Zuhause läuft mein Internetzugang über einen Kabelanbieter. Die vom Provider gelieferten Modems verfügen oft über zwei Betriebsmodi namens Router und Bridge. Wie das Modem auch im Bridge-Modus erreicht werden kann, zeige ich im folgenden Beitrag am Beispiel von MikroTik RouterOS.
Der Router-Modus ist dabei die für die meisten Heimanwender ausreichende Variante. Das Modem bezieht seine IP-Adresse, kümmert sich um Firewall, NAT und Routing und stellt ggf. Telefoniefunktionen zur Verfügung. Der große Nachteil daran ist, dass der Betrieb eigener Hardware nicht ganz unproblematisch ist – doppeltes NAT und nur ein /64 IPv6-Präfix laden nicht gerade zu größeren Konfigurationen ein. Dazu kommt, dass viele Provider im Router-Modus keine öffentliche IPv4 mehr zur Verfügung stellen, sondern das Ganze über CGN (Carrier Grade NAT) lösen. Verwandte Schlagwörter in dem Kontext sind DS-Lite, Dual Stack Lite und AFTR.
Brücken bauen
Im Bridge-Modus hingegen arbeitet das Modem mehr oder weniger transparent und reicht IPv4 und IPv6 an einen dahinter geschalteten Router durch. Oftmals bekommt man noch eine “echte”, d.h. öffentliche IPv4-Adresse und zudem ein /56er IPv6-Präfix, wobei die meisten Anbieter das vertraglich nur noch bei Businesstarifen mit entsprechend aufpreispflichtiger Option garantieren.
Dazu ein Tipp: Die Kabelprovider halten ein einmal angefordertes IPv6-Präfix relativ lange vor. Es ist daher ratsam, sofort mit der ersten Anfrage an den DHCPv6-Server ein entsprechend großes Präfix anzufordern, beispielsweise mit
prefix-hint=::/56
Zur Thematik IPv6 unter RouterOS werde ich aber nochmal einen separaten Blogbeitrag schreiben. ;-)
Gewusst wie
Während beim Betrieb im Router-Modus der Zugriff auf die Weboberfläche des Modems jederzeit möglich ist, beispielsweise um das Gerät zu konfigurieren oder aber die Leitungswerte auszulesen, ist das beim Bridge-Modus nicht ganz so trivial. Manche Modems schalten nach wenigen Minuten die Weboberfläche ganz ab, andere sind regulär erreichbar – wenn man weiß, wie.
Als IP-Adresse für Kabelmodems im Bridge-Modus hat sich die 192.168.100.1 etabliert, unabhängig davon, welches Subnetz im Router-Betrieb konfiguriert war. Dieser Adressbereich sollte für Heimnetzwerke daher auch tunlichst vermieden werden.
Zahlentricks
Um die Adresse vom heimischen Netzwerk aus erreichbar zu machen genügen bei mir folgende drei Schritte:
Zuerst wird dem mit dem Modem verbundenen Netzwerk-Interface eine zusätzliche IP-Adresse im selben Subnetz zugewiesen:
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
Die bestehende Zuweisung per DHCP darf nicht gelöscht werden, denn diese stellt die für den Internetzugang erforderliche IP-Adresse bereit – die im obigen Beispiel 192.168.100.2 genannte Adresse wird daher zusätzlich aufgeschaltet.
Danach muss, angepasst an die eigene Firewall-Konfiguration, eine Weiterleitung zur Adresse 192.168.100.1 erlaubt werden:
/ip firewall filter add action=accept chain=forward comment="accept LAN->cable modem" dst-address=192.168.100.1 in-interface=br-cap out-interface=ether1 src-address=192.168.0.0/16
In einem letzten Schritt muss nun noch die Adressumsetzung (NAT) zwischen dem lokalen Netzwerk und der Modem-IP hergestellt werden, ebenfalls wieder angepasst an die eigene Firewall-Konfiguration:
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade LAN->cable modem" dst-address=192.168.100.1 out-interface=ether1 src-address=192.168.0.0/16
Das war’s! Das Modem sollte jetzt von allen Clients erreichbar sein.
Ausblick
Beim Betrieb eigener Modems ist zu beachten, dass diese nicht vom Provider in den Bridge-Modus versetzt werden können, sondern die entsprechende Funktion selbst zur Verfügung stellen müssen. Meinen Nachforschungen zufolge sind die Anbieter frei verfügbarer Geräte am Markt hierbei noch eher zurückhaltend.
