Einrichtung MikroTik mit DHCP oder PPPoE und Dual Stack

    Hier mal eine kleine Anleitung, falls jemand MikroTik nutzen möchte. Als Beispiel dient hier bei mir PPPoE und Dual Stack. Da MikroTik viele Möglichkeiten bietet, kann diese Anleitung aufgrund der Komplexität nicht darauf eingehen, wie man im Detail alles absichert. Der Kern ist, wie man minimal ins Internet kommt. Das Beispiel wird an einem RB5009 beschrieben. Als RouterOS wird Version 7.16.1 eingesetzt.

    Ausgangspunkt ist die "Default Configuration", welche ich empfehlen würde für Anfänger. Damit werden u.a. sichere Regeln für eine Statefull Firewall mit IPv4 und IPv6 gesetzt inkl. der notwendigen Anpassungen für Prefix Delegation. Wer natürlich erfahren ist, kann gerne auch mit "No Default Configuration" starten. Diese Anleitung geht aber von der "Default Configuration" aus.

    Für das SFP-Modul habe ich ein Modul im Einsatz von fs.com, welches bei mir ohne Probleme stabil läuft. Bestellt habe ich es im fs.com Webshop explizit für Mikrotik: https://www.fs.com/de/products/37922.html. Im Falle von htp ist es AON.

    Die "Default Configuration" enthält im Auslieferungszustand unter anderem folgende Konfiguration:

    • WAN ist durch Firewall gesichert.
    • LAN ist durch Firewall gesichert, der Zugriff ins Internet ist erlaubt, Masquerading ist aktiv.
    • Alle LAN-Ports (ohne WAN-Port) sind in einer Bridge zusammen gefasst.
    • IP-Adresse auf Bridge ist 192.168.88.1/24.
    • DHCP-Server für 192.168.88.0/24 ist aktiv.
    • Firewall enthält Regeln für IPv4 und IPv6 inkl. NAT und Prefix Delegation
    • WAN ist ether1
    • LAN ist ether2 bis ether8
    • SFP ist nicht konfiguriert
    • Standardbenutzer ist "admin"
    • Passwort steht aufgedruckt auf der Unterseite des RB5009.

    Schritt 0: Laden der "Default Configuration"

    Ich empfehle mit einer frischen Konfiguration zu starten. Daher entweder per SSH verbinden oder WinBox nutzen. Da in der "Default Configuration" ether1 der WAN-Port ist, solltet Ihr diesen Netzwerkport nicht für die Verbindung mit SSH oder Winbox nutzen.

    SSH: /system reset-configuration skip-backup

    WinBox: System -> Reset Configuration

    Schritt 1: Festlegen des WAN-Ports für SFP (optional)

    Falls der MikroTik Router an Glasfaser direkt angeschlossen werden soll, ist die Nutzung des SFP-Schachtes notwendig. Dazu muss die "Default Configuration" verändert werden, dass der WAN-Port nun das SPF-Modul ist.

    Dazu muss unter Interfaces -> Interface List bei "WAN" das Interface von ether1 zu sfp-spfplus1 geändert werden, damit ether1 nicht als WAN-Interface im Rahmen der Firewallkonfiguration gilt.

    Schritt 2: Setzen des VLAN für WAN

    Bei htp wird VLAN22 für den Internetzugang benötigt, daher muss dies eingerichtet werden. Dies kann ebenfalls unter Interfaces -> VLAN eingerichtet werden. Als "Name" kann ein beliebieger Name gewählt werden. Wichtig ist die korrekte VLAN Nummer (Im Fall von htp 22) unter "VLAN ID" und unter "Interface" das korrekte Interface. Das wäre je nach Fall sfp-sfpplus1 für SFP oder ether1 bei Nutzung eines ONT in der "Default Configuration".

