[MikroTik-apparatuur] Ervaringen & Discussie

zaterdag 5 juli 2014 12:09

Acties:

0 Henk 'm!

Pay peanuts, get monkeys.

om te zorgen dat je interne lan niet wordt beïnvloed door je nat regels hier een voorbeeld

5 ;;; FORWARD-FTP
chain=dstnat action=dst-nat to-addresses=192.168.178.21 to-ports=21
protocol=tcp src-address-list=!INSIDE-LAN dst-port=21

de src-address-list=!INSIDE-LAN is je locale subnet die staat gespecificeerd in je adres list
je kan het ook als volgt doen :

7 I ;;; NAT-TEMP-CLIENT
chain=dstnat action=dst-nat to-addresses=192.168.178.21 to-ports=5000
protocol=tcp src-address=!192.168.0.0/16 dst-port=80

[ Voor 3% gewijzigd door DutchITMaster op 05-07-2014 13:17 ]

Netwerk Engineer

zondag 6 juli 2014 21:32

Acties:

0 Henk 'm!

ihre

Zojuist toch maar een CRS125-24G-1S-2HND-IN besteld, ik kijk vooral uit naar mac based vlan switching !

woensdag 9 juli 2014 00:47

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

ihre schreef op donderdag 03 juli 2014 @ 21:49:
Zou je default firewall eens willen posten?

in een terminal /ip fi fi ex en /ip fi nat ex

Ik had je beloofd dit te draaien, maar het is er afgelopen week niet van gekomen. Hierbij alsnog. Software ID even weggehaald, weet niet of hier iets mee gedaan kan worden. Uitgevoerd na een reset, dus schone informatie.

code:

[admin@MikroTik] > /ip fi fi ex
# jan/02/1970 00:06:19 by RouterOS 5.26
# software id = ****-****
#
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no \
    protocol=icmp
add action=accept chain=input comment="default configuration" \
    connection-state=established disabled=no
add action=accept chain=input comment="default configuration" \
    connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no \
    in-interface=ether1-gateway
add action=accept chain=forward comment="default configuration" \
    connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" \
    connection-state=related disabled=no
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid disabled=no

code:

[admin@MikroTik] > /ip fi nat ex
# jan/02/1970 00:06:29 by RouterOS 5.26
# software id = ****-****
#
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
    no out-interface=ether1-gateway

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 9 juli 2014 09:22

Acties:

0 Henk 'm!

FatalError

De volgende RouterOS versie gaat 802.11ac ondersteunen:
wireless-fp package now includes experimental 802.11ac support for QC9880/9882 chipsets

Er komende ook diverse 802.11ac routerboards aan.

If it ain't broken, tweak it!

woensdag 9 juli 2014 10:33

Acties:

0 Henk 'm!

_-= Erikje =-_

en hopelijk ook iets met 1 ethernet poort een een AC radio (nog liever dualband

) zou leuk zijn voor capsman

woensdag 9 juli 2014 11:07

Acties:

0 Henk 'm!

FatalError

Ja, dat komt eraan. Er staan foto's van de FCC op internet met plaatjes van AC Mikrotiks.
Dual-band zat er niet bij, maar wel bordjes waar je naast de onboard 5GHz AC nog een 2.4GHz N kaart kan plaatsen.

If it ain't broken, tweak it!

donderdag 10 juli 2014 07:42

Acties:

0 Henk 'm!

FreshMaker

Wifi

Ik ben benieuwd naar