TP-Link ER605 hinter Mikrotik Router, ipv6 Probleme

[flamy]

Erst mal zur Situation, ich habe Mikrotik Router, dahinter ist ein TP-Link ER605 per Wan Port angeschlossen, dort ist ein Omada Switch und omada fähige Wlan Access Ponts angeschlossen. Dies alles wir über den Omada Controller verwaltet, nur fürs Protokoll
Dieser bekommt von dem Mikrotik Router auch eine ipv4 und eine ipv6 Adresse. Internet an den Clienten die hinter dem TP-Link Router angeschlossen sind, funktioniert auch einwandfrei.

Allerdings bekommen die Clienten hinter dem TP-Link ER605 keine ipv6 Adresse zugewiesen und ich weiß nicht genau warum.
im Anhang paar Bilder von der Konfiguration.

Danke schon mal für eure Hilfe und schöne Feiertage

 

[riversource]

Hast du denn Prefix Delegation korrekt eingerichtet? Entscheidend ist da vor allem die Einrichtung des Mikrotik Routers. Jedenfalls ist die 54 bei der Delegation Size im TP-Link merkwürdig.

Bei IPv6 ist es ja so, dass alle Geräte eine öffentliche IP bekommen. D.h., der Mikrotik Router bekommt ein Prefix von deinem Provider (Hoffentlich mehr als /64, vielleicht /56 oder so), und dann reichst du per Prefix Delegation davon ein Prefix an den TP-Link weiter (/62 zum Beispiel), und das nutzt der dann für die Verteilung an seine Clients (ein /64).

 

[chrigu]

WAN trennt das Netzwerk physisch, also musst du Routen eintragen, damit netzwerk a das Netzwerk b zugreifen darf (IPv4)… wieso überhaupt wan?

 

[norKoeri]

IPv6 über zwei Router hinweg ist hochkomplex, fast immer fehlerhaft und geht in Deutschland mit einem Privatkunden-Anschluss normal eigentlich gar nicht sauber bzw. stabil, siehe die Heise c’t von vor genau einem Jahr …

1. Welchen Internet-Anbieter hast Du, in welchem Land?
2. Wozu überhaupt die zwei Router, warum nicht einer der beiden?
3. Verteilt im MikroTik dessen DHCPv6-Server überhaupt IP-Adressen?

IPv6-Router-Advertisements reichen nicht aus, um ein Bündel an Adressen an den TP-Link weiterzureichen. Der DHCPv6-Server im MikroTik muss an sein, Stateful geschaltet werden und nicht nur Einzel-Adressen sondern eben auch Präfixe verteilen.

 

[flamy]

Danke für eure Antworten, der Sinn dahinter, zwei völlig getrennte Netzwerke, also eine Routerkaskade.
Der Anbieter ist die deutsche Glasfaser, der Präfix beträgt /56

ich habe bei dem Mikrotik einen dhcpv6 Server eingerichtet, aber es kann gut sein, das da ein Fehler vorliegt, denn ich habe dafür leider keine gute Anleitung gefunden, besonders nicht in Deutsch.
Werde mich damit dann wohl noch mal nach den Feiertagen intensiv beschäftigen

 

[norKoeri]

zwei völlig getrennte Netzwerke

Das bietet sowohl der MikroTik als auch der TP-Link, also Multi-LAN, beide können mehrere getrennte Netze aufspannen. Das bitte noch (gut) begründen, warum Du diesen viel einfacheren Weg nicht gehen willst. Dann buddele ich meinen MikroTik aus … der hat nämlich Stateful-DHCPv6 mit IA_PD schon konfiguriert.

 

[riversource]

Der Anbieter ist die deutsche Glasfaser, der Präfix beträgt /56

Das passt dann schon mal nicht zu T-Link Einstellung 54. Wenn du nur ein 56er Prefix bekommst, kannst du nicht /54 an die dahinter gelagerten Router verteilen.

ich habe bei dem Mikrotik einen dhcpv6 Server eingerichtet, aber es kann gut sein, das da ein Fehler vorliegt, denn ich habe dafür leider keine gute Anleitung gefunden, besonders nicht in Deutsch.

