[MikroTik-apparatuur] Ervaringen & Discussie

[ Voor 39% gewijzigd door moppentappers op 11-03-2014 01:24 ]

moppentappers schreef op dinsdag 11 maart 2014 @ 01:21:
Ik zag een tijdje geleden alweer MikroTik Cloud Core routers en hoopte toen dat er een mogelijkheid in zat om bijvoorbeeld net zoals we dat nu al doen met Unifi accesspoints deze routers op een praktische manier op afstand te beheren, helaas lijkt dat niet wat wordt bedoeld met cloud.

FatalError schreef op dinsdag 11 maart 2014 @ 08:06:
[...]


Mikrotik staat op het punt een accesspoint controller software package voor routeros uit te brengen. Eerst als beta, en op vrij korte termijn de final.

FatalError schreef op dinsdag 11 maart 2014 @ 08:21:
Ik gebruik zelf al vele jaren Mikrotik apparatuur. Ik ben begonnen met een Routerboard RB600A en RouterOS 3.x.

Momenteel draai ik met wat buren een netwerkje welke voor een groot deel uit Mikrotik bestaat.
Het gaat nu om 3 woningen (worden er nog meer) welke via wireless met elkaar verbonden zijn. Alles is gerouteerd via OSPF en OSPFv3. Als internet van een van ons uitvalt gaat internet via de dichtstbijzijnde buurman.
Verder draait er VPLS zodat we bepaalde VLAN's makkelijk kunnen transporteren, bijvoorbeeld van IPTV.
Verder gebruiken we allemaal Mikrotik voor de Accesspoints in huis.

Momenteel draaien we de volgende Mikrotik spullen:
x86 bakje (Intel DN2800MT, met 3 wifi kaarten) met RouterOS
RB600A (gaat vervangen worden door een x86 bak zoals ^^)
RB1100Hx2
RB411???
RB912UAG-5HPnD
RB250G
De rest van de spullen bestaat uit Netgear GS108Tv2 en GS110TP managed switches en een Juniper SRX210HE2 router.

Op de plank:
2x RB450G
RB600A

De derde woning is nog in aanbouw qua netwerk en er komt nog een vierde woning aan die via Wifi verbonden gaat worden. Daarnaast gaan we nog minstens 2 woningen via VPN koppelen.
Ook gaan we komend jaar deels upgraden naar 802.11ac.

Het draait allemaal heel erg goed. De snelheden zijn hoog en de boel is stabiel, de beste verbinding haalt via Wifi meer dan 200 mbit/s. We hebben één keer wat vaags gehad met VPLS, maar ook dat draait weer goed.
Kortom, we zijn heel erg tevreden met Mikrotik

[ Voor 17% gewijzigd door woutertje op 13-03-2014 13:56 ]

[ Voor 61% gewijzigd door Semper Fight op 14-03-2014 08:44 ]

[ Voor 68% gewijzigd door ShadowBumble op 20-03-2014 08:10 ]

CyBeR schreef op donderdag 20 maart 2014 @ 08:26:
Waarom openvpn? Mikrotik en iOS ondersteunen beide L2TP/IPSec.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[admin@RB951G] /ip firewall> filter print
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Drop Invalid connections
     chain=input action=drop connection-state=invalid 
 1   ;;; Allow Established connections
     chain=input action=accept connection-state=established 
 2   ;;; Allow ICMP
     chain=input action=accept protocol=icmp 
 3   chain=input action=accept src-address=<vlansubnet1> in-interface=!Internet 
 4   chain=input action=accept src-address=<vlansubnet2> in-interface=!Internet 
 5   chain=input action=accept src-address=<vlansubnet3> in-interface=!Internet 
 6   chain=input action=accept src-address=<vlansubnet4> in-interface=!Internet 
 7   chain=input action=accept src-address=<vlansubnet5> in-interface=!Internet 
 8   chain=input action=accept src-address=<vlansubnet6> in-interface=!Internet 
 9   ;;; Drop everything else
     chain=input action=drop

[ Voor 66% gewijzigd door ShadowBumble op 20-03-2014 09:59 ]

ShadowBumble schreef op donderdag 20 maart 2014 @ 08:08:
@Electra, Ook hier sinds een tijdje zeer tevreden gebruiker van de RB951G-2HnD kan je aangeven waarom je voorkeur bij de RB2011UiAS-2HnD-IN ligt ?