    Schritt 3a: Aktivieren von PPPoE

    Da htp für die Einwahl PPPoE nutzt, muss entsprechend der PPPoE Client konfiguriert werden. Dieser ist unter PPP -> Interface zu finden. Über New -> PPPoE Client kann eine neue Konfiguration erzeugt werden. Als Name kann hier wieder ein beliebieger Name vergeben werden. Richtig ist unter Interfaces, dass dort nun das zuvor konfigurierte VLAN (Im Falle von htp 22) ausgewählt wird. Zusätzlich muss "Dial Out" aufgeklappt werden, wo die Zugangsdaten für PPPoE eingerichtet werden können. Unter "User" wird der Benutzername eingetragen und unter "Password" das entsprechende Passwort. Zusätzlich sollte "User Peer DNS" für das beziehen der DNS-Server vom ISP aktiviert sein als auch "Add Default Route", damit die Standardroute automatisch gesetzt wird. Unter "Allow" würde ich empfehlen, "mschap1" zu deaktivieren, da veraltet und unsicher.

    Nach dem Klick auf Apply sollte, wenn alles geklappt hat, unter "Status" bereits eine IP vom ISP stehen und die Verbindung hergestellt sein. Ab diese Schritt ist damit die IPv4-Konnektivität hergestellt und Internet sollte funktionieren.

    Schritt 3b: Aktivieren von DHCP

    Falls der ISP kein PPPoE nutzt, sondern DHCP, sollte es reichen, wenn unter IP -> DHCP Client eine neue Konfiguration hinzugefügt wird. Dort muss nur "Interface" passend eingestellt werden. Das wäre je nach Fall sfp-sfpplus1 für SFP oder ether1 bei Nutzung eines ONT in der "Default Configuration". Außerdem sollte "Use Peer DNS" aktiviert sein, damit die DNS-Server vom ISP bezogen werden. Ob "Use Peer NTP" von ISP-Anbietern unterstützt wird, dass NTP-Server per DHCP verteilt werden, kann ich nicht sagen.

    Schritt 4: Aktivieren von IPv6 (Prefix Delegation)

    Für die Nutzung von IPv6 wird im Regelfall ein ::/56 Subnetz per Prefix Delegation angeboten. Bei htp ist das der Fall. Diese kann genutzt werden und auf einzelne ::/64 Subnetze aufgeteilt werden, damit es automatisch per SLAAC (Stateless) im LAN verteilt werden kann. Hinweis: MikroTik unterstützt _keine_ DHCPv6 Stateful Konfiguration sondern ausschließlich SLAAC.

    Für die Konfiguration muss zunächst "Neighbor Discovery" aktiviert werden. In der "Default Configuration" ist bereits eine Konfiguration enthalten. Es muss hier sicher gestellt werden, dass diese auf dem Interface "bridge" läuft, da hier alle LAN-Ports zusammengefasst sind. Ebenfalls ist zu empfehlen, dass "Advertise DNS" aktiviert ist, da so per SLAAC ebenfalls IPv6-DNS-Server an die Clients übermittelt werden.

    Als nächstes muss mittels DHCPv6 Client via Prefix Delegation das IPv6-Subnetz geholt werden. Unter IPv6 -> DHCP Client kann dies hinzugefügt werden. Hier muss nun unter Interface das WAN Interface angegeben werden. Das wäre je nach Fall "pppoe-out1" für PPPoE oder bei DHCP entweder "sfp-sfpplus1" für SFP oder "ether1" bei Nutzung eines ONT in der "Default Configuration". Bei Request wird "prefix" ausgewählt, da die einen Präfix anfordern, keine einzelne IP-Adresse. Bei Pool Name kann ein beliebieger Name für diesen IP-Pool vergeben werden. Pool Prefix Length gibt an, welche Prefixgröße am Ende im LAN vergeben werden soll, das wäre per Standard 64. Prefix Hint gibt an, welche Größe angefordert werden soll, sofern der ISP das unterstützt. Im Falle von htp ist das ::/56. Zusätzlich sollte "Use Peer DNS" aktiviert werden, damit die DNS-Server vom ISP bezogen werden. Ebenfalls sollte "Add Default Route" aktiviert sein, damit ebenfalls die Standard Route automatisch gesetzt wird.

