146136
Goto Top

Mikrotik Routerboard HAP AC hinter der Fritzbox 7530 mit PPPOE Passthrough

Hi all,

Wir haben gestern unseren VDSL-Anschluss (Österreich nahe Wien) von Magenta/UPC/T-Mobile bekommen.

Dabei ist eine fritzbox 7530 mit welcher der DSL-Anschluss auch funktioniert.

Gleich hinter der Fritzbox hängt ein Mikrotik Routerboard HAP AC, das die öffentliche IP beziehen soll. Der Router ist Teil eines Site2Site VPNs und spielt auch so VPN Server uns ist unsere Firewall nach aussen. Bis dato hat es bei anderen Providern Zb DREI LTE genügt, das Modem zu bridgen und dann auf dem WANPORT des Mikrotiks die öffentliche Adresse zu beziehen. Aber nun ist es ja eine PPPOE besser VSDL2 Verbindung die das Routerboard aufbauen muss.

Mein erster Ansatz: Erstmal habe ich mal auf der Fritzbox pppoe passthrough aktiviert, damit das Routerboard über ein DSL Interface, das ich einrichten muss die öffentliche IP beziehen kann. Weiss jemand von Euch, wie ich dieses Interface einrichten kann? Soweit ich weiss brauche ich keine Zugangsdaten mehr bei VDSL2. Bzw. vielleicht gibt es eine viel einfachere Variante?? Wäre Euch über jeden Tipp sehr dankbar.

Content-Key: 607659

Url: https://administrator.de/contentid/607659

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: aqui
aqui 25.09.2020 aktualisiert um 15:58:06 Uhr
Goto Top
Gleich hinter der Fritzbox hängt ein Mikrotik Routerboard HAP AC, das die öffentliche IP beziehen soll.
Dann muss die FB zwingend als einfaches NUR Modem arbeiten (PPPoE) Passthrough.
Früher mit älterer Firmware ging das einmal. Mit aktuellen Firmwares hat AVM diese Funktion wieder entfernt von der FritzBox.
Ob deine das also kann als reines Modem zu agieren musst du im Setup checken !
Etwas Grundlagen zu der Thematik findest du hier:
Kopplung von 2 Routern am DSL Port
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wenn es mit der FB nicht gehen sollte kannst du aber immer ein reines NUR Modem erwerben wie z.B.
https://www.heise.de/select/ct/2020/15/2014807584631309753
oder
https://www.draytek.de/vigor165.html
https://www.draytek.de/vigor166.html
usw.
Eine Alternative, aber keine sehr gute, ist eine Router Kaskade. Mit doppeltem NAT und doppelter Firewall ist das immer die schlechteste Variante aus Performance und Management Sicht. Klappt aber zur Not auch wenn's gar nicht anders geht.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Hierbei ist es auch sehr wichtig zu wissen ob die FB die PPPoE oder generell die Frames die sie als Modem/Passthrough weiterleitet selber tagged, sprich also mit der bei VDSL üblichen VLAN ID 7 (7 benutzt die T-Com in D) zu taggen oder ob sie das dem dahinter kaskadierten Router oder Firewall überlässt ?!
Zum Thema VLAN Tagging und deine Einstellung dort sagst du oben leider rein gar nichts so das wir nur wild rumraten können.
Weiss jemand von Euch, wie ich dieses Interface einrichten kann?
Das ist kinderleicht auf dem MT und in 3 Minuten erledigt....
Du richtest ein VLAN über das Interfaces Menü ein. Z.B. 7 und mappst das unten auf einen physischen Port des Mikrotiks deiner Wahl.
An dieses VLAN Interface bindest du dann den PPPoE Client.
https://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_ ...

