Skip to main content

Hallo,

Ik probeer de IPv6 configuratie werkend te krijgen op de Mikrotik RB5009. Dit lukt niet echt, hij ontvangt geen IPv6 adres (via DHCPv6 Client).

 

/interface vlan
add interface=sfp-sfpplus1 name=vlan1.4 vlan-id=4
add interface=sfp-sfpplus1 loop-protect=off name=vlan1.6 vlan-id=6
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes remote-ipv6-prefix-pool=*0 use-compression=yes use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=\
    default-ipv6 user=1234@internet
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
/ipv6 nd
add advertise-mac-address=no disabled=yes hop-limit=64 interface=bridge
/ipv6 address
# address pool error: pool not found: 0 (4)
add address=::1 from-pool=0 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-client pool-name=0 pool-prefix-length=48 request=prefix use-peer-dns=no
 

 

De DHCPv6 client blijft hangen op: “searching...".

De IPv6 firewall rules die hierboven vermeld staan, staan bovenaan in de firewall. Ik zie namelijk ook geen packets(counts) binnenkomen op die rules.

Ik heb zomaar eens het vermoeden dat “use-ipv6=no” onder “/ppp profile” niet zal helpen om IPv6 aan de praat te krijgen ;)


Ik heb zomaar eens het vermoeden dat “use-ipv6=no” onder “/ppp profile” niet zal helpen om IPv6 aan de praat te krijgen ;)

Klopt, dat “default” profiel gebruik ik ook niet 🙂. Ik gebruik het profiel “default-ipv6” en hier staat “Use IPv6” op “yes”.


Ik heb zomaar eens het vermoeden dat “use-ipv6=no” onder “/ppp profile” niet zal helpen om IPv6 aan de praat te krijgen ;)

Klopt, dat “default” profiel gebruik ik ook niet 🙂. Ik gebruik het profiel “default-ipv6” en hier staat “Use IPv6” op “yes”.

Ik zie dat niet expliciet op yes gezet worden. En als je use-ipv6 niet expiciet op “yes” zet, neemt deze de waarde van het default profiel aan.


Ik heb net bij het default profiel de “Use IPv6” ook op yes gezet, en de “pppoe-client” aangepast naar het profiel “default". Als ik vervolgens de config exporteer dan staat “use-ipv6” er niet meer bij. Kan betekenen dat het nu default op yes staat?

Natuurlijk staat die “Use IPv6” (in de GUI) op yes.


Ik zal vanavond mijn config even posten. Zelf gebruik ik de GUI alleen voor monitoring, niet voor configuratie.


Ik heb ‘required' in het profiel staan voor ipv6.


Ik zal vanavond mijn config even posten. Zelf gebruik ik de GUI alleen voor monitoring, niet voor configuratie.

Bedankt alvast!

 

Ik heb ‘required' in het profiel staan voor ipv6.

Heb ik net geprobeerd, maar ook hier geen verschil. Uiteraard de PPPoE even uitgezet en weer aangezet om de wijzigingen actief te maken.


 


 

 

Hier het resultaat:

 

Wanneer ik een packet sniffer zet op pppoe-client met de filter IPv6 address: ::/0 en direction any dan krijg ik dit resultaat:

 

Het lijkt er op dat ik niks ontvang.


Even op een fatsoenlijk scherm gekeken, ik heb een extra regeltje in de FW staan lijkt het.

Dit is mijn ipv6 firewall voor de router input:

/ipv6 firewall filter
add action=accept chain=input comment="input chain targets router itself; accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment=ICMPv6 protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="DHCPv6-Client prefix delegation" dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="Accept dhcpv6-solicit" dst-address=ff02::1:2/128 dst-port=547 protocol=udp
add action=drop chain=input comment="drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=ipv6-drop-rule5

 


/system routerboard settings set silent-boot=yes

/interface list
add name=WAN
add name=LAN

/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add interface=ether1 name=vlan1.4 vlan-id=4

/ppp profile
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no use-ipv6=yes

/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-kpn \
password=1234 profile=default-ipv6 user=1234@provider

/interface bridge
add igmp-snooping=yes name=bridge-local

/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5

/interface list member
add list=LAN interface=bridge-local
add list=WAN interface=ether1

#IPV6

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-kpn pool-name=kpn-pool pool-prefix-length=48 request=prefix use-peer-dns=no

/ipv6 address
add address=::1 from-pool=kpn-pool interface=bridge-local

/ipv6 firewall filter
add chain=input action=accept connection-state=established,related comment="Established connections"
add chain=input action=accept dst-address=fe80::/64 dst-port=546 in-interface=pppoe-kpn protocol=udp comment="DHCPv6-PD responses"
add chain=input action=drop in-interface=pppoe-kpn comment="Default drop rule"

add chain=forward action=accept connection-state=related,established comment="Established connections"
add chain=forward action=drop in-interface=pppoe-kpn comment="Default drop rule"

/ipv6 nd
set [ find default=yes ] advertise-dns=yes interface=bridge-local

/system clock
set time-zone-name=Europe/Amsterdam

Hier mijn configuratie. Spot the difference :)
Ik zie nog geen relevante verschillen...


Ps. Die RB5009 van jou heeft een switch chip met VLAN ondersteuning, ik durf niet te zeggen of je daar nog wat speciaals mee moet doen of dat je ‘add interface’ regels dit ook regelen.


