchtet und die Default Route natürlich ebenso. Aus Sicherheitsgründen solltet ihr das veraltete mschap1 Protokoll deaktivieren.
Nun geht es eigentlich schon zur Sache und wir richten den DHCPv6 Client auf dem PPPoE Interface ein, damit uns der ISP mittels Prefix Delegation ein IPv6 Prefix zuweisen kann.
Hierzu folgt ihr dem Menüpunkt IPv6 - DHCP Client und klickt auf das blaue Plus um eine neue Konfiguration vorzunehmen.
Wählt nun das vorher erstellte PPPoE Interface aus und setzt den Haken bei Prefix.
Danach vergebt ihr noch einen Namen für den neuen IPv6 Pool in dem das Prefix landen soll, und gebt eine Prefix Länge von 64 bit mit.
Wenn ihr anschließend rechts auf Apply drückt, solltet ihr im Status bereits ein searching sehen und relativ schnell ein bound wenn alles geklappt hat.
Nachdem wir jetzt ein /58 Prefix vom ISP zugewiesen bekommen haben, können wir dieses in 64bit Subnetze aufteilen und an unsere lokalen Interfaces oder VLANs verteilen.
Hierzu geht ihr auf IPv6 - Addresses und klickt abermals auf das blaue Plus um eine neue Konfiguration anzulegen.
Jetzt füllt ihr zuerst das Subnetz aus welches ihr weiterreichen möchtet. In meinem Fall ::/64
Der Pool den wir vorher erstellt haben stellt den Pool dar, aus dem wir das neue Subnetz generieren lassen wollen.
Und ich möchte das ganze auf mein Bridge Interface binden.
Nicht vergessen, den Haken bei Advertise zu setzen.
Nachdem jetzt die eigentliche Prefix Delegation eingerichtet und abgeschlossen ist, müssen wir natürlich noch ein paar IPv6 Firewall Regeln anpassen, damit die Kommunikation reibungslos funktioniert.
Dazu geht ihr zum Menüpfad IPv6 - Firewall.
Diese Regeln können natürlich bei jedem anders aussehen.
Allerding sind die wichtigsten damit eine Kommunikation funktioniert (und auch überhaupt erst eine IPv6 vom ISP bezogen werden kann mittels Router Advertisment)
die ICMPv6 Regel sowie der UDP Port 546 über den die Prefix Delegation stattfindet.
Damit ein Traceroute im IPv6 Netz funktioniert müssen noch die Ports 33434-33534 freigeben werden. Sowohl in der Input als auch in der Forward Chain.
Nachdem wir alle oben beschriebenen Schritte befolgt haben, sollten wir jetzt in der Commandline (oder Terminal) mittels
oder sehen, dass wir eine globale IPv6 Adresse bezogen haben.
Ebenso sollte ein respektive und ein oder ein Ergebnis zurück liefern.
Ich hoffe, dass das Tutorial einigermaßen verständlich ist.
Es kann ja doch immer wieder mal passieren, dass man einen kleinen Punkt vergisst, aber ich denke damit solltet ihr ans Ziel kommen.
Natürlich könnt ihr auch jederzeit Fragen stellen bzw. Kommentar und/oder Verbesserungsvorschläge hinterlassen.
@aqui, du kannst natürlich die Teile die für deine Tutorials relevant sind gerne übernehmen bzw. adaptieren.
Schönes Wochenende euch allen!
Gruß
Michi
Das Subnetz wird vom ISP mittels Prefix Delegation zugewiesen. Die Internet Konnektivität selbst wird mittels PPPoE hergestellt.
Inhaltsverzeichnis
1. Einleitung
Meine Netzwerktopologie ist relativ einfach gehalten.Es gibt einen ISP Router im Bridge Mode, dahinter ein MT RB4011 welcher die PPPoE Einwahl vornimmt.
Des weiteren hängen 2 MT APs am RB4011 sowie 8 LAN Dosen im Haus via Patchpanel.
Keine VLANs, ein einziges flaches Netz im 172.16.16.0/24 Bereich.
Mein RB4011 befindet sich auf der aktuellsten Firmware Version (stable) 6.47.8
Zuallererst muss natürlich - sofern nicht schon geschehen - das IPv6 Paket über System - Packages installiert werden.