Im Grunde ein sehr einfacher Selbstgänger.
VPN Tutorials zum Mikrotik findest du hier ebenfalls im Forum.
Mitglied: 146136
146136 25.09.2020 um 18:12:19 Uhr
Goto Top
Servus Aqui,
Herzlichen Dank für die sehr detaillierte Post.
Ich hake gleich mal ein beim ersten Punkt nämlich dem PPPOE PassThrough ein. Diesen habe ich in der FB gefunden und schon gestern aktiviert.
Wie Du richtig schreibst muss die FB nur Modem spielen. Sicherheitshalber würde ich in dieser Einstellung einzig das Routerboard LAN Port 1 WAN) an einen Ethernetport des FB hängen. Was aber dann passiert ist klar. Mein DHCPClient den ich auf den WANPort gehangen habe im Routerboard erhält nur eine interne Adresse von der FB. Net leiwand. Damit mein Site2Site VPN wieder fkt. muss das Routerboard direkt über die externe IPV4 erreichbar sein. Wüsstest Du ein Tutorial, dass hier ansetzt. Schon bei den Pascom Brüdern nachgesehen. Aber leider...
liebe Grüße RR
fritz3
fritz1
fritz2
Mitglied: aqui
aqui 25.09.2020 aktualisiert um 19:35:15 Uhr
Goto Top
Was aber dann passiert ist klar.
Scheinbar wohl nicht ! face-sad
Mein DHCPClient den ich auf den WANPort gehangen habe im Routerboard erhält nur eine interne Adresse von der FB.
Da zeigt sich ja schon dein Kardinalsfehler !!
Seit wann wird denn DHCP gemacht an xDSL Anschlüssen. Schon seit Jahrzehnten macht man PPPoE und nicht DHCP.
Der WAN Port des MT muss doch zwingend im PPPoE Mode laufen und niemals im DHCP Client Mode. Das steht oben doch auch schon mehrfach !
Fatal ist es zudem den DHCP Server der FB aktiv zu lassen ! Auch ein fehler, denn wozu ? Die FB arbeitet nur noch als Modem und nicht als Router also braucht man da doch dann keinen DHCP Server !!
Wenn es schon an solchen Banalitäten scheitert solltest du ggf. dir besser jemanden an die Hand nehmen der weiss was er da macht. Das ist jetzt nicht böse gemeint sondern soll nur dein Nervenkostüm schonen. face-wink
Net leiwand.
Bahnhof ? Ägypten ?
Damit mein Site2Site VPN wieder fkt. muss das Routerboard direkt über die externe IPV4 erreichbar sein.
Das siehst du richtig und wäre der Idealzustand wie es technisch am besten wäre.
Zwingend ist das aber nicht.
Man kann auch die FB als Router betreiben und dann per Exposed Host oder besser Port Forwading die VPN Ports auf den dahinter kaskadierten Mikrotik einfach forwarden wie es das o.a. Tutorial ja genau beschreibt.
Aber natürlich nur 2te Wahl wenn man beide Optionen hat ! Die nur Modem Lösung ist in jedem Falle die bessere.

Aber wenn man schon solch gravierende Fehler macht und den Port noch nicht einmal in den PPPoE Mode bringt obwohl man oben mehrfach drauf hingewiesen wurde, muss man sich ja nicht groß wundern...sorry. face-sad
Zudem ist auch noch deine FritzBox Konfig falsch. Richtig ist:
fb1
fb2

Siehe dazu auch den Heise Artikel der dieses Setup explizit beschreibt für eine FritzBox als Modem am VDSL !!
https://www.heise.de/ratgeber/Fritzbox-7412-als-DSL-Modem-DECT-Basis-und ...
Mitglied: 146136
146136 25.09.2020 um 22:03:39 Uhr
Goto Top
Hi und abermals Danke für Deine Ausführungen. Die von dir beschriebenen Optionen habe ich in der FB leider nicht. Alles was ich vorfinde ist der Screenshot (pppoe passthrough). Selbst wenn die Option passthrough gesetzt ist arbeitet die FB weiterhin brav als Router, egal

Übrigens Danke für den Artikel, dem man auf https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ... auch ohne heise-Abo lesen kann.