Obige Schritte lassen sich übrigens grundsätzlich auch mit anderen Routern bewerkstelligen, beispielsweise mit OpenWRT/LEDE und gelten im Wesentlichen auch für DSL-Modems. Theoretisch lässt sich auf diesem Weg auch ein Kabelmodem im Router-Modus hinter doppeltem NAT ansprechen – lediglich der erste Schritt, das manuelle Zuweisen der IP-Adresse, entfällt in diesem Fall.
Vermutlich gibt es noch einfachere Wege, auf’s Modem zuzugreifen – Obiges erfüllt für mich aber seinen Zweck. Über Rückmeldungen und Verbesserungsvorschläge in den Kommentaren freue ich mich immer!
Hallo Florian,
danke für den Artikel, klappt wunderbar. :)
Kann ich dann nicht auch meinen NTP Dienst des Mikrotiks nutzen? Habe in meinem Vigor130 die IP Adresse eingegeben, bekomme aber keine Datum/ Zeitangabe zurück. Die Firewall Regel habe ich angepasst -> Accept IN “IP Vigor130” to DST “IP Home Subnet”, Protokoll udp, Port 123.
Ähnlich wäre doch auch ein Syslog möglich, den ich dann auf dem Vigor130 konfigurieren kann.
Danke und schöne Ostergrüße, Denis
Beides hab ich noch nicht probiert. ;-) Bei NTP musst du nach https://wiki.mikrotik.com/wiki/Manual:System/Packages aber vermutlich das separate Paket
ntpinstallieren, im Auslieferungszustand ist wohl nur ein NTP-Client enthalten. Klappt’s damit?Ich hatte mit dem Paket auch mal experimentiert, es aber dann wieder verworfen. Ich glaube, es konnte keine DNS-Auflösung der Server, bin mir aber nicht mehr sicher.
Normal sollte der Zugriff mit der Default Route zum Gateway funktionieren. Nur das in dem Fall dann dass Modem Antwortet.
Funktioniert zumindest bei mir so ohne Probleme.
Folgendes ist passiert:
– Internet unten
– ein Blick auf den Arris Router zeigt, dass dort MikroTik Software drauf ist ???
Beim Klick auf den Links GRAPHS werden dort in Tschechisch Links zu Studenten VLANs auf unterschiedlichen Etagen präsentiert.
Mein erster Gedanke: nun hat die Box jemand gehackt, habe Sie daher sofort ausgeschaltet.
Nach einer Weile erneut gestartet und die gewohne Oberfläche war wieder da.
Bilder siehe:
https://forum.vodafone.de/t5/Internet-Ger%C3%A4te/Arris-Router-zeigt-pl%C3%B6tzlich-MikroTik-Software-an-wurde-er/td-p/2212768
Das ist in der Tat etwas seltsam… Hast du MikroTik-Geräte bei dir im Netz im Einsatz?
Ne, es ist ein Privathaus und mein Netz kenne ich schon recht gut.
Welche Kiste mir dann geantwortet hat auf der IP meines Routers … keine Ahnung. Die IP 192.168.0.1 sieht man im Screenshot.
Habe sofort einen Dauerping auf diese Router-IP laufen lassen und den Router dann ausgeschaltet. Sofort war der PING unten. D.h. ich habe mit der MAC des Routers reden müssen. Wo ich dann aber gelandet bin, das ist mir unklar. Vielleicht hat da KabelDE nachgelagerte Mikrotik Router?
Möglich wäre es.
Roman
Möglich wäre es, ich wäre aber verwundert, wenn du die einfach so direkt erreichen könntest. Bist du evtl. in ein fremdes WLAN eingebucht gewesen?
Hallo,
ist es verpönt zu danach zu fragen, wie ich das hier vorgestellte Howto auf einem Netgear R7800 Router mit DD-WRT in Verbindung mit einem arris tg3442de Kabelmodem im Bridge Mode umsetzen kann? Wo gebe ich die Befehle ein? In der Oberfläche des Routers unter Administration -> Commands -> Firewall? oder im Startup Script oder per Putty (ssh)? Wär Dir/Euch für einen Schubs in die richtige Richtung dankbar. Vielen Dank schon mal.
