Forum: PC Hard- und Software RouterOS IPv6 Zielnetz nicht erreichbar.


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ich bin gerade dabei eine Mikrotik HEX zu konfigurieren und der 
Intenetzugriff über IPv4 geht so weit. Nun möchte ich aber auch IPv6 
verwenden und habe dem Bridge und dem WAN Interface manuell eine IP 
(IPv6) zugewisen. Die Rechner, die an der Firewall hängen beziehen per 
SLAAC auch eine IP. Aber wenn ich eine Webseite mit IPv6 anpingen will 
bekomme ich vom Windows folgenden Fehler zurück:
1
ping -6 heise.de
2
3
Ping wird ausgeführt für heise.de [2a02:2e0:3fe:1001:302::] mit 32 Bytes Daten:
4
Zielnetz nicht erreichbar.
5
Zielnetz nicht erreichbar.
6
Zielnetz nicht erreichbar.
7
Zielnetz nicht erreichbar.
8
9
Ping-Statistik für 2a02:2e0:3fe:1001:302:::
10
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
11
    (100% Verlust),

Config von der Firewall (öffentliche IPs geändert):
1
/ipv6 route
2
add check-gateway=ping disabled=yes distance=1 dst-address=::/128 gateway=fe80::3a10:d5ff:fe75:4c2b%wan
3
add check-gateway=ping distance=0 dst-address=2001:db8:a357:1a5d::/64 gateway=fe80::3a10:d5ff:fe75:4c2b%wan
4
5
/ipv6 address
6
add address=2001:db8:a357:1a5d:c4ad:34ab:bf3c:1234/128 advertise=no interface=wan
7
add address=2001:db8:a357:1a5d:c6ad:34ff:feab:bf3d eui-64=yes interface=bridge

An was könnte das Problem liegen und wie behebt man dieses am besten?

Bitte nicht mit der Diskussion beginnen, ob IPv6 sinvoll ist beginnen.

Vielen Dank
100Ω Wiederstand

Beitrag #6428241 wurde von einem Moderator gelöscht.
von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Kennt niemand eine Lösung?

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
100Ω W. schrieb:
> Nun möchte ich aber auch IPv6
> verwenden und habe dem Bridge und dem WAN Interface manuell eine IP
> (IPv6) zugewisen.

Auch wenn es viel mehr IPv6 als IPv4-Adressen gibt: Du kannst da nicht 
einfach selbst eine auswürfeln und dem Interface geben. Die muss schon 
von deinem Internet-Provider vergeben worden sein. Sonst routet der die 
(hoffentlich) nicht weiter.

von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Εrnst B. schrieb:
> Auch wenn es viel mehr IPv6 als IPv4-Adressen gibt: Du kannst da nicht
> einfach selbst eine auswürfeln und dem Interface geben. Die muss schon
> von deinem Internet-Provider vergeben worden sein. Sonst routet der die
> (hoffentlich) nicht weiter.

Die IPs sind aus dem Präfix und der Mac generiert.

: Bearbeitet durch User
von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
100Ω W. schrieb:
> Die IPs sind aus dem Präfix und der Mac generiert.

und der Präfix ist dir vom ISP zugeteilt worden?
/56er?

von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Εrnst B. schrieb:
> und der Präfix ist dir vom ISP zugeteilt worden?
> /56er?

Ja, aber ich habe von meinem Provider ein /56 Präfix bekommen. Vor der 
Firewall hängt eine Fritzbox.

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
100Ω W. schrieb:
> Vor der
> Firewall hängt eine Fritzbox.

Dann muss sich die Firewall per "Prefix-Delegation" ein Subnetz bei der 
Fritzbox abholen, was sie dann ans LAN weiterverteilen kann.

von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Εrnst B. schrieb:
> Dann muss sich die Firewall per "Prefix-Delegation" ein Subnetz bei der
> Fritzbox abholen, was sie dann ans LAN weiterverteilen kann.

Das geht so weit. Das Problem ist, dass ich mit den Clients nicht per 
IPv6 ins Internet komme.

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
100Ω W. schrieb:
> Das geht so weit.