Habe ein wenig weiter recherchiert und einen guten Artikel gefunden: https://emil.network/netzwerk/fritzbox-als-modem-nutzen/ Hier will der User ebenso wie ich die FB lediglich als Modem nutzen - Scheinbar will das aber AVM nicht wirklich. Dh. Bis dato habe ich "pppoe-passthrough" aktiviert. Damit scheinen angeschlossene Geräte eine eigene PPPOE Verbindung aufbauen zu können. DH. next step wäre dann das Routerboard Port 1 (wäre bei mir der WAN Port) an einen beliebigen Anschluss der FB zu hängen und dann im MK eine PPPOE verbindung zu konfigurieren? korrekt soweit?

Also über die Winbox rein in die Mikrotik und ein neues Interface pppoe angelegt. mit dem pppoe scan bin ich auf den AC Name gestossen, de ich ich gleich mal in die Dial out Registerkarte eingetragen habe. Für User und PWD habe ich Fantasiewerte 555 eingetragen und OK geklickt. Siehe da: Connection established und kurz darauf wieder failed weil wir uns scheinbar nicht authentifzieren konnten. Siehe Screenshots. Bin ich der Lösung einen Schritt näher oder tappe ich weiter im dunkeln?
mk1
mk4
mk5
mk3
mk2
Mitglied: 146136
146136 25.09.2020 um 22:15:07 Uhr
Goto Top
Nachtrag: mit den Zugangsdaten - user= t-mobile und pwd=tm bricht zwar auch immer wieder die Leitung ein, baut sich danach aber sofort wieder auf und ist wieder established. Werde da nicht ganz schlau draus --- a net leiwand.
Mitglied: aqui
aqui 26.09.2020 aktualisiert um 12:25:55 Uhr
Goto Top
Die von dir beschriebenen Optionen habe ich in der FB leider nicht.
Ein sicheres Zeichen dafür das deine FritzBox kein PPPoE Passthrough oder Modem Betreib mehr supportet !!!
Habe ein wenig weiter recherchiert und einen guten Artikel gefunden:
Entspricht ja exakt dem Screenshot oben bzw. dem aus dem Heise oder Spiegel Artikel ! Zeigt also letztlich deren Richtigkeit.
und dann im MK eine PPPOE verbindung zu konfigurieren? korrekt soweit?
Das ist soweit absolut korrekt. Die FritzBox PPPoE muss aber als Pseudo PPPoE laufen, weil eben sehr viele Provider nur rein eine PPPoE Session pro Endkunde erlauben.
Siehe da: Connection established und kurz darauf wieder failed weil wir uns scheinbar nicht authentifzieren konnten.
Das sieht wirklich sehr gut aus ! Trage doch einmal deine wirklichen Provider Zugangsdaten dort ein !!
Hast du das Tagging gecheckt das es für deinen Provider auch das richtige VDSL VLAN Tagging macht ?!
Bei den Handshaking Protokollen unten solltest du alles außer PAP deaktivieren. Die T-Com macht in der Regel nur PAP an ihren PPPoE Anschlüssen.
Alternativ chap versuchen. mschap1 oder 2 ist in jedem Falle falsch und sollte immer abgewählt werden.
Zudem musst du zwingend den Haken bei Use peer DNS setzen !! Logisch, denn dein Router soll ja immer den Provider DNS nutzen !! Zusätzlich dazu solltest du noch unter IP --> DNS im WinBox Menü den Haken setzen Accept remote requests !
Wenn es wider Erwarten weiter Probleme gibt die PPPoE Session zu etablieren und du es wirklich toll machen willst schleifst du einmal einen Wireshark Rechner zwischen FritzBox und Mikrotik und siehst dir den PPPoE Verbindungsaufbau einmal ganz genau an !
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
a net leiwand.
Bahnhof ? Ägypten ??
Leinwände gibts nur beim Maler oder im Kino aber nicht in der Netzwerk IT !!
Mitglied: 146136
146136 27.09.2020 um 22:42:44 Uhr
Goto Top
Nachtrag: Zunächst - zur Aufklärung Leiwand: dialektal (Wien), auch ironisch: großartig, hervorragend, sehr gut, gefallend. Herkunft: nicht eindeutig geklärt, vermutlich von Leinwand wegen des hohen Wertes des Leinens auch als Aussteuer. Im Mittelalter: linwat ‚Leinengewebe', später an das Wort Gewand angeglichen.

