ComputerBase Menü
Aktuelles

Mikrotik IPv6 Kaskadierung zu UDM Pro

G

GCCM

Cadet 3rd Year
Registriert
Juli 2018
Beiträge
43
Hi Zusammen

Irgendwie stehe ich auf dem schlauch oder habe das in IPv6 falsch verstanden.

Ich erhalte von meinem ISP eine Fixe IPv4 (hierbei funktioniert alles) und einen Fixen IPv6 /48 prefix.
Das Netzwerk ist so aufgebaut:
ISP --> Mikrotik Router --> DMZ (einige VM's) / Ubiquiti UDM PRO
Die DMZ liegt auf dem sfp28-1 (direkt auf ein Physisches Gerät)
Die UDM Pro ist direkt auf dem sfp-sfpplus1
Das WAN ist direkt auf dem sfp28-2
Die Anschlüsse sind so gewählt, da der ISP dies so in seiner Grundkonfig wünscht.

Was habe ich gemacht:
  • Router zuerst gemäss ISP (Init7 - Schweiz) mit ihrer Konfig bespielt gemäss deren Anleitung von ihrer Homepage (Gerät wurde nicht über ISP gekauft).
  • Anschliessend IPv4 Konfiguriert etc. funktioniert tadellos und so, wie ich es gerne hätte.
  • Als nächster Punkt begonnen IPv6 einzurichten. Für den Webserver funktioniert die Konfiguration so, weswegen der fixe prefix db00 auch so in ordnung sein sollte und nicht verändert werden soll. RA usw. sollte meines erachtens nach ebenfalls richtig eingerichtet sein.

Das Problem:
Wenn ich nun auf der UDM PRO auf der WAN Schnittstelle auf DHCPv6 - Prefix Delegierung einstelle, egal ob 56 oder 64 oder was auch immer und auf deren LAN Interface die Delegierung ebenfalls aktiviere (also, dass das Interface überhaupt IPv6 fähig ist) - erhalten die Clients keine IPv6. Ich hatte es bereits einmal funktionierend, jedoch hatte da der ISP ausversehen meinen Prefix noch nicht fix und somit habe ich ständig neue Prefixe erhalten. Zuerst dachte ich, dass das Problem bei mir sei jedoch deswegen viel an der Konfiguration rumgeschraubt und jetzt nach dem fixen bekomme ich es nicht mehr hin, dass es funktioniert.

Hat jemand eine Idee?


