Kabelmodem im Bridge-Modus erreichen
Wie man sein Kabelmodem auch im Bridge-Modus für den Router erreichbar macht, am Beispiel von MikroTik RouterOS
Zuhause läuft mein Internetzugang über einen Kabelanbieter. Die vom Provider gelieferten Modems verfügen oft über zwei Betriebsmodi namens Router und Bridge. Wie das Modem auch im Bridge-Modus erreicht werden kann, zeige ich im folgenden Beitrag am Beispiel von MikroTik RouterOS.
Der Router-Modus ist dabei die für die meisten Heimanwender ausreichende Variante. Das Modem bezieht seine IP-Adresse, kümmert sich um Firewall, NAT und Routing und stellt ggf. Telefoniefunktionen zur Verfügung. Der große Nachteil daran ist, dass der Betrieb eigener Hardware nicht ganz unproblematisch ist - doppeltes NAT und nur ein /64 IPv6-Präfix laden nicht gerade zu größeren Konfigurationen ein. Dazu kommt, dass viele Provider im Router-Modus keine öffentliche IPv4 mehr zur Verfügung stellen, sondern das Ganze über CGN (Carrier Grade NAT) lösen. Verwandte Schlagwörter in dem Kontext sind DS-Lite, Dual Stack Lite und AFTR.
Brücken bauen
Im Bridge-Modus hingegen arbeitet das Modem mehr oder weniger transparent und reicht IPv4 und IPv6 an einen dahinter geschalteten Router durch. Oftmals bekommt man noch eine “echte”, d.h. öffentliche IPv4-Adresse und zudem ein /56er IPv6-Präfix, wobei die meisten Anbieter das vertraglich nur noch bei Businesstarifen mit entsprechend aufpreispflichtiger Option garantieren.
Dazu ein Tipp: Die Kabelprovider halten ein einmal angefordertes IPv6-Präfix relativ lange vor. Es ist daher ratsam, sofort mit der ersten Anfrage an den DHCPv6-Server ein entsprechend großes Präfix anzufordern, beispielsweise mit
prefix-hint=::/56
Zur Thematik IPv6 unter RouterOS werde ich aber nochmal einen separaten Blogbeitrag schreiben. ;-)
Gewusst wie
Während beim Betrieb im Router-Modus der Zugriff auf die Weboberfläche des Modems jederzeit möglich ist, beispielsweise um das Gerät zu konfigurieren oder aber die Leitungswerte auszulesen, ist das beim Bridge-Modus nicht ganz so trivial. Manche Modems schalten nach wenigen Minuten die Weboberfläche ganz ab, andere sind regulär erreichbar - wenn man weiß, wie.
Als IP-Adresse für Kabelmodems im Bridge-Modus hat sich die 192.168.100.1 etabliert, unabhängig davon, welches Subnetz im Router-Betrieb konfiguriert war. Dieser Adressbereich sollte für Heimnetzwerke daher auch tunlichst vermieden werden.
Zahlentricks
Um die Adresse vom heimischen Netzwerk aus erreichbar zu machen genügen bei mir folgende drei Schritte: Zuerst wird dem mit dem Modem verbundenen Netzwerk-Interface eine zusätzliche IP-Adresse im selben Subnetz zugewiesen:
/ip/address/add/address=192.168.100.2/24 interface=ether1 network=192.168.100.0
Die bestehende Zuweisung per DHCP darf nicht gelöscht werden, denn diese stellt die für den Internetzugang erforderliche IP-Adresse bereit - die im obigen Beispiel 192.168.100.2 genannte Adresse wird daher zusätzlich aufgeschaltet.
Danach muss, angepasst an die eigene Firewall-Konfiguration, eine Weiterleitung zur Adresse 192.168.100.1 erlaubt werden:
/ip/firewall/filter/add action=accept chain=forward comment="accept LAN->cable modem" dst-address=192.168.100.1 in-interface=br-cap out-interface=ether1 src-address=192.168.0.0/16
In einem letzten Schritt muss nun noch die Adressumsetzung (NAT) zwischen dem lokalen Netzwerk und der Modem-IP hergestellt werden, ebenfalls wieder angepasst an die eigene Firewall-Konfiguration:
/ip/firewall/nat/add action=masquerade chain=srcnat comment="masquerade LAN->cable modem" dst-address=192.168.100.1 out-interface=ether1 src-address=192.168.0.0/16
Das war’s! Das Modem sollte jetzt von allen Clients erreichbar sein.
Ausblick
Beim Betrieb eigener Modems ist zu beachten, dass diese nicht vom Provider in den Bridge-Modus versetzt werden können, sondern die entsprechende Funktion selbst zur Verfügung stellen müssen. Meinen Nachforschungen zufolge sind die Anbieter frei verfügbarer Geräte am Markt hierbei noch eher zurückhaltend.
Obige Schritte lassen sich übrigens grundsätzlich auch mit anderen Routern bewerkstelligen, beispielsweise mit OpenWRT/LEDE und gelten im Wesentlichen auch für DSL-Modems. Theoretisch lässt sich auf diesem Weg auch ein Kabelmodem im Router-Modus hinter doppeltem NAT ansprechen - lediglich der erste Schritt, das manuelle Zuweisen der IP-Adresse, entfällt in diesem Fall.
Vermutlich gibt es noch einfachere Wege, auf’s Modem zuzugreifen - Obiges erfüllt für mich aber seinen Zweck. Über Rückmeldungen und Verbesserungsvorschläge in den Kommentaren freue ich mich immer!