MikroTik IPv6 config KPN Glasvezel - Netwerken

vrijdag 25 juli 2025 21:42

Acties:

0 Henk 'm!

Topicstarter

Recent heb ik een MikroTik RB5009 router aangeschaft, die ik gebruik in combinatie met 1GB KPN glasvezel.
De router draait perfect op IPv4, maar IPv6 krijg ik nog niet goed werkend.
Zijn er andere gebruikers die ook KPN glasvezel gebruiken met deze router (of ander type MikroTik), en hun werkende dual stack-configuratie (IPv4/IPv6) willen delen?
Ik heb ook de configuratie geprobeerd zoals beschreven op eigenrouter.nl, maar helaas zonder succes. Het lukt me nog niet om IPv6 stabiel werkend te krijgen met die config.

zaterdag 26 juli 2025 02:47

Acties:

0 Henk 'm!

boyette

Wat bedoel je met niet stabiel werkend?

Wat gaat er wel en niet goed en waarom relateer je dat puur aan het ip6 adres ?

zaterdag 26 juli 2025 04:34

Acties:

0 Henk 'm!

nescafe

code:

/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=1G-baseX
/interface vlan
add interface=sfp-sfpplus1 name=sfp-vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=sfp-vlan6 max-mru=1500 max-mtu=1500 name=pppoe-vlan6 password=internet use-peer-dns=yes user=internet
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=sfp-vlan6 list=WAN
add interface=pppoe-vlan6 list=WAN
/ipv6 dhcp-client
add interface=pppoe-vlan6 pool-name=kpn request=prefix
/ipv6 address
add address=:: eui-64=yes from-pool=kpn interface=bridge-lan

Niet om klakkeloos over te nemen, maar wel om te vergelijken. Hoe ziet je eigen config eruit en kun je aangeven op welke wijze IPv6 niet stabiel is? En meet je dit vanaf je router of vanaf je clients?

Ik gebruik zelf wel een patch om de verkregen prefix wat te verlengen, blijkbaar worden RA's nog wel eens gemist ivm multicast en slapende stations, als volgt (verhogen RA lifetime van 1800 naar 9000).

code:

1 2	/ipv6 nd set [ find default=yes ] ra-lifetime=2h30m

[ Voor 0% gewijzigd door nescafe op 26-07-2025 13:07 . Reden: typo ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 26 juli 2025 08:03

Acties:

0 Henk 'm!

Romulus

Topicstarter

Hi @boyette en @nescafe dit is mijn huidige config voor IPv4 die perfect werkt:

code:

/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=ether1 ] mtu=1512
/interface vlan
add interface=ether1 mtu=1508 name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client \
    user=kpn@internet
/ip pool
add name=Home ranges=192.168.8.10-192.168.8.254
/ip dhcp-server
add address-pool=Home interface=bridge lease-time=1d name=dhcp-home
/interface bridge port
add bridge=bridge interface=ether2
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dhcp-option=disable-netbios dns-server=192.168.1.1 domain=internal gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=accept chain=input in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=pppoe-client
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-client
/system clock
set time-zone-name=Europe/Amsterdam

Via eigenrouter.nl vond ik deze config voor IPv6:

code:

/ppp profile
add name=default-ipv6 only-one=yes remote-ipv6-prefix-pool=*0 use-compression=yes use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=auto max-mtu=auto name="pppoe-client" profile=default-ipv6 user=kpn@kpn
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-client pool-name=*0 pool-prefix-length=48 request=prefix use-peer-dns=no
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=drop chain=input comment="drop everything else"
/ipv6 nd
add advertise-mac-address=no hop-limit=64 interface=bridge

Als ik deze gebruik dan krijgt mijn router en mijn LAN client een IPv6 adres, ik kan echter geen IPv6 internet hosts pingen ook niet vanaf de router. De MikroTik router geeft aan dat er geen pool is.
Deze IPv6 config lijkt me ook wat omslachtig ik zou denken dat het simpeler moet kunnen.
Wat is zoek is een simpele IPv6 aanvulling op mijn IPv4 config die SLAAC en RA configureert, met intern mijn router als DNSv6 server en extern de IPv6 servers van Cloudflare en Google. Liefst zou ik er ook nog een DHCPv6 server bijhebben voor mijn Windows clients. Heeft iemand toevallig zoiets werkend die zijn/haar config wil delen?