# 2023-07-31 10:03:59 by RouterOS 7.10.2
# software id = XXXXXXX
#
# model = CCR2004-1G-12S+2XS
# serial number = XXXXXXX
/interface bridge
add name=lan
add name=wan protocol-mode=none
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus6 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus7 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus8 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus9 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus10 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus11 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp-sfpplus12 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=sfp28-1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=SRV
set [ find default-name=sfp28-2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=WAN
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=lan lease-time=10m name=dhcp1
/ipv6 dhcp-server
add address-pool=v6pool interface=lan name=v6server
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=lan interface=sfp28-1
add bridge=wan interface=sfp28-2
add bridge=lan interface=sfp-sfpplus1
add bridge=lan interface=sfp-sfpplus2
add bridge=lan interface=sfp-sfpplus3
add bridge=lan interface=sfp-sfpplus4
add bridge=lan interface=sfp-sfpplus5
add bridge=lan interface=sfp-sfpplus6
add bridge=lan interface=sfp-sfpplus7
add bridge=lan interface=sfp-sfpplus8
add bridge=lan interface=sfp-sfpplus9
add bridge=lan interface=sfp-sfpplus10
add bridge=lan interface=sfp-sfpplus11
add bridge=lan interface=sfp-sfpplus12
add bridge=lan interface=ether1
/ipv6 settings
set accept-router-advertisements=yes
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=sfp-sfpplus4 list=LAN
add interface=sfp-sfpplus5 list=LAN
add interface=sfp-sfpplus6 list=LAN
add interface=sfp-sfpplus7 list=LAN
add interface=sfp-sfpplus8 list=LAN
add interface=sfp-sfpplus9 list=LAN
add interface=sfp-sfpplus10 list=LAN
add interface=sfp-sfpplus11 list=LAN
add interface=sfp-sfpplus12 list=LAN
add interface=sfp28-2 list=LAN
add interface=sfp28-1 list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=\
192.168.88.0
add address=192.168.1.1/24 interface=sfp-sfpplus1 network=192.168.1.0
/ip dhcp-client
add interface=wan
/ip dhcp-server lease
add address=192.168.1.237 client-id=1:24:5a:4c:96:11:92 mac-address=\
24:5A:4C:96:11:92 server=dhcp1
add address=192.168.1.234 client-id=1:0:15:5d:2:15:10 mac-address=\
00:15:5D:02:15:10 server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip firewall filter
add action=fasttrack-connection chain=forward hw-offload=yes
add action=accept chain=forward dst-address=XXX.XXX.XXX.XXX protocol=tcp \
src-address=192.168.1.0/24
add action=accept chain=forward protocol=udp src-address=192.168.1.0/24
add action=accept chain=forward protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input in-interface=lan
add action=drop chain=forward disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="WEB ACCESS" out-interface=wan
add action=dst-nat chain=dstnat comment="3CX Presence and Provisioning HTTPS" \
dst-port=5001 protocol=tcp to-addresses=192.168.1.234 to-ports=5001
add action=dst-nat chain=dstnat comment="3CX SIP TCP" dst-port=5060 protocol=\
tcp to-addresses=192.168.1.234 to-ports=5060
add action=dst-nat chain=dstnat comment="3CX SIP UDP" dst-port=5060 protocol=\
udp to-addresses=192.168.1.234 to-ports=5060
add action=dst-nat chain=dstnat comment="3CX SIP TLS" dst-port=5061 protocol=\
tcp to-addresses=192.168.1.234 to-ports=5061
add action=dst-nat chain=dstnat comment="3CX Media UDP" dst-port=9000-9004 \
protocol=udp to-addresses=192.168.1.234 to-ports=9000-9004
add action=dst-nat chain=dstnat comment="3CX Tunnel TCP" dst-port=6090 \
protocol=tcp to-addresses=192.168.1.234 to-ports=6090
add action=dst-nat chain=dstnat comment="3CX Tunnel UDP" dst-port=5090 \
protocol=udp to-addresses=192.168.1.234 to-ports=5090
add action=dst-nat chain=dstnat comment="Intern to WEBSERVER TCP" dst-address=\
XXX.XXX.XXX.XXX dst-port=0-65535 protocol=tcp to-addresses=192.168.1.100 \
to-ports=0-65535
add action=dst-nat chain=dstnat comment="Intern to WEBSERVER UDP" dst-address=\
XXX.XXX.XXX.XXX dst-port=0-65535 protocol=udp to-addresses=192.168.1.100 \
to-ports=0-65535
add action=dst-nat chain=dstnat comment="External WEB Server ACCESS" \
dst-address=XXX.XXX.XXX.XXX dst-port=\
20,21,25,53,80,110,143,443,465,993,995,8080,8081,40110-41210 protocol=tcp \
to-addresses=192.168.1.100
add action=dst-nat chain=dstnat comment="External WEB Server ACCESS" \
dst-address=XXX.XXX.XXX.XXX dst-port=\
20,21,25,53,80,110,143,443,465,993,995,8080,8081,40110-41210 protocol=udp \
to-addresses=192.168.1.100
add action=masquerade chain=srcnat comment="Intern to WEBSERVER LOKAL" \
dst-address=192.168.1.0/24 src-address=192.168.1.0/24
/ip firewall service-port
set sip disabled=yes
/ip route
add disabled=no distance=1 dst-address=192.168.150.0/24 gateway=192.168.1.237 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=XXX.XXX.XXX.XXX/32 gateway=192.168.1.237 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=192.168.2.0/24 gateway=192.168.1.237 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/ip service
set telnet address=192.168.1.0/24
set ftp address=192.168.1.0/24
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set www-ssl address=192.168.1.0/24 disabled=no
set api address=192.168.1.0/24
set winbox address=192.168.1.0/24
set api-ssl address=192.168.1.0/24
/ip ssh
set host-key-size=8192 strong-crypto=yes
/ipv6 address
add address=2a02:169:db70:db00:: advertise=no interface=lan
add from-pool=v6pool interface=lan
/ipv6 dhcp-client
add add-default-route=yes interface=wan pool-name=v6pool pool-prefix-length=56 \
request=address,prefix
/ipv6 firewall filter
add action=accept chain=input in-interface=wan limit=10,20:packet protocol=udp \
src-port=547
add action=accept chain=forward comment="WEB SRV ACCEPT TCP" dst-address=\
2a02:169:db70:db00:215:5dff:XXXX:XXX/128 dst-port=\
21,22,25,53,80,110,143,443,465,587,993,995,8080,40110-40210 log=yes \
protocol=tcp
add action=accept chain=forward comment="WEB SRV ACCEPT UDP" dst-address=\
2a02:169:db70:db00:215:5dff:XXXX:XXX/128 dst-port=53 log=yes protocol=udp
add action=accept chain=forward comment="WEB SRV ACCEPT ICMP" dst-address=\
2a02:169:db70:db00:215:5dff:XXXX:XXX/128 log=yes protocol=icmpv6
add action=accept chain=forward comment=INIT7 connection-state=\
established,related in-interface=wan out-interface=lan
add action=accept chain=input comment="Accept established" connection-state=\
established,related
add action=accept chain=input in-interface=wan limit=10,20:packet protocol=\
icmpv6
add action=accept chain=input comment="Accept internal ICMP" in-interface=!wan \
protocol=icmpv6
add action=accept chain=output comment="Accept all"
add action=accept chain=forward comment="Accept established" connection-state=\
established,related
add action=accept chain=forward comment="Accept internal" in-interface=!wan
add action=accept chain=forward comment="Accept outgoing" out-interface=wan
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment=INIT7 in-interface=wan out-interface=lan
add action=drop chain=input comment="Drop ext DHCP >10/sec" in-interface=wan \
protocol=udp src-port=547
add action=drop chain=input comment="Drop ext ICMP >10/sec" in-interface=wan \
protocol=icmpv6
add action=drop chain=input comment="Drop external" in-interface=wan
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop ext ICMP >20/sec" in-interface=wan \
protocol=icmpv6
add action=reject chain=input comment="Reject everything else" reject-with=\
icmp-no-route
add action=drop chain=forward comment="Drop external" in-interface=wan
add action=reject chain=forward comment="Reject everything else" reject-with=\
icmp-no-route
/ipv6 nd
set [ find default=yes ] interface=lan managed-address-configuration=yes mtu=\
1500 other-configuration=yes ra-interval=20s-40s
/ipv6 nd prefix
add interface=sfp-sfpplus1 prefix=2a02:169:db70:da00::/64
/system clock
set time-zone-name=Europe/Zurich
/system identity
set name=wangw
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=pool.ntp.org,time.google.com
/system routerboard settings
set enter-setup-on=delete-key
/tool graphing interface
add allow-address=192.168.0.0/16
/tool graphing queue
add allow-address=192.168.0.0/16
/tool graphing resource
add allow-address=192.168.0.0/1
 