Ja, da wirst du selber durch müssen. Wie ja auch heise beim Router IPv6 Test festgestellt hat, gibt es da Lücken. Aber wir können uns das hier gern mal ansehen. Oder gibt es das Mikrotik OS für VMs? Dann könnte ich mir das auch selber mal ansehen.

 

[flamy]

Das bietet sowohl der MikroTik als auch der TP-Link, also Multi-LAN, beide können mehrere getrennte Netze aufspannen. Das bitte noch (gut) begründen, warum Du diesen viel einfacheren Weg nicht gehen willst. Dann buddele ich meinen MikroTik aus … der hat nämlich Stateful-DHCPv6 mit IA_PD schon konfiguriert.

Also erst mal danke für deine Antwort.
Ja ich könnte verschiedene vlans aufziehen. Aber es geht eher darum sozusagen eine kleine günstige Dmz zu erstellen. Und ich gebe es zu, auch mag ich es zu verstehen, aus technischer Sicht.

 

[norKoeri]

sozusagen eine kleine günstige Dmz zu erstellen

Genau das geht doch mit Multi-LAN viel schöner, bitte beschreibe genauer, was Du vor hast, also was hinter das zweite Subnetz soll. Das erste Subnetz ist Dein Heimnetz, klar. In das zweite soll ein Internet-Server?

auch mag ich es zu verstehen, aus technischer Sicht

Das kann man praktisch leider vergessen, weil jede dieser Router-Software-Plattformen eine komplett eigene Welt ist. Man kann so gut wie kein Gelerntes übertragen. Das ist etwas was man wirklich nur theoretisch sauber lernen kann. Und dann in der Praxis hackt man, ob nicht doch die eigene Konfiguration oder die aktuelle Implementierungen einen Security-Bug aufzeigt.

Wie ja auch heise beim Router IPv6 Test festgestellt hat, gibt es da Lücken.

Müsste bei Deutsche Glasfaser gehen, weil kein PPPoE und auch das IPv6-Präfix zwar nicht statisch aber auch nicht dermaßen dynamisch ist … so dass man das (noch immer) fehlende DHCPv6-Reconfigure in MikroTik verschmerzen kann.

 

[flamy]

Genau das geht doch mit Multi-LAN viel schöner, bitte beschreibe genauer, was Du vor hast, also was hinter das zweite Subnetz soll. Das erste Subnetz ist Dein Heimnetz, klar. In das zweite soll ein Internet-Server?

Mhh ok, dachte mit einem zweiten Router wäre das sicherer, als es nur mit vlans zu realisieren.
ja ich möchte einen kleinen Webserver und Gameserver in die dmz stellen

 

[norKoeri]

Dazu brauchst Du eigentlich nicht einmal einen Exposed-Host. Beim dem Web-Server machst Du nur jene Ports auf, die Deine Nutzer wirklich brauchen. Das Game macht seine Ports automatisch auf, über UPNP bzw. PCP. Daher wäre eine FRITZ!Box als Haupt- bzw. alleiniger Internet-Router sogar sinnvoller.

Problem dürfte bei Deutsche Glasfaser eher sein, dass Du normal keine eigene IPv4 hast – hast Du Dir eine gebucht bzw. gebastelt? Ohne IPv4 machen jene beiden Dienste bisher keinerlei Sinn, weil einfach noch zu wenig Internet-Surfer überhaupt IPv4 haben und viele Online-Games/Konsolen noch nicht IPv6 fähig sind.

sicherer, als es nur mit vlans zu realisieren

Sollte dem Angreifer gelingen, Deinen Server zu übernehmen bzw. als Sprungbrett zu nehmen, dann ist er in dem Subnetz gefangen. Ist die Management-Console des Routers aus jenem Subnetz nicht erreichbar, ist das sogar noch sicherer, denn bei einer Router-Kaskade wäre dieses Angriffsziel normal möglich. Also bitte mit Subnetz realisieren, also nur einen Router. Musst Dich jetzt nur entscheiden, MikroTik oder TP-Link als Haupt-Router.