Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Beschäftige mich im Moment mit dem Mikrotik Router und bin schon beeindruckt, was der kleine Kasten alles so kann. Bin da noch bei den Anfängen. Mein Problem ist allerdings, dass das normale Lan eine öffentliche ipadresse, von meinem Provider zugeteilt bekommt, allerdings nicht meine v-lans. Stehe da jetzt etwas auf dem Schlauch, was ich wo in dem schon etwas mich teilweise noch überfordernden Webinterface einstellen muss vielen Dank schon mal für eure Hilfe.
Du brauchst ja auch nur eine öffentliche IP Adresse für alle VLANs. Du musst nur die Gateways/Firewall Regeln/Routing entsprechend konfigurieren.
Das normale LAN ist Auch ein VLAN(1).
Eventuell hilft es dir auch einen Netzplan mit IP Adressen aufzuzeichnen, damit du weißt, was du wo brauchst.
Habe es jetzt so gemacht wie im Anhang, dmz ist der Name des vlans20 aber, leider immer noch keine ipv6
Ergänzung ()
ok, hab jetzt doch was gefunden, was ich vergessen hatte, jetzt bekommt man im dmz auch eine öffentliche ipv6, wird auch bei ipconfig /all angezeigt. Allerdings wird beim online ipv6 test behauptet, das ich keine ipv6 hätte.. verstehe es nicht
Dürfen die anderen VLANs über IPv6 ins Internet? Also Firewall, Routing etc.? Bekommst du überhaupt mehrere /64 Prefixes vom Provider? Was sagt route print auf dem Rechner?
das ist eine gute Frage, was muss ich da in der Firewall freigeben? sorry, der Router ist noch etwas Neuland für mich
Naja brauche ja nicht mehrere Präfixe, hab halt dem DMZ Vlan gesagt, er soll vom vorhandenen Provider Präfix , was das normale Vlan bekommt, abgreifen.
Ergänzung ()
So, jetzt habe ich mal in den Firewall Regeln geschaut. Wenn ich den Punkt 22 deaktiviere, also das er alles, was nicht vom Lan kommt dropen soll, dann bekomme ich im Vlan DMZ die ipv6 beim online Test angezeigt und bestätigt.
Aber warum muss ich das deaktivieren? im normalen Standard Lan (vlan) geht es ja auch, ohne das ich es deaktiviere.
Die Regel solltest du unbedingt an lassen!
Die blockt den eingehenden Traffic vom Internet, was gerade bei IPv6 wichtig idt, da es kein NAT/PAT gibt.
Du musst die Regel nur um die VLAN Interfaces erweitern.
Weiters solltest du pro VLAN einen eigenen /64 Präfix definieren, sonst wirst du Probleme beim routing zwischen den VLANs haben.
Ja hatte sie nur testweise deaktiviert
Verstehe nur noch nicht so ganz, wie ich die Regel um die vlans erweitern kann?
Warum sollte ich da Probleme beim Routing bekommen? ich kann ja nicht mehr pools anfordern, über ether1, bei meinem Provider.
Du solltest vom Provider mindestens ein /60 Präfix bekommen, den kannst du in 16 /64 Präfixe unterteilen (subneten).
Du bekommst deswegen Probleme beim Routing, da der Router dann nicht mehr weiß, an welchem Interface die IP anliegt, da überall das gleiche Netz anliegt.
In diesem Fall hast du mehrere Möglichkeiten:
1. Du fügst die VLAN Interfaces der LAN Interface Liste hinzu (Interfaces -> Interface List)
2. Du legst neue Regeln mit Accept an, entweder auf die Interfaces oder auf die Netze bezogen.
3. Du änderst die Regel dahingehend, dass du dich als Source nicht mehr auf das Interface (oder eine Interface Liste), sondern auf das Netz(Netzliste) beziehst.
Beachte, die neue Regel muss vor der Drop Regel angeordnet sein.
Achso, das meinst du, bekomme ein /56er Präfix. Das Unterteilen habe ich schon dementsprechend gemacht.
Was ich aber nicht hinbekomme, ist was ich in der Firewall einstellen muss, damit die vergebenen ipv6 im vlan auch zur Kommunikation mit ipv6 Diensten verwendet werden.
Das ist so eine klassische Eigenheit von Mikrotik, wo man zuerst denkt, mann ist das alles kompliziert, und dabei gibt es eh teilweise einfache Lösungen dafür
Noch mal eine Frage, habe jetzt mal einen http Server aufgesetzt, der nur über ipv6 erreichbar sein wird.
bei der Freigabe habe ich als dst Adresse die ipv6 des Servers angegeben, soweit so gut, funktioniert auch.
Das doofe ist ja, das sich die ipv6 ändert. kann ich irgendwie dem Router sagen, das er automatisch die an den Rechner vergebene ipv6 verwendet? wenn ich bei dst Adresse nichts eingebe, dann würde es gehen, da er dann wohl den Port 80 allgemein für alles öffnet? Dies möchte ich allerdings nicht.
Dieses Problem solltest du umgekehrt lösen, also schauen, dass der Server eine fixe IPv6 generiert.
Welches OS wird am Server verwendet (Ich vermute Windows? Da Linux üblicherweise per default via SLAAC immer die eigene IPv6 Adresse generiert).
Bzw. wie weit hast du dich schon mit IPv6, SLAAC, DHCPv6 beschäftigt?
Ja ist ein Windows Server, Also beschäftigt mit ipv6 habe ich mich, versteh auch so im Grunde, wie alles funktioniert, nur mit SLAAC jetzt nicht wirklich.
Ich weis nur, dass bei der Fritzbox, dies kein Problem war , da konnte man den teil nach dem Präfix selbst festlegen, dann hat die Fritzbox dies bei einem Präfixwechsel selbst angepasst und es ging per dyndns dann ohne Konflikte. Dachte dies kann man mit dem Mikrotik Router ähnlich lösen.
Der Vorteil bei IPv6 ist ja, dass du kein DynDns und kein NAT mehr brauchst.
Das Problem ist , dass bei Windows per default Privacy Extensions und randomised identifier aktiv sind.
Die musst du abschlaten, oder die IPv6 Adresse statisch eintragen.
Weiters ist es auch möglich/üblich mehrere IPv6 Adressen pro Interface aber auch pro Netzwerk zu haben.
Das NDP verhindert Adresskollisionen. https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol
Vielen Dank, werde mich mal genauer einlesen. Was ich nur nicht ganz verstehe, das Präfix, welches ich von meinen Provider bekomme, das kann sich doch ändern? Also wäre dann die Adresse anders oder?
vielen Dank schon mal für eure Hilfe.