Het verschil tussen de RB2011UiAS-2HnD-IN & RB951G-2HnD zijn namelijk alleen dat je bij de RB2011 nog fastethernet interfaces extra hebt, een SFP slot en externe Wifi antenne's ( en een L5 license ipv L4 maar geloof me L4 is al way meer dan je werkelijk gebruikt ).

Overigens nog wel extreem aan het stoeien voor een fatsoenlijke ovpn setup voor op mijn mikrotik voor de ipad mini, heb er nu maar even een OpenVPN appliance in de ESXi geladen om remote toch wat te kunnen maar das wel zwaar onduidelijk vind ik.

maomanna schreef op maandag 24 maart 2014 @ 15:32:
Ik heb onlangs mijn RB2011 vervangen door een CRS125. Maar ondanks dat het lekker werkt, is de CRS wel een van een zwaarder caliber. Met name de extra poorten op 1gbit en vlan op mac adres hebben mij doen overtuigen om over te gaan tot aanschaf hiervan.

Het vlan op mac adres werkt nog niet, dat is nog een to-do. Heeft intern een hoge doorvoer aan data. gaat regelmatig tegen de 1100mbit aan.

Al met al een mooi en degelijk dingetje!

[ Voor 12% gewijzigd door ihre op 24-03-2014 15:44 ]

Dred schreef op dinsdag 25 maart 2014 @ 09:51:
... Gebruikt je veel firewall regels/queues/dat soort spul? Hier zijn die zo ingesteld dat die eigenlijk heel weinig doen, het firewall/queue/natting/... gedoe gebeurt op een RB1100AHx2.
Heb je ook drops in snelheid als hij 100% CPU gebruikt?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

[admin@MikroTik] > /ip fi e   
# mar/25/2014 12:18:42 by RouterOS 6.7
# software id = TWA4-HQKU
#
/ip firewall address-list
add address=192.168.2.0/24 comment="LAN Access" list=support
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=log chain=input comment="DNS WAN requests logging" disabled=yes dst-port=53 log-prefix=Drop protocol=udp src-address=!192.168.2.0/24 src-port=""
add action=add-src-to-address-list address-list=dns_wan address-list-timeout=2d chain=input comment="DNS WAN requests to list" dst-port=53 protocol=udp src-address=!192.168.2.0/24 src-port=""
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add chain=input comment=domain.nl src-address=v.p.s.ip
add chain=input comment=UDP disabled=yes protocol=udp
add action=log chain=input comment="Firewall logging" disabled=yes log-prefix=Drop
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="RDP" dst-address=w.a.n.ip dst-port=4489 protocol=tcp to-addresses=192.168.2.115 to-ports=3389
add action=dst-nat chain=dstnat comment="OVPN Nas" dst-address=w.a.n.ip dst-port=1194 protocol=udp to-addresses=192.168.2.110 to-ports=1194
add action=dst-nat chain=dstnat comment="ruTorrent Nas" dst-address=w.a.n.ip dst-port=49163 protocol=tcp to-addresses=192.168.2.110 to-ports=49163
add action=dst-nat chain=dstnat comment="Zabbix Agent Nas" dst-address=w.a.n.ip dst-port=10050 protocol=tcp to-addresses=192.168.2.110 to-ports=10050
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes

[admin@MikroTik] > /ipv6 fi e
# mar/25/2014 12:19:20 by RouterOS 6.7
# software id = TWA4-HQKU
#
/ipv6 firewall filter
add chain=input comment="Allow established connections" connection-state=established
add chain=input comment="Allow related connections" connection-state=related
add chain=input comment="Allow limited ICMP" limit=50/5s,5 protocol=icmpv6
add chain=forward comment="Allow any ipv6 to internet" limit=50/5s,5 out-interface=sixxs
add chain=input comment="Allow UDP" disabled=yes protocol=udp
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward comment="Drop everything else"

[ Voor 3% gewijzigd door ihre op 25-03-2014 21:10 ]

ihre schreef op maandag 24 maart 2014 @ 15:40:
[...]