zaterdag 26 juli 2025 09:12

Acties:

0 Henk 'm!

nescafe

Romulus schreef op zaterdag 26 juli 2025 @ 08:03:
Als ik deze gebruik dan krijgt mijn router en mijn LAN client een IPv6 adres,

Dat snap ik niet, als het goed is krijg je een prefix en niet (automatisch) een IPv6-adres.
Daarvoor zul je de pool-name een geldige naam moeten geven (is nu pointer *0 en die bestaat niet) en een IPv6-adres moeten toevoegen met from-pool gedefinieerd, zoals in mijn voorbeeld.

De externe DNS-servers stel je in bij IP > DNS. De interne DNS-server kun je adverteren via ND (ik zou het fe80::-link local adres pakken). Er is geen garantie dat 'interne' requests via IPv6 extern via IPv6 worden geresolved.

Je mist je default IPv6-firewall. Die heb ik voor het gemak weggelaten, maar zal ik alsnog even toevoegen.

quote: /system default-configuration print
/ipv6 firewall {
address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=input action=accept protocol=udp dst-port=33434-33534 comment="defconf: accept UDP traceroute"
filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack6"
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
}

ik kan echter geen IPv6 internet hosts pingen ook niet vanaf de router. De MikroTik router geeft aan dat er geen pool is.

Klopt, geen pool-name en geen adres. Als het goed zie je ook geen GUA bij IPv6 > Addresses.

Liefst zou ik er ook nog een DHCPv6 server bijhebben voor mijn Windows clients. Heeft iemand toevallig zoiets werkend die zijn/haar config wil delen?

Windows clients doen gewoon SLAAC, daarvoor heb je geen DHCPv6 nodig.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 26 juli 2025 09:28

Acties:

0 Henk 'm!

Romulus

Topicstarter

Dank voor de config.
Begrijp ik goed dat jij ook een dergelijke IPv6 config hebt zoals beschreven op eigenrouter.nl?
Ik lees op andere fora weer dat dit outdated is en niet meer nodig is:

code:

1
2
3

/ppp profile
add name=default-ipv6 only-one=yes remote-ipv6-prefix-pool=*0 use-compression=yes use-upnp=no
/interface pppoe-client

Zou jij misschien alle IPv6 config vanuit jouw config willen delen zodat ik die ik kan toevoegen aan mijn IPv4 config?

zaterdag 26 juli 2025 09:39

Acties:

0 Henk 'm!

nescafe

@Romulus Klopt, die ppp profile is niet nodig, voor IPv4 noch voor IPv6. Mijn config staat hierboven. Regels 1-10 het algemene gedeelte, regels 11-14 + de firewall in een latere quote specifiek IPv6.

[ Voor 13% gewijzigd door nescafe op 26-07-2025 09:40 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 26 juli 2025 19:46

Acties:

+1 Henk 'm!

Romulus

Topicstarter

IPv6 werkt nu perfect, bedankt voor de hulp! Voor iedereen die overweegt een MikroTik aan te schaffen (absolute aanrader): dit is mijn werkende IPv6-configuratie met KPN glasvezel:

code:

/ipv6 address 
add address=::1 from-pool=kpn-ipv6-pool interface=bridge 
/ipv6 dhcp-client 
add interface=pppoe-client pool-name=kpn-ipv6-pool pool-prefix-length=48 request=prefix use-peer-dns=no 
/ipv6 firewall filter 
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked 
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 
add action=drop chain=input comment="drop everything else" 
add action=accept chain=forward comment="Allow established/related/return traffic" connection-state=established,related,untracked 
add action=drop chain=forward comment="Drop invalid traffic" connection-state=invalid 
add action=accept chain=forward comment="Allow LAN to Internet" in-interface=bridge out-interface=pppoe-client 
add action=accept chain=forward comment="Allow return traffic from Internet to LAN" connection-state=established,related in-interface=pppoe-client out-interface=bridge 
add action=drop chain=forward comment="Drop everything else" 
/ipv6 nd 
set [ find default=yes ] advertise-mac-address=no dns=2606:4700:4700::1111,2001:4860:4860::8888 hop-limit=64 interface=bridge