Zum eigentlichen: Habe heute ca 2x mit der Magenta (T-Mobile Austria) Hotline telefoniert. Antworten bzw. Erkenntnisse:
VDSL braucht keine Einwahldaten und eigentlich ginge das garnicht was ich hier vorhabe. Ein einfache Lösung (anderes Modem mit BridgeMode) dürfte lt. Hotline auch nicht klappen, da die Freischaltung der Leitung ausschließlich mit AVM Fritzboxen funktionierte.

Interessant: https://deer-it.de/fritzbox-7412-modem-bridge-mode-pppoe-passthrough/ Dort hat der Blogbetreiber seine Sophos Firewall auch hinter der FB laufen und baut aus der 2. Reihe eine PPPOE-Verbindung auf und es scheint zu klappen. Er hat auch mein Problem mit der fehlgeschlagenen Auth. erlebt und hat das offenbar mit einem "H" vor den Zugangsdaten hinbekommen.
Ich werde das mal versuchen... aber mehr ist es derzeit nicht.. try and error.
Offenbar bin ich der erste in Österreich, der diese Vorhaben mit MK versucht.
Mitglied: aqui
aqui 28.09.2020 aktualisiert um 10:13:08 Uhr
Goto Top
zur Aufklärung Leiwand:
Und da erwartest du ernsthaft das jemand mit Wohnort Flensburg das versteht ?? Mmmhhh....
VDSL braucht keine Einwahldaten
Das stimmt ! Bei den Telekom Anschlüssen nach der neuen BNG (Broadband Network Gateway) Technik werden die Enduser über die Leitung identifiziert. Dennoch musst du ein Username und ein Passwort eingeben was aber ein freier Dummy Wert sein kann.
Wichtig ist das Tagging, denn VDSL Leitungen sind immer getagged sprich also mit einem VLAN Tag versehen. In D ist das bei der Telekom die VLAN ID 7. Ob das in A auch so ist musst du erfragen.
da die Freischaltung der Leitung ausschließlich mit AVM Fritzboxen funktionierte.
Das ist natürlich völliger Quatsch ! Vergiss nicht das in der 1st Level Hotline nur technisch Laien sitzen die von einem in Plastik eingeschweissten Merkblatt ablesen was sie Usern sagen müssen damit die die Hotline nicht wieder anrufen und die mit minimalstem Aufwand betrieben werden kann.
Man kann natürlich jegliche anderen Modems an der Leitung betreiben ! Zudem weiss auch jeder Dummie in der EU das es eine gesetzlich garantierte Router Freiheit gibt.
Was die dir dort also am Telefon gesagt haben ist nicht nur technisch falsch sondern zudem auch noch illegal. Vergiss den Unsinn also gleich wieder...!
Dort hat der Blogbetreiber seine Sophos Firewall auch hinter der FB laufen und baut aus der 2. Reihe eine PPPOE-Verbindung auf
Was ja auch zusätzlich zeigt das die Hotline wissentlich lügt....!