Als ik de specs mag geloven verschillen de CRS125 en de RB2011 vrijwel niet qua hardware (aantal rj45 poorten en de usb poort laat ik achterwege). Je geeft aan dat de CRS van zwaarder caliber is, waar merk je dit aan?

http://i.mt.lv/routerboard/files/RB2011UAS_2HnD.pdf
http://i.mt.lv/routerboar...-2HnD-IN-131025130624.pdf

De RB951G heeft ook vergelijkbare hardware: http://i.mt.lv/routerboard/files/RB951G-2HnD.pdf

Het viel mij laatst op, dat als ik met nieuwsgroepen download (zo rond de 9,5MB/s), het CPU verbruik regelmatig richting de 100% spiked op mijn RB951G.

maomanna schreef op dinsdag 25 maart 2014 @ 17:04:
[...]


Het zit m met name in de software. Deze is stukken uitgebreider dan de RB2011.
Ingress en egress vlans, vlan obv mac adressen, protocol based dingen.

De RB2011 handelt de VLANs schijnbaar af via de CPU en de CRS125 via de switchchip.
Met name de switchchip opties zijn stukken uitgebreider. Het is dan ook een L3 switch ipv een L2 switch.

hanzer schreef op woensdag 02 april 2014 @ 11:01:
Ik ga nu als beginner overkomen, maar vraag me af waarom Mikrotik en Ubiquity steeds in 1 adem uitgesproken worden?

Zit hier 1 bedrijf achter?

Zeker tevreden van, maar van die 30dbm zendvermogen merk ik niets (ook niet op andere land instellingen)...

[ Voor 5% gewijzigd door CyBeR op 02-04-2014 11:06 ]

lier schreef op woensdag 23 april 2014 @ 13:38:
Een "nadeel" van de RB951 is dat de antennes in de behuizing zitten. Het is dus niet mogelijk om antennes te richten (terwijl dit bij de RB2011 wel mogelijk is). Daarnaast heeft de(ze) RB2011 Poe op een poort, geen idee of dit voor jou interessant is?

Uiteindelijk lijkt het mij het makkelijkste om beide modellen met elkaar te vergelijken om op basis van de prijs/pret verhouding de voor jou beste keuze te maken.

[ Voor 81% gewijzigd door Reloader op 07-05-2014 13:05 ]

Reloader schreef op woensdag 07 mei 2014 @ 12:48:
dit is zomaar een testje, want deze mikrotik gaat eerdaags weer weg, dan bestel ik voor mezelf een RB2011 of misschien toch een 951

het werkt nog steeds niet, maar misschien ligt het toch nog aan de ubee die er tussen hangt...


okee dit is de blunder van de week... je moet natuurlijk wel ff op enable klikken ....


is het nu mogelijk om een DMZ aan te maken of in iedersgeval een reeks poorten op te geven?
anders ben ik nog een heleboel mappings aan het maken

[ Voor 45% gewijzigd door Gusto op 31-05-2014 02:42 ]

Gusto schreef op woensdag 28 mei 2014 @ 20:13:
Na de reacties hier, zelf een RB2011UiAS-2HnD-IN gekocht , wat een geweldige router, en z'n lage prijs
Wel even wennen aan routeros

[ Voor 32% gewijzigd door Gusto op 31-05-2014 09:59 ]

[ Voor 15% gewijzigd door M@rijn op 08-06-2014 10:58 ]

FatalError schreef op dinsdag 11 maart 2014 @ 08:06:
[...]


Mikrotik staat op het punt een accesspoint controller software package voor routeros uit te brengen. Eerst als beta, en op vrij korte termijn de final.