Hierzu markiert man das deaktivierte Paket, klickt auf enable und muss danach das System rebooten.
Wichtig !!
Bevor man sich dann an die eigentliche Thematik IPv6 heran macht, ist es - zumindest für das Prefix Delegation Konzept - unter
IPv6 - ND unter Defaults den Haken bei autonomous gesetzt werden. Ansonsten wird diese Option für das später bezogene Prefix vom ISP nicht angewendet und das Router Advertisment funktioniert nicht richtig.
Desweiteren sollte man darauf achten, dass unter IPv6 - ND auch nur das interne Interface aktiviert ist und die standardmäßige Konfiguration auf all dementsprechend angepasst wird.
2. PPPoE Interface einrichten
Falls ihr noch keinen Internetzugang eingerichtet habt, könnt ihr das einfach über den Menüpunkt PPP machen.In dem ihr auf das Plus klickt und danach auf PPPoE Client.
Hier vergebt ihr einfach einen Namen für die Verbindung und wählt unten das WAN Interface aus (bei mir eth1).
Im Tab Dial Out gebt ihr lediglich die vom Provider zur Verfügung gestellten Zugangsdaten ein und hakt zusätzlich an, falls ihr die vom ISP verwendeten DNS Server übernehmen möchtet und die Default Route natürlich ebenso. Aus Sicherheitsgründen solltet ihr das veraltete mschap1 Protokoll deaktivieren.
3. DHCPv6 Client einrichten
Nun geht es eigentlich schon zur Sache und wir richten den DHCPv6 Client auf dem PPPoE Interface ein, damit uns der ISP mittels Prefix Delegation ein IPv6 Prefix zuweisen kann.Hierzu folgt ihr dem Menüpunkt IPv6 - DHCP Client und klickt auf das blaue Plus um eine neue Konfiguration vorzunehmen.
Wählt nun das vorher erstellte PPPoE Interface aus und setzt den Haken bei Prefix.
Danach vergebt ihr noch einen Namen für den neuen IPv6 Pool in dem das Prefix landen soll, und gebt eine Prefix Länge von 64 bit mit.
Wenn ihr anschließend rechts auf Apply drückt, solltet ihr im Status bereits ein searching sehen und relativ schnell ein bound wenn alles geklappt hat.
4. Subnet für LAN Interface definieren
Nachdem wir jetzt ein /58 Prefix vom ISP zugewiesen bekommen haben, können wir dieses in 64bit Subnetze aufteilen und an unsere lokalen Interfaces oder VLANs verteilen.Hierzu geht ihr auf IPv6 - Addresses und klickt abermals auf das blaue Plus um eine neue Konfiguration anzulegen.
Jetzt füllt ihr zuerst das Subnetz aus welches ihr weiterreichen möchtet. In meinem Fall ::/64
Der Pool den wir vorher erstellt haben stellt den Pool dar, aus dem wir das neue Subnetz generieren lassen wollen.
Und ich möchte das ganze auf mein Bridge Interface binden.
Nicht vergessen, den Haken bei Advertise zu setzen.
5. Firewall anpassen
Nachdem jetzt die eigentliche Prefix Delegation eingerichtet und abgeschlossen ist, müssen wir natürlich noch ein paar IPv6 Firewall Regeln anpassen, damit die Kommunikation reibungslos funktioniert.Dazu geht ihr zum Menüpfad IPv6 - Firewall.
Allerding sind die wichtigsten damit eine Kommunikation funktioniert (und auch überhaupt erst eine IPv6 vom ISP bezogen werden kann mittels Router Advertisment)
die ICMPv6 Regel sowie der UDP Port 546 über den die Prefix Delegation stattfindet.
Damit ein Traceroute im IPv6 Netz funktioniert müssen noch die Ports 33434-33534 freigeben werden. Sowohl in der Input als auch in der Forward Chain.
6. Testen
Nachdem wir alle oben beschriebenen Schritte befolgt haben, sollten wir jetzt in der Commandline (oder Terminal) mittels ipconfig /allifconfig $interfaceEbenso sollte ein
ping -6 www.heise.deping6 www.heise.detracert -6 www.heise.detraceroute6 www.heise.deIch hoffe, dass das Tutorial einigermaßen verständlich ist.