Ist auf dem Mikrotik denn PD per DHCPv6 aktiviert? Es reicht ja nicht, das auf dem Client (der UDM) zu machen, auch der DHCPv6 Server muss entsprechend eingerichtet sein. Davon lese ich in deinem Text nichts.

Geh Schritt für Schritt vor, vom Mikrotik bis ins LAN. Deshalb prüfe: Funktioniert das Aushandeln der Prefix Delegation zwischen UDM und Mikrotik? Ist sich der Mikrotik Router darüber klar, dass die UDM ein Prefix von ihm bekommen hat und routet die zugehörigen Adressen da hin? Hat die UDM das Prefix erfolgreich erhalten und die RAs auf ihrem LAN entsprechend eingerichtet? Hat die UDM alle anderen Informationen, die sie braucht, sprich Gateway, DNS etc.? Das kommt ja üblicherweise nicht per DHCP, sondern per RA. Am Ende prüfe dann, ob die Geräte im LAN der UDM alle Infos bekommen. Das wird ja voraussichtlich ausschließlich per RAs passieren.
 
Zuletzt bearbeitet:
Hi

Besten Dank für die Rückmeldung. Meinst du mit PD unter "Adressen --> Advertise"? Wenn ja, wäre das mit Prefix::/64 aktiviert.

Auf der UDM Pro direkt sehe ich leider weder über Konsole noch über das Interface eine IPv6 auf dem WAN Port (war auch schon so, als diese direkt am WAN hing - bevor der Mikrotik Router vorgeschalten wurde). Auf dem Mikrotik Router sehe ich diesbezüglich auch nichts. Meines Wissens nach wird auch "Kein Buch" gehalten über IPv6 leases. Falls doch, wo würde ich das sehen? --> Ich sehe auch keine IPv6 Adressen, welche die Clients sich holen in der DMZ vorne - diese funktionieren soweit ohne Probleme.
Ich nehme an, dass ich irgendwo etwas kleines vergessen habe auf dem Mikrotik Router und zwischenzeitlich den Wald lauter Bäume nicht mehr sehe.
 