M@rijn schreef op zondag 08 juni 2014 @ 19:28:
Ik zag in de nieuwsbrief al wel wat voorbij komen van CAPsMAN, volgens mij is dat hetgene waar je op doelt?

http://wiki.mikrotik.com/wiki/Manual:CAPsMAN

[ Voor 69% gewijzigd door CyBeR op 20-06-2014 20:11 ]

[ Voor 33% gewijzigd door pafdaddy op 21-06-2014 15:36 ]

[ Voor 46% gewijzigd door Brummetje op 26-06-2014 09:04 ]

Brummetje schreef op dinsdag 24 juni 2014 @ 13:47:
Zojuist ook een RB2011UiAS-2HnD-IN besteld voor mijn gister opgeleverde KPN glasvezel (100/100)... Na 1 dag was ik er al klaar mee dat er te veel dicht staat dus dan maar meteen goed oplossen. Moest sowieso nog een ander draadloos hebben en een router die VPN tunnel ondersteund.

Nu kan ik alleen nergens vinden wat de throughput is over de VPN en ik zag de vraag hier al eerder langs komen in het topic maar nog geen antwoord helaas. Is er toevallig al iemand die hier wat meer over kan vertellen of die dit zou kunnen testen?

Gister avond de config (linkje) files ingeladen om de router werkend te krijgen met het KPN glasvezel. Dit ging niet helemaal soepel omdat ik in het begin de melding kreeg dat bepaalde dingen al bestonde zoals de switch en de bridge. Deze zijn natuurlijk standaard op het apparaat aanwezig en kun je ook niet zomaar weg halen. De bestaande objecten hernoemen gaf ook niet het gewenste resultaat.

Uiteindelijk maar de router gereset en gezegd dat hij de config direct daarna moest inladen en hierna werkte het direct! Daarna nog even een extra IPTV poort toegevoegd zodat het er 2 zijn i.p.v. 1!

Voor het apparaat heb je zoals overal gezegd wel wat kennis nodig en mijn kennis van VLAN's is niet heel groot maar het was genoeg om het werkend te krijgen en het één en ander aan te passen. Vanavond even wat snelheidstests doen en bezig met de port-forwardings.

[ Voor 5% gewijzigd door Pakjebakmeel op 26-06-2014 18:19 ]

deepbass909 schreef op vrijdag 27 juni 2014 @ 11:27:
Lukt het met een RouterBOARD wel? Ik hoop dat het hogere zendvermogen een oplossing kan bieden namelijk.

FreshMaker schreef op zondag 29 juni 2014 @ 19:14:
Na wat uitzoekwerk kom ik er niet echt uit, of de Mikrotik's dit kunnen ....

Ik zou graag de router ( CRS125 ) inzetten als een "all-in" punt op een KPN DSLverbinding, en de experia uitfaseren ( simpelweg in bridge )
Nu mijn 'wens'

Is het mogelijk dat er op mac-adres gerouteerd wordt ?
Dus dat de eigen pc's in huis gewoon één op één naar buiten gaan, via het KPN-ip, en de bedrijfs-devices bij aanmelden op het netwerk herkend worden als 'niet prive' en de verbinding opbouwt over een vpn -> bedrijf ( en dus direct extern aanmelden zonder tussenkomst van de gebruiker.

Ik ben al aan het spitten in VLANs maar kan het niet vinden.

maomanna schreef op donderdag 26 juni 2014 @ 11:49:
Je hebt de IPTV poorten wel op de 100mbit's gezet toch?
Dan hou je de snelheid over waar je hem wel kan benutten, namelijk je pc's en ander bedraad spul.

Pakjebakmeel schreef op donderdag 26 juni 2014 @ 18:13:
[...]


Qua VPN denk ik dat je moet rekenen op een Mbit of 20 tot 35 afhankelijk van welk soort VPN en voornamelijk de encryptie.

Encryptie is de bottleneck voor een routerboard zonder crypto acceleratie. (Dat heeft deze niet toch?)

