Het Mikrotik/Unifi/Meraki-topic - Netwerken

woensdag 8 januari 2014 18:32

Acties:

maarud

Topicstarter

Mede-auteur:

DennusB

Klik hier om naar het einde van de OP te springen

Afbeeldingslocatie: http://tweakers.net/ext/f/uYkKvKvb2wvchcBhpa92f6Ed/full.jpg

Inleiding

In dit topic kan de discussie plaatsvinden over eerder genoemde routers/AP's!

Meraki, onderdeel van Cisco, biedt cloud-based oplossingen voor zowel bedrade als draadloze netwerken.

MikroTik staat bekend om hun RouterOS die op x86-pc's draait, maar ook op de zgn. RouterBOARDs, met vele mogelijkheden zoals VPN's, bandwith shaping, QoS, captive portals en meer.

UniFi van Ubiquiti is een enterprise WiFi systeem dat onbeperkt schaalbaar is en zeer goede prestaties levert. UniFi maakt gebruik van een Controller-software voor centraal beheer van alle aangesloten AP's.

Meraki

De MR-serie bevat draadloze toegangspunten. De MR-12 is het instapmodel, de MR-34 is het high-end model. Verschillen zijn hier te bewonderen. Naast deze indoor AP's zijn er ook Outdoor AP's, de MR-62 en MR-66.
Daarnaast heeft Meraki nog switches in zijn portfolio, de MS-series, in L2 en L3 switch verkrijgbaar.

MikroTik RouterBOARDs

De RouterBOARDs zijn verkrijgbaar als router, switches of als WiFi AP's. Een bekende router voor home/office gebruik is de router uit de afbeelding in de header, de RB2011UiAS-2HnD-IN.
Deze bevat een CPU van 600Mhz met 128MB RAM. 5 Ethernet 100MBps en 5 Ethernet 5GBps zorgen voor de bedrade connectiviteit. Draadloos geschied via 802.11b/g/n. Tevens bezit dit RouterBOARD over een microUSB poort.

Ubiquiti UniFi

Onderverdeeld in twee klasses, de UniFi AP (LR, Long Range) en de UniFi AP PRO. Daarnaast is er nog een model voor 802.11ac en zijn er enkele outdoor-modellen.
De acces points zijn configureerbaar via een zogenaamde UniFi Controller, software die op een gewone pc geïnstalleerd kan worden. Deze is vereist voor geavanceerdere functies, zoals een captive portal.

Overige

Een veelgenoemde webwinkel voor deze apparatuur is bijvoorbeeld www.interprojekt.com.pl

[ Voor 4% gewijzigd door maarud op 08-01-2014 21:06 ]

dinsdag 28 januari 2014 19:36

Acties:

ihre

Begin 2010 heb ik de Experiabox TG789vn van KPN vervangen door een Netgear WNDR3700v2 met OpenWrt erop, en de eisen die ik aan een router stel zijn sindsdien redelijk toegenomen.

Sinds halverwege november 2013 heb ik nu een RB951G-2HnD staan, en ben er erg tevreden over! Mijn interesse werd gewekt door de review van de Mikrotik RB2011UAS-2HnD-IN die Pogostokje eens heeft geschreven.

Ik ben verhuisd en heb op mijn nieuwe adres ook glasvezel van KPN, en met de guide op netwerkje.com was ik binnen no-time weer online. Aangezien ik mij van te voren in had gelezen wist ik dat er out of the box geen firewall rules aanwezig zijn. Met behulp van de Mikrotik wiki heb een stel rules samengesteld. Het leek allemaal goed te gaan, totdat ik volgende morgen geen verbinding meer kon krijgen met het internet... Bleek dat ik een regel verkeerd had geintepreteerd, en poort 53 open stond aan de WAN kant

Een goede firewall is dus belangrijk, en het is mijn inziens slim om er al eentje samen te stellen voor je aan de slag gaat.

code:

[admin@MikroTik] > /ip fi fi e  
# jan/28/2014 19:37:02 by RouterOS 6.7
# software id = TWA4-HQKU
#
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=log chain=input comment="DNS WAN requests logging" dst-port=53 log-prefix=Drop protocol=udp \
    src-address=!192.168.2.0/24 src-port=""
add action=add-src-to-address-list address-list=dns_wan address-list-timeout=2d chain=input comment=\
    "DNS WAN requests to list" dst-port=53 protocol=udp src-address=!192.168.2.0/24 src-port=""
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=\
    !192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop Port scanners" src-address-list="port scanners"
add action=drop chain=input comment="Drop FTP brute forcers" dst-port=21 protocol=tcp src-address-list=\
    ftp_blacklist
add chain=input comment=LAN src-address=192.168.2.0/24
add chain=input comment="SSH LAN" dst-port=8722 in-interface=bridge-local protocol=tcp
add chain=input comment="Webinterface LAN" dst-port=80 in-interface=bridge-local protocol=tcp
add chain=input comment="WinBox LAN" dst-port=8291 in-interface=bridge-local protocol=tcp
add action=log chain=input comment="Firewall logging" disabled=yes log-prefix=Drop
add action=drop chain=input comment="Drop everything else"

[admin@MikroTik] > /ip fi nat e
# jan/28/2014 19:28:28 by RouterOS 6.7
# software id = TWA4-HQKU
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0

Zelf heb ik de router ook aan Zabbix gehangen (met Net_RouterOS en deze templates, die wel iets aangepast moesten worden).

Afbeeldingslocatie: http://i.imgur.com/aqrW7QWl.png

Naar aanleiding van Net_RouterOS ben ik een plan aan het bedenken voor het clusteren van Mikrotik apperatuur, om bijvoorbeeld een mesh netwerk vanuit 1 custom webpagina te kunnen beheren.

Pagina: 1

Dit topic is gesloten.