Stefan
Das hier könnte eventuell weiterhelfen, hab ich selbst aber nicht getestet: https://openwrt.org/docs/guide-user/network/wan/access.modem.through.nat
Vielen Dank für den Link Florian. Werd mir den Stoff mal reinziehen.
Stefan
Gib gern hier Bescheid, ob alles klappt! :)
Hallo Florian,
würde folgender Wlan-Router hinter einem Kabelmodem im Bridge-Mode funktionieren ? :
https://www.tp-link.com/de/home-networking/wifi-router/archer-c6/
Also wahrscheinlich schon schätze ich, hatte ich gestern bei einem Bekannten angeschlossen. Wie gesagt ist der Kabelrouter (Touchstone TG3442DE) im Bridge-Mode, es kamen aber statt der 500Mbit die auch anliegen, nur 100 an, sowohl Lan als auch Wlan. Vor dem aktivieren des Bridge-Mode’s, kamen Lan über den Kabelrouter 500 an.
Beim konfigurieren des TP-Link Routers bin ich standartmäßig die Quick-Installation durchgegangen, anschließend paar Sachen am Wlan eingestellt.
Habe ich den Wlan-Router einfach nur falsch konfiguriert ? Du erwähnst hier NAT, diesbezüglich gibts auf dem Wlan-Router ja auch Einstellungen, die ich einfach mal so belassen hab, vielleicht das mit ein Grund ?
Naja, nachdem der Wlan-Router aber zu allem auch noch das Wlan deaktivierte, was sich dann auch nicht mehr aktivieren ließ, weder am Gerät selbst noch über die Einstellungsmöglichkeiten in der Software, wird mein Bekannter den Router wieder zurückschicken, vielleicht war der am Ende dann doch etwas zu billig.
So, jetzt soll ein anderer Wlan-Router her, evtl eine Fritzbox, falls es da ein nicht alzu teures Gerät gibt, was muss da beachtet werden ? Also natürlich brauchts der Wlan-Router Gigabit Lan Ausgänge, was wäre da noch wichtig ? Vor allem, was muß ich dann beim konfigurieren des neuen Routers beachten ?
Wäre nett wenn du mir da paar Tipps geben könntest !
Viele Grüße und ein schönes WE ! Michael
Du kannst mal testen, was passiert, wenn du einen PC direkt ans Kabelmodem im Bridge-Mode anschließt (ggf. vorher Kabelmodem neustarten), ob du dann die volle Bandbreite bekommst. Eigentlich sollte der Bridge-Mode da nichts limitieren.
Beim Router kommt es immer aufs Modell an, wie viel Power das Gerät hat. Alte Geräte kommen mitunter mit den heutigen hohen Bandbreiten nicht mehr zurecht, weil sie einfach zu schwach sind – das von dir genannte Modell kann ich aber nicht näher beurteilen. Ich hab hier aktuell z.B. das Problem, dass mein derzeitiger Router zwar problemlos 500 Mbit/s am Kabelmodem liefert, aber nicht mehr per PPPoE (DSL-“Einwahl”).
Bei der Wahl des Routers gibt es verschiedene Möglichkeiten. Ich hab immer ganz gern Router und WLAN getrennt in meinen Umgebungen, aber in einem normalen Haushalt sind die integrierten Geräte sicher eine gute Idee – weniger Geräte, ggf. geringerer Stromverbrauch und auch weniger Wartungsaufwand. Ich hab selbst verschiedene Hersteller im Einsatz – ein separates System mit OPNsense, genauso wie MikroTik, genauso wie Ubiquiti, und auch FRITZ!Boxen. Wichtig sind mir langer Support des Herstellers, regelmäßige Firmware- und Sicherheitsupdates.
Hilft dir das schon etwas weiter? :)
Vielen Dank für die Antwort !
Also den PC mal Lan an den Kabelrouter im Bridge-Mode hängen ? Ok werd ich sobald ich dort bin mal testen.
Also ich habe da einen neuen Wlan-Router im Auge den mein Bekannter wahrscheinlich kaufen wird, der dürfte dann schon etwas besser sein, grade was Support und aktuelle Firmware angeht, die Fritzbox 4040.