Du kannst das immer ganz einfach testen: Nimm einen PC und stelle dessen NIC Port auf PPPoE ein (DFÜ Breitband Zugang bei Winblows)
https://praxistipps.chip.de/windows-10-dfue-breitbandverbindung-pppoe-ei ...
Den PC schliesst du dann an ein einfaches NUR Modem an oder einen Router der zuvor auf "PPPoE Passthrough" gesetzt wurde sofern er das Feature supportet.
Mit ipcongig -all kannst du dann checken ob die PPPoE Verbindung sauber hochkommt und die automatische IP Adress Übermittlung fehlerlos klappt.
Klappt es mit dem PPPoE Test PC, dann klappt es auch immer sofort mit einem Router der PPPoE macht.

Ideal ist natürlich immer ein dediziertes reines Modem wie das Vigor 165 oder Zyxel oder Allnet. Oder eben eine FB 7412 von eBay.
Zudem hast du auch immer den kostenlosen Wireshark um genau zu analysieren was bei dir falsch läuft zwischen Modem und Router.
Offenbar bin ich der erste in Österreich, der diese Vorhaben mit MK versucht.
Das ist natürlich Unsinn bei hunderttausenden von Mikrotiks in A und weisst du auch selber besser ! Die VDSL Welt ist in A nicht anders als im Rest der EU.
Mitglied: 146136
146136 28.09.2020 um 13:17:41 Uhr
Goto Top
Hervorragende Antwort, die meine dunkelsten Vermutungen bestätigt.. Ja, die Hotline dürfte eine eigene Sicht auf die Wirklichkeit haben und Ja, sie tun natürlich alles um lästige Detailanfragen gerne für immer abzudrehen. Auch witzig die Antwort der Hotline vorgestern, dass es Wege gibt, aber diese nicht weitergegeben werden, da das "immer zu Problemen führt". Übersetzt heißt das: "Ja wir hätten eine Lösung für Dich - sagen wir Dir aber nicht, weil wir einfach wollen, dass Du Stunden und Stunden verheizt und hoffentlich daran scheiterst - Liebe Grüße Dein Support"

Super Idee, das PPPoe passthrough mal zu testen mit PC. Das werde ich heute mal versuchen. Sorry die dumme Frage, aber nun hänge ich einen PPPoE Test PC an, der zunächst mal von der FB, der ja weiterhin als Router arbeitet eine interne IP zb. 192.168.1.200 bekommt. Über die selben LAN-Port soll ich dann eine PPPoe Verbindung aufbauen? Sprich der Port kann ja nicht gleichzeitig LAN und PPPoe Modus sein. korrekt?

Router: Vermutlich das sauberste ist, wenn ich ein VDSL Modem, das Bridge überstützt einsetze. Hier hätte ich das https://www.amazon.de/Wireless-4FE-LAN-USB-Port-Bridge-Modus-VMG1312-B30 ... im Auge - siehe Dein erstes Posting. Allerdings steht dabei, dass das nur die "Version nur für DE [VMG1312-B30A]". Wieso soll das in Österreich nicht fkt? Wäre auch nicht leiwand. Wenn das auch ein Hoax ist, bestelle ich das Dingens noch heute!

Verstehe ein wenig, dass man das in Flensburg nicht kennt. Dennoch kann es nicht schaden, wenn das Forum ein wenig zum Völkeraustausch beiträgt. Solltest Du mal nach Wien kommen bist Du definitiv auf eine "Eitrige mit an Bugl und an Sechsener-Hüsn beim Wirschtla" eingeladen! = Gebratene Langkäsewurst mit Stück Brot begleitet von einem Dosenbier dessen Blechhülle, 0,16mm beträgt serviert beim nahegelegenen Feinkost-Kiosk"