Es kann ja doch immer wieder mal passieren, dass man einen kleinen Punkt vergisst, aber ich denke damit solltet ihr ans Ziel kommen.
Natürlich könnt ihr auch jederzeit Fragen stellen bzw. Kommentar und/oder Verbesserungsvorschläge hinterlassen.
@aqui, du kannst natürlich die Teile die für deine Tutorials relevant sind gerne übernehmen bzw. adaptieren.
Schönes Wochenende euch allen!
Gruß
Michi
Auf Facebook teilen
Auf Twitter teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 632633
Url: https://administrator.de/contentid/632633
Ausgedruckt am: 05.12.2021 um 08:12 Uhr
8 Kommentare
Neuester Kommentar
👍
Verlinke ich einmal mit dem Mikrotik VLAN und WLAN Tutorial wenn du nichts dagegen hast...?!
Verlinke ich einmal mit dem Mikrotik VLAN und WLAN Tutorial wenn du nichts dagegen hast...?!
Zitat von @aqui:
👍
Verlinke ich einmal mit dem Mikrotik VLAN und WLAN Tutorial wenn du nichts dagegen hast...?!
👍
Verlinke ich einmal mit dem Mikrotik VLAN und WLAN Tutorial wenn du nichts dagegen hast...?!
absolut nicht, gerne!
Hi,
schön gemacht, 👍
, man könnte aber vielleicht als Ergänzung noch erwähnen das man unter /ipv6 nd noch überprüft ob das Neighbor Discovery
(und damit auch die RAs) für das entsprechende interne Interface auch aktiviert ist in dem man per SLAAC Adressen anbieten möchte.
Gruß p-
schön gemacht, 👍
, man könnte aber vielleicht als Ergänzung noch erwähnen das man unter /ipv6 nd noch überprüft ob das Neighbor Discovery (und damit auch die RAs) für das entsprechende interne Interface auch aktiviert ist in dem man per SLAAC Adressen anbieten möchte.
Gruß p-
Und beim PPPoE sollte man noch das völlig veraltete mschap1 weghaken. Ist aber mehr oder minder kosmetisch.
Zitat von @aqui:
Und beim PPPoE sollte man noch das völlig veraltete mschap1 weghaken. Ist aber mehr oder minder kosmetisch.
Danke für den Hinweis, habe ich übernommen und den Screenshot angepasst.Und beim PPPoE sollte man noch das völlig veraltete mschap1 weghaken. Ist aber mehr oder minder kosmetisch.
Zitat von :
Hi,
schön gemacht, 👍, man könnte aber vielleicht als Ergänzung noch erwähnen das man unter /ipv6 nd noch überprüft ob das Neighbor Discovery
(und damit auch die RAs) für das entsprechende interne Interface auch aktiviert ist in dem man per SLAAC Adressen anbieten möchte.
Hi,
schön gemacht, 👍
, man könnte aber vielleicht als Ergänzung noch erwähnen das man unter /ipv6 nd noch überprüft ob das Neighbor Discovery (und damit auch die RAs) für das entsprechende interne Interface auch aktiviert ist in dem man per SLAAC Adressen anbieten möchte.
Hi @146707,
danke für den Hinweis und den Input.
Bei mir ist hier eine all Konfiguration drinnen.
Ist es das was du meinst?
Gruß
michi
Zitat von @michi1983:
danke für den Hinweis und den Input.
Bei mir ist hier eine all Konfiguration drinnen.
Ist es das was du meinst?
Jeppdanke für den Hinweis und den Input.
Bei mir ist hier eine all Konfiguration drinnen.
Ist es das was du meinst?
Das sollte man schon aus Sicherheitsgründen auch auf die internen Interfaces beschränken, oder willst du mit den Settings alles auch ins WAN blasen? 😉
Zitat von :
Jepp
Das sollte man schon aus Sicherheitsgründen auch auf die internen Interfaces beschränken, oder willst du mit den Settings alles auch ins WAN blasen? 😉
Jepp
Das sollte man schon aus Sicherheitsgründen auch auf die internen Interfaces beschränken, oder willst du mit den Settings alles auch ins WAN blasen? 😉
Auch hier hast du natürlich Recht!
Ist adaptiert und mit eingebaut ins Tutorial.