Mijn rb493g deed 32mbit IPSec op aes256 en die is qua CPU redelijk vergelijkbaar.

edit:

IPSec/L2TP 30 Mbit blijkbaar:

http://forum.mikrotik.com/viewtopic.php?t=78034

Ik deed IPSec zonder L2TP dus daarom ietsje sneller maar dit is wel wat ik verwacht.

[ Voor 8% gewijzigd door allure op 03-07-2014 19:56 ]

Gusto schreef op donderdag 03 juli 2014 @ 21:28:
Moet ik stroom er af gehaald lezen als stekker uit het stopcontact? Zo zet je je pc toch ook niet uit?
Update de software en firmware eens naar de laatste versies? (software 6.15 en firmware 3.16)

allure schreef op donderdag 03 juli 2014 @ 22:05:
[...]


De routers waar ik eerder mee gewerkt heb hadden geen functie om de router echt uit te zetten, heeft routerOS dit wel?

ihre schreef op donderdag 03 juli 2014 @ 21:49:
Zou je default firewall eens willen posten?

in een terminal /ip fi fi ex en /ip fi nat ex

The Executer schreef op donderdag 03 juli 2014 @ 23:21:
[...]


Draai ik morgen even voor je. Zit nu op de smartphone te werken waarbij ik op de console geen tekst in kan voeren. Op zoek naar iets specifieks?

ihre schreef op donderdag 03 juli 2014 @ 23:30:
[...]


Nee, zelf heb ik een prima stel regels in mijn firewall staan. Heb mijn RB951G echter tweedehands gekocht, en vraag me gewoon af wat voor rules Mikrotik voor een default config definieert.

ShadowBumble schreef op vrijdag 04 juli 2014 @ 00:35:
[...]


Ik heb er juist zeer weinig instaan tot op heden weinig nut voor gehad maar ook omdat ik nog een goede begin set zoek die doet wat ik wil ivm meerdere clans

1
2
3
4
5
6

add action=drop chain=input\
comment="Block all access to webfig - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=80 protocol=tcp src-address-list=!support
add action=drop chain=input\
comment="Block all DNS requests -  except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=53 protocol=udp src-address-list=!support

[ Voor 18% gewijzigd door ihre op 04-07-2014 08:18 ]

ihre schreef op vrijdag 04 juli 2014 @ 08:15:
[...]


Meerdere clans, bedoel je daarmee letterlijk gaming clans? Wat hebben die met firewall rules te maken?

Qua begin sets is er veel op de Mikrotik Wiki te vinden, de meeste van mijn rules heb ik samengesteld uit meerdere artikelen.

\[Ervaringen/discussie] MikroTik-apparatuur
http://wiki.mikrotik.com/wiki/Home_Firewall
http://wiki.mikrotik.com/...universal_firewall_script <-- Bij deze heeft WAN wel toegang tot de Webfig pagina, en DNS requests via je WAN interface worden uitgevoegd, dus heb ik het volgende er aan toegevoegd:

code:

1 2 3 4 5 6

add action=drop chain=input\ comment="Block all access to webfig - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\ disabled=yes dst-port=80 protocol=tcp src-address-list=!support add action=drop chain=input\ comment="Block all DNS requests - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\ disabled=yes dst-port=53 protocol=udp src-address-list=!support

Beide rules staan dus op disabled, en zul je zelf moeten aanzetten op het moment dat je firewall rules compleet zijn. Mocht je een Mikrotik als enige router gebruiken, met bvb KPN Glasvezel, raad ik eigenlijk aan om een goede firewall samen te stellen voordat je de router in gebruik gaat nemen.

allure schreef op vrijdag 04 juli 2014 @ 22:09:
Ik heb een script op de DDNS bij No-ip current te houden, en dit script werkt prima.
Nou, ben ik NAT entry's aan het aanmaken en nu houd ik bij destination address het ip van mijn WAN aan.
Maar dan staat dit ip dus hard ingevuld, als ik een ander WAN adres krijg moet ik alle NAT entry's gaan wijzigen, dit is natuurlijk niet dynamisch.

Hoe doen jullie dit?

[ Voor 120% gewijzigd door allure op 05-07-2014 10:09 ]