Auch Flensburg - muss toll sein - War vorletztes Jahr zum ersten mal an der Ostsee (Ostpreussen- heute Litauen) und habe es geliebt!
Mitglied: aqui
aqui 28.09.2020 um 15:01:47 Uhr
Goto Top
der zunächst mal von der FB, der ja weiterhin als Router arbeitet eine interne IP zb. 192.168.1.200 bekommt.
Das ist auch klar wenn man weiter im Router Modus arbeitet und den DHCP Server nicht deaktiviert hat !
Über die selben LAN-Port soll ich dann eine PPPoe Verbindung aufbauen?
Jepp, richtig. Wenn du den Netzwerkkarten Modus von DHCP Client (was du ja jetzt hast) auf DFÜ Breitband umstellst ist der DHCP Client tot und der PPPoE Client aktiv ! So einfach ist das.
Dennoch solltest du immer wenns irgend geht den DHCP Server der Box deaktivieren damit der dir nicht immer dazwischen funkt. Auf die IP der FB kannst du auch immer mit einer statischen IP Adresse an der PC Karte zugreifen !
Sprich der Port kann ja nicht gleichzeitig LAN und PPPoe Modus sein. korrekt?
Nicht ganz.... Er kann nicht DHCP Client und PPPoE Client gleichzeitig ! LAN bzw. Ethernet ist es ja immer.
Vermutlich das sauberste ist, wenn ich ein VDSL Modem, das Bridge überstützt einsetze.
Kommt drauf an... Wenn deine FB wirklich PPPoE Passthrough supportet wie der Screenshot oben zeigt dann geht es natürlich auch damit.
Ansonsten hast du Recht.
Die Klassiker sind Vigor 165:
https://www.draytek.de/vigor165.html
oder Zyxel VMG 3006:
https://www.heise.de/select/ct/2020/15/2014807584631309753
oder....
die gebrauchte 7412 von eBay ! face-wink
War vorletztes Jahr zum ersten mal
Da gibt es statt "Wirschtla" einen anständigen dänischen Hot_Dog !
Mitglied: 146136
146136 02.10.2020 um 16:41:57 Uhr
Goto Top
Ahh - dänische Delikatessen! Da bin ich sofort dabei - dazu ein Jever und gut isses.

So News. Habe den PC mal direkt an die FB angehängt und versucht eine DSL Leitung mit dem Client aufzubauen.. FB in PPPOE Passtrough und ist gescheitert.

Nächster Versuch kommt heut - habe mir ein Zyxel VDSL2 Wireless Modem mit Router und 4FE-LAN Ports, 1 USB-Port WLAN 802.11n 2x2, IPv6, Bridge-Modus, Version nur für DE [VMG1312-B30A] besorgt, werde diesen klonen und direkt an die Leitung klemmen und sehen was passiert. Idealerweise dann nur noch bridgen und die MK steht an erster Front sprich mit IP4 nach aussen.
ich berichte....
Mitglied: aqui
Lösung aqui 02.10.2020 um 16:58:56 Uhr
Goto Top
versucht eine DSL Leitung mit dem Client aufzubauen.. FB in PPPOE Passtrough und ist gescheitert.
War zu erwarten. Wenn das schon scheitert ist es klar das der Router dann auch scheitern muss.
Hast du das VLAN Tagging bei VDSL entsprechend eingestellt ?!
ich berichte....
Wir sind gespannt !! face-smile
Mit dem Zyxel wird es ganz sicher klappen !
Denk dran das du dem die allerneuste Firmware flashst bevor du damit in Produktion gehst !!
Da sie recht betagt ist wird die wohl sicher identisch sein:
https://www.zyxel.com/de/de/support/download_library/product/vmg1312_b_s ...
Mitglied: 146136
146136 03.02.2021 um 20:26:10 Uhr
Goto Top
Nachtrag.. gekauft - reingehängt - Anbieter mich vollgequasselt, dass das nicht geht und die Config nicht freigeschalten werden kann, wenn ich nicht fritz verwende.. blabla.. nerven verloren und nun genated.
Mitglied: aqui
aqui 04.02.2021 um 09:57:04 Uhr
Goto Top
und die Config nicht freigeschalten werden kann
Was meint der denn damit ?? Versteht wohl nur der Anbieter selber...?! face-sad