Was meinst du, die dürfte geeigent sein oder ?
https://avm.de/produkte/fritzbox/fritzbox-4040/technische-daten/
Muß ich da beim Einrichten gewisse Dinge beachten ? Oder kann ich da auch einfach die Quick-Installation durchgehen, falls es die da gibt ?
Ja ! Hat mir schon ein Stück weitergeholfen, vielen Dank nochmal !
Genau, den PC per Kabel an das Kabelmodem im Bridge-Modus anschließen und dann schauen, wie schnell das Ganze ist.
Ich hab selbst eine Fritzbox an einem Anschluss im Einsatz und bin zufrieden damit. Die 4040 kenne ich nicht – wenn sie per DHCP eine Adresse vom Kabelmodem beziehen kann, sollte sie funktionieren.
Die Einrichtung dürfte so ablaufen: https://avm.de/service/fritzbox/fritzbox-7113/wissensdatenbank/publication/show/16_FRITZ-Box-fur-Betrieb-am-Kabelanschluss-einrichten/
Welche Geschwindigkeit unterstützt wird, das kann ich dir aber nicht sagen, da solltest du im Zweifel mal beim Hersteller anfragen. :-)
Hallo,
vielen Dank für die tollen Blogbeiträge; haben mir schon sehr weitergeholfen.
Haben Sie den o.g. Blogbeitrag für “IPv6 unter RouterOS” schon geschrieben?
Viele Grüße aus Lippe
Matthias
Danke für die netten Worte! :)
Leider hab ich den Blogbeitrag noch nicht angefangen – ich hab Dokumentation, muss die aber in eine Form bringen, die man vorzeigen kann. Aktuell weiß ich leider nicht, wann ich dazu komme. :(
Hallo Florian,
sehr schöne erklärt! Ich habe selber ein Mikrotik Routerboard im Bridge Mode hinter einem Vodafone Kabelrouter (/modem), leider erreiche ich das Modem selbst weder per Ping vom Router aus (eventuell antwortet das auch gar nicht auf ICMP) noch über die Clients im Netz. Kannst du vielleicht einmal die relevanten Bereiche aus deiner Konfiguration ergänzen (/export) ? Ich hatte noch nicht so viel Zeit, nicht die Standard-Konfig zu nehmen, empfand diese bisher aber auch gut überschaubar. Ich habe am Routerboard auch einen LTE-Stick, hier besteht das gleiche Problem und ich kann diesen von den Clients im Heimnetz nicht erreichen..
Hallo,
schau mal, ob folgende Einträge bei dir funktionieren:
/ip firewall filter add chain=forward action=accept in-interface-list=fw-lan out-interface-list=fw-wan src-address=192.168.0.0/16 dst-address=192.168.100.1 comment="accept LAN->cable modem"/ip firewall nat add chain=srcnat action=masquerade out-interface-list=fw-wan src-address=192.168.0.0/16 dst-address=192.168.100.1 comment="masquerade LAN->cable modem"
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
Hallo Florian,
vielen Dank für die schnelle Antwort. Die Interfaces fw-lan und fw-wan habe ich so (augenscheinlich) nicht, bei mir hängt eine Bridge zwischen Lan und Wan (bridge1) und das Modem an ether1 (wie auch in deiner statischen IP, letzte Zeile). Soll ich es dennoch mit denen versuchen?
Das ist mein aktueller Stand, womit ich leider weder vom Routerboard noch von anderen lokalen Clients den Vodafone Router erreichen kann:
/ip firewall filter add action=accept chain=forward comment=Vodafone-Router-Im-Lan dst-address=192.168.100.1 in-interface=bridge1 out-interface=ether1 src-address=192.168.0.0/16
/ip firewall nat add action=masquerade chain=srcnat comment=MASQ-Lan-to-Vodafone-Modem dst-address=192.168.100.1 out-interface=ether1 src-address=192.168.0.0/16
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
Die Interfaces definiere ich mir selbst, probier’s mal mit:
/interface list add name=fw-wan/interface list add name=fw-lan exclude=fw-wan
/interface list member add list=fw-lan interface=br-lan
/interface list member add list=fw-wan interface=ether1
Die Bridge erstelle ich wie folgt:
/interface bridge add name=br-lan/interface bridge port add bridge=br-lan interface=ether2
/interface bridge port add bridge=br-lan interface=ether3
/interface bridge port add bridge=br-lan interface=ether4
/interface bridge port add bridge=br-lan interface=ether5
Funktioniert das?