Hi,

Even de config vergeleken maar het lijkt nog steeds niet te werken. Ik had voor de zekerheid de firewall filters toegevoegd (van Obelisk) maar ook dit maakte geen verschil.

Ik had nog een firewall rule aangemaakt om te kijken waar het IPv6 verkeer uitgaat, maar dat lijkt goed te lopen, zie logs: (was ook te zien op de eerdere packet sniffer).

 

Hier de config van mijn /interface (stukje VLAN configuratie op de bonding1 weggehaald). De glasvezel komt binnen op de sfp-sfpplus1 interface (puur glas). Ik zie ook niet zo snel een verschil met de config van jullie.

/interface bridge
add comment=defconf name=bridge protocol-mode=none
add arp=proxy-arp igmp-snooping=yes name=bridge-kpntv protocol-mode=none
/interface vlan
add interface=sfp-sfpplus1 name=vlan1.4 vlan-id=4
add interface=sfp-sfpplus1 loop-protect=off name=vlan1.6 vlan-id=6
/interface bonding
add mode=active-backup name=bonding1 primary=ether7 slaves=ether7,ether8 transmit-hash-policy=layer-2-and-3
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=1234@internet
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IPTV
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge-kpntv comment=defconf interface=ether3
add bridge=bridge-kpntv comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge interface=bonding1
/interface list member
add comment=LAN interface=bridge list=LAN
add comment=WAN interface=ether1 list=WAN
add interface=pppoe-client list=WAN
add interface=bonding1 list=LAN
add comment=IPTV interface=bridge-kpntv list=IPTV
add interface=vlan1.4 list=IPTV
add interface=sfp-sfpplus1 list=WAN

 


Even voor de goede orde, je hebt alleen een probleem met ipv6, ipv4 werkt gewoon? Klopt deze aanname?


IPv4 werkt inderdaad 🙂. Hier nog even de config van IPv6:

/ipv6 address
# address pool error: pool not found: pool-ipv6 (4)
add address=::1 from-pool=pool-ipv6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-client pool-name=pool-ipv6 pool-prefix-length=48 rapid-commit=no request=prefix use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=output dst-address=::/0 log=yes log-prefix="outgoing ipv6" out-interface=pppoe-client
add action=accept chain=input in-interface=pppoe-client log=yes log-prefix="incoming ipv6" src-address=::/0
add action=accept chain=input comment="[kpn-forum] input chain targets router itself; accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="[kpn-forum] drop invalid" connection-state=invalid
add action=accept chain=input comment="[kpn-forum] accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="[kpn-forum] DHCPv6-Client prefix delegation" dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="[kpn-forum] Accept dhcpv6-solicit" dst-address=ff02::1:2/128 dst-port=547 protocol=udp
add action=drop chain=input comment="[kpn-forum] drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=ipv6-drop-rule5
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: TEST" dst-port=546 protocol=udp
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] interface=bridge

 


Het grootste verschil dat ik kan vinden is dat ik in de firewall ICMPv6 toegang geef voor de DHCPv6 rules.

Deze regel: add action=accept chain=input comment=ICMPv6 protocol=icmpv6

Of dit het is weet ik niet, maar ICMP is wel belangrijk bij ipv6.

Ik zou zelf de ipv6 firewall even strippen tot het minimum en vanaf daar gaan opbouwen.


Ook dat maakte geen verschil, had tijdelijk de firewall filter op ‘allow-any’ gezet. Ik heb inmiddels een support ticket aangemaakt bij Mikrotik. Heb zelf het vermoeden dat ik tegen een bug aan loop. Ik laat wat weten als ik antwoord heb vanuit Mikrotik. Dank alvast voor de hulp.


Even voor de zekerheid; ik neem aan dat je er al een KPN router aan gehangen had om uit te sluiten dat het probleem upstream veroorzaakt wordt...


Even voor de zekerheid; ik neem aan dat je er al een KPN router aan gehangen had om uit te sluiten dat het probleem upstream veroorzaakt wordt...

Klopt, die was nodig voor de activatie (uitgevoerd door de monteur).


Voor de activatie wordt naar mijn weten geen IPv6 gebruikt…

Dus weet je zeker dat IPv6 wel werkt als je de KPN router gebruikt?


Voor de activatie wordt naar mijn weten geen IPv6 gebruikt…

Dus weet je zeker dat IPv6 wel werkt als je de KPN router gebruikt?

 

Ja, dat klopt. IPv6 werkt wel met het KPN modem.


Zojuist een "beta” versie ontvangen van Mikrotik support en getest. Nu werkt IPv6! Lijkt dus inderdaad in de software te zitten (i.c.m. nieuwere type router?).


De meeste Mikrotiks draaien nog RouterOS 6.4x maar die van jouw komt standaard met RouterOS 7 heb ik begrepen. RouterOS 7 is eigenlijk nog vers van de pers.


De meeste Mikrotiks draaien nog RouterOS 6.4x maar die van jouw komt standaard met RouterOS 7 heb ik begrepen. RouterOS 7 is eigenlijk nog vers van de pers.

 

Daar kan ik weinig aan veranderen, 7.1.3. staat vermeld als “stable”. Geen reden om te downgraden 🙂. Probleem is nu gefixt en dan is het voor de rest van de gebruikers even wachten op de nieuwe release (waarschijnlijk 7.1.4).