Sicher? Wenn nämlich dabei ein Fehler passiert (z.B. du beim manuellen 
Abtippen des deligierten Prefixes in die mikrotik-Config zu langsam oder 
ungenau bist) dann passiert genau das beobachtete Verhalten.
Einfach weil die Fritzbox dann keine Route mehr für das delegierte /64er 
Netz auf die IPv6-Adresse des Miktotik-WAN-Interfaces als Gateway 
gesetzt hat.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Bei der 6490 hatte ich dieses Jahr eine FritzOS Version erlebt, bei der 
in Verbindung mit einem genutzten Zugangsfilter nur das IPv6 Netz direkt 
am Fritz durchkam. Nicht aber ein delegiertes Netz. Vollständige 
Entfernung des Filters löste das Problem.

Da war's dann auch völlig egal, ob der Router zum Subnetz mit RouterOS, 
OpenWRT oder FritzOS arbeitete.

Erklärung und Lösung über den Filter entstammt dem AVM Service. Nächste 
Version wäre repariert, hiess es im Frühjahr.

: Bearbeitet durch User
von Christian T. (christian_t)


Bewertung
0 lesenswert
nicht lesenswert
Ist denn die IPv6 Firewall im Hex konfiguriert? Die hat nix mit der IPv4 
Firewall zu tun.

von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Christian T. schrieb:
> Ist denn die IPv6 Firewall im Hex konfiguriert?

Aktuell sind da noch keine Regeln drinnen.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Changelog AVM:
- **Behoben** Geräte, die an einen nachgelagerten Router via 
IPv6-Präfixdelegation angebunden sind, bekamen bei aktiver 
Kindersicherung keine IPv6-Internetverbindung

Workaround:
- Alle Einschränkungen im Standard-Profil "Alle anderen Geräte" 
entfernen.
- Alle Einschränkungen im Gast-Profil "Alle Geräte im Gastnetz" 
entfernen.
- Alle Geräte auf Standard-Profil setzen.
Dann reboot.

: Bearbeitet durch User
von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> - **Behoben** Geräte, die an einen nachgelagerten Router via
> IPv6-Präfixdelegation angebunden sind, bekamen bei aktiver
> Kindersicherung keine IPv6-Internetverbindung
Hi,

Ich verwende an der Fritzbox keine Kondersicherung und ween ich einen 
Rechner direkt an die Frietzbox hänge geht an dem Rechner auch IPv6.

tr0ll

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
100Ω W. schrieb:
> ween ich einen
> Rechner direkt an die Frietzbox hänge geht an dem Rechner auch IPv6.

Genau das war ja der Effekt, den ich hatte, und der dort beschrieben 
ist. Direkt am Netz vom Fritz ging es, aber in einem delegierten Netz 
nicht.

Betrifft Versionen vor 7.20. Jedenfalls stehts in verschiedenen 
Changelogs zu 7.2x drin, egal ob Kabel oder DSL.

: Bearbeitet durch User
von Christian T. (christian_t)


Bewertung
1 lesenswert
nicht lesenswert
Du könntest pcaps aufnehmen und dir in Wireshark ansehen um zu gucken, 
ob an den erwarteten Interfaces (ausgehendes Interface vom Mikrotik oder 
eingehendes Interface der Fritzbox) die Pakete da sind. Das kann der 
Mikrotik-Router wie auch die Fritzbox.
An der Fritzbox kannst du dann wahrscheinlich auch am WAN-Interface 
gucken ob was ins Internet geht.

https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer
http://fritz.box/html/capture.html

von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> Betrifft Versionen vor 7.20. Jedenfalls stehts in verschiedenen
> Changelogs zu 7.2x drin, egal ob Kabel oder DSL.

Ok, auf der Fritzbox ist noch die FritzOS Version 7.10 drauf.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Sobald irgendwas in der Kindersicherung auf non-default steht wird 
dieses Modul geladen und das Problem tritt auf (Aussage AVM). Egal ob 
sie filtert oder nicht.

: Bearbeitet durch User
von Totomat (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Wenn die Routen-Konfiguration den Weg in das private und das public net 
beschreiben soll, dann scheint es mir nicht zielführend, beides über das 
gleiche Interface und die gleiche local link address zu routen.

von 100Ω W. (tr0ll) Benutzerseite


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Der Fehler liegt recht eindeutig, wie schon weiter oben vermutet an 
Fritzbox. Geräte, die an der Fritzbox hängen kann ich auch aus dem Netz 
hinter der Firewall erreichen (siehe Bild).

: Bearbeitet durch User
von 100Ω W. (tr0ll) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Ein Update von der Fritzbox hat das Problem nicht behoben. An was könnte 
das Problem sonst liegen?

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.