Hallo,
vielen Dank für die Unterstützung. Leider funktioniert auch die Config nicht bei mir.
Hier mal ein paar Auszüge von mir:
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=”created from master port” name=bridge1 protocol-mode=none
/interface lte
set [ find ] name=lte1
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=fw-wan
add exclude=fw-wan name=fw-lan
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/ip pool add name=dhcp ranges=192.168.0.60-192.168.0.254
/ip dhcp-server add address-pool=dhcp interface=bridge1 name=defconf
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether3
add bridge=bridge1 ingress-filtering=no interface=ether4
add bridge=bridge1 ingress-filtering=no interface=ether5
add bridge=bridge1 ingress-filtering=no interface=ether2-master
/interface list member
add comment=defconf interface=bridge1 list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=bridge1 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=bridge1 list=mactel
add interface=bridge1 list=mac-winbox
add interface=bridge1 list=fw-lan
add interface=ether1 list=fw-wan
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether3 network=192.168.0.0
add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
/ip dhcp-client add comment=defconf interface=ether1
-> Bis hierhin sollte es mehr oder weniger zu deiner Config passen (nur das meine Bridge Bridge1 heißt)
/ip firewall filter
add action=accept chain=input comment=”defconf: accept established,related,untracked” connection-state=established,related,untracked
add action=drop chain=input comment=”defconf: drop invalid” connection-state=invalid
add action=accept chain=input comment=”defconf: accept ICMP” protocol=icmp
add action=drop chain=input comment=”defconf: drop all not coming from LAN” in-interface-list=!LAN
add action=accept chain=forward comment=”defconf: accept in ipsec policy” ipsec-policy=in,ipsec
add action=accept chain=forward comment=”defconf: accept out ipsec policy” ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=”defconf: fasttrack” connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=”defconf: accept established,related, untracked” connection-state=established,related,untracked
add action=drop chain=forward comment=”defconf: drop invalid” connection-state=invalid
add action=drop chain=forward comment=”defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment=Vodafone-Router-Im-Lan dst-address=192.168.100.1 in-interface=bridge1 out-interface=ether1 src-address=192.168.0.0/16
add action=accept chain=forward dst-address=192.168.8.1 in-interface=bridge1 out-interface=lte1 src-address=192.168.0.0/16
add action=accept chain=forward comment=Accept-Clients-to-Vodafone-Modem dst-address=192.168.100.1 in-interface-list=fw-lan out-interface-list=fw-wan src-address=192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment=”defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=MASQ-Lan-to-Vodafone-Modem dst-address=192.168.100.1 out-interface=ether1 src-address=192.168.0.0/16
add action=masquerade chain=srcnat dst-address=192.168.8.1 out-interface=lte1 src-address=192.168.0.0/16
add action=masquerade chain=srcnat comment=Masquerade-Clients-to-Vodafone-Modem dst-address=192.168.100.1 out-interface-list=fw-wan src-address=192.168.0.0/16
Kannst du hier etwas auffälliges entdecken? Ich weiß, viele FW-Rules sind vermutlich unnötig..
Auf die Schnelle sehe ich da keinen Fehler.
Kannst du das Modem vom Router selbst aus pingen, und nur vom Client nicht, oder geht es grundsätzlich nicht?
Probier doch mal, alle Firewall-Regeln kurz auszuschalten, den Ping zu starten, und dann Regel für Regel einschalten, um zu sehen, wann geblockt wird (oder umgekehrt, nach und nach die Regeln ausschalten, bis es geht). Es kann sein, dass der Ping wegen connection-state=established durchläft, d.h. sicherheitshalber nach jeder Regeländerung einen neuen Ping starten.
Eventuell ist es die “drop all not coming from LAN”-Regel, die Probleme macht, oder “drop all from WAN not DSTNATed”, ist aber nur eine Vermutung – ich glaub, ich hab das ähnlich konfiguriert.
Hallo,
noch einmal vielen Dank für die Unterstützung – ich konnte das Problem finden: Es lag am Modem von Vodafone selbst. Nach einem Zurücksetzen auf den Werkszustand hat alles funktioniert..
Danke für die Rückmeldung, ich freu mich, dass es klappt!