    Nach einem Apply sollte, wenn alles klappt, unter "Status" das ::/56 IPv6-Subnetz angezeigt werden, welches erfolgreich bezogen worden ist.

    Zum Schluss muss die Verteilung von IPv6-Adresse aus diesem Subnetz aktiviert werden. Dazu muss man unter IPv6 -> Addresses gehen und kann pro Interface dies konfigurieren. Als Address kann man nun eine IP-Adresse angeben, welche dynamisch um das bezogene IPv6 Präfix ergänzt wird. Als Beispiel könnte ::1/64 gewählt werden. Oder mit mehr Vorgabe auch ::dead:beef:dead:beef/64. Bei "From Pool" muss der Name des Pools aus dem vorherigen Schritt ausgewählt werden. Bei "Interface" wird das LAN-Interface angegeben, in Falle der "Default Configuration" ist es bridge. Wichtig ist, dass unter Advertise der Haken gesetzt ist, da sonst die Clients keine IPv6-Adresse beziehen können.

    Ab diesen Zeitpunkte sollte nun IPv6 im LAN für alle Clients ebenfalls bereitstellen und das Internet darüber erreichbar sein.

    Soll der MikroTik-Router ebenfalls von außen per IPv6 erreichbar sein, muss der letzte Schritt wiederholt werden, jedoch mit dem Unterschied, dass bei Interface das WAN-Interface angegeben werden. Das wäre je nach Fall "pppoe-out1" für PPPoE oder bei DHCP entweder "sfp-sfpplus1" für SFP oder "ether1" bei Nutzung eines ONT in der "Default Configuration". Zusätzlich sollte der Haken bei Advertise _nicht_ gesetzt sein, da hier keine Verteilung von IPv6-Adressen stattfinden soll, sondern eine einzelne IP-Adresse auf dem IPv6-Interface gesetzt sein soll.

    Ich empfehle umbedingt einmal im MikroTik Wiki folgendes zu Lesen: https://help.mikrotik.com/docs/display/R…ing+your+router

    Nachtrag für DS-Lite:

    Nach meinem Verständnis kann DS Lite mit MikroTik RouterOS konfiguriert werden. Voraussetzung ist eine bestehende IPv6-Verbindung.

    Anschließend muss unter Interfaces -> Interface mit New -> IPIPv6 Tunnel eine Konfiguration erstellt werden.

    Hier muss der AFTR-Server bei "Remote Address" eingetragen werden. Die Krux ist jedoch, dass das nur funktioniert, wenn der AFTR-Server statisch ist. Bei htp ist das _nicht_ der Fall. Dort muss man diesen zuerst via DHCPv6 anfordern. Der Server steht in der Option 64, welche dann ausgewertet werden muss. Von MikroTik gibt es _keine_ automatische Möglichkeit, jedoch könnte etwas mittels der integrierten Scriptengine der AFTR entsprechend ausgelesen und dann dynamisch die Konfiguration jeweils verändern beim DHCPv6 Client.

    Weitere Lektüre dazu unter https://forum.mikrotik.com/viewtopic.php?p=1037400

    Spoiler anzeigen

    ISP: HTP Surf & Fon 1.000 MBit/s Download / 500 MBit/s Upload (Glasfaser)

    Router: MikroTik CCR2004-16G-2S+ (RouterOS 7.22.1) + Genexis Fibertwist F2110-2 (Rev2.0) @ AON (1000BASE-BX)

    VoIP: Gigaset N670 IP Pro Mini Multicell (Firmware 2.67.0), Cisco ATA-191-MPP 2-Port Phone Adapter (Firmware 11-3-2MPP0001-225), Gigaset Fusion (Firmware 2.0.1)

    Handset: Gigaset SL800H Pro (Firmware 131.013.04)

    Einmal editiert, zuletzt von ConiKost (13. Oktober 2024 um 01:54)