GCCM schrieb:
Besten Dank für die Rückmeldung. Meinst du mit PD unter "Adressen --> Advertise"? Wenn ja, wäre das mit Prefix::/64 aktiviert.
Zum Vergrößern anklicken....
Nein, da geht es um Router Advertisements. Ich meine den DHCPv6 Server. Ich bin kein Mikrotik Experte, aber man kann sich das RouterOS meines Wissens auch in einer VM installieren zum Testen. Das müsste ich sonst heute abend mal machen. Grundsätzlich musst du den DHCPv6 Server in die Lage versetzen, Prefixes und ggf. auch Adressen auszuliefern, wobei die Adresse für die UDM ggf. auch aus den Router Advertisements kommen kann.

GCCM schrieb:
Auf der UDM Pro direkt sehe ich leider weder über Konsole noch über das Interface eine IPv6 auf dem WAN Port (war auch schon so, als diese direkt am WAN hing - bevor der Mikrotik Router vorgeschalten wurde).
Zum Vergrößern anklicken....
Ja, UDMs sind zickig in Bezug auf IPv6, das hört man öfter. Deutet aber generell darauf hin, dass hier was nicht stimmt. Die UDM muss passend zur Mikrotik-Konfiguration eingerichtet werden, also was DHCP und RAs angeht:
  • RAs braucht sie auf jeden Fall fürs Gateway, ggf. auch für die Adresse
  • DHCP braucht sie fürs Prefix und alternativ auch für die Adresse, falls du das nicht per RAs machen willst.

GCCM schrieb:
Meines Wissens nach wird auch "Kein Buch" gehalten über IPv6 leases.
Zum Vergrößern anklicken....
Das würde mich schwer wundern, zumindest einen Logeintrag hätte ich erwartet. Allerdings - siehe oben - ich müsste auch erst mal herausfinden, wo man es suchen muss.

GCCM schrieb:
Ich sehe auch keine IPv6 Adressen, welche die Clients sich holen in der DMZ vorne - diese funktionieren soweit ohne Probleme.
Zum Vergrößern anklicken....
Die werden ja auch per RA verteilt, und damit Stateless. Das siehst du natürlich nicht, RAs sind "Fire and Forget", da bekommt der Router nicht mit, welche Geräte sich damit Adressen generieren. Das ist bei DHCP und den Prefixes komplett anders.

Mach dich noch mal mit den Möglichkeiten der IPv6 Adressvergabe vertraut. Für dieses Szenario brauchst du zwangsläufig das Zusammenspiel aus RAs und DHCPv6. Beides muss aufeinander abgestimmt funktionieren, sowohl für Server als auch für Client.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Hallo Zusammen

Konnte es Fixen, auch wenn es für mich 0 Sinn macht:
Ich habe einmal alle IPv6 Firewall Rules deaktiviert (auch wenn da nie ein Drop oder dergleichen angezeigt wurde beim beziehen von IPv6 Adressen). So bekam der Router hinten dran entsprechend eine IPv6. Wieder aktiviert, funktioniert alles. Auch wenn neue Geräte bzw. andere Router hinter geschalten werden, was für mich trotz allem nun keinen Sinn macht. Denn neustarts etc. habe ich durchgeführt aber ohne Erfolg und jetzt ist es in diesem Sinne genau gleich wie vorher nur, dass die Regeln neu aktiviert wurden (1:1 wie vorher)..

Also war meine Konfig Grundsätzlich doch nicht falsch. Vielleicht ein Bug im RouterOS 7.10.2

Anyway. Vielen lieben Dank für eure Gedankenansätze!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Roman1210
UDM Pro Wireguard VPN mit 2 ISP´s
Antworten
10
Aufrufe
642
Roman1210
Roman1210
F
TP-Link ER605 hinter Mikrotik Router, ipv6 Probleme
Antworten
10
Aufrufe
1.080
norKoeri
N
M
[IPv6] Fernzugriff per Portfreigabe
2
Antworten
31
Aufrufe
2.350
dope69
D
J
OpenWRT AP Konfiguration hinter VF Station (DNS/IPv6)
Antworten
18
Aufrufe
601
norKoeri
N
M
Fritzbox ipv6 - aus heimnetz nicht erreichbar
Antworten
16
Aufrufe
1.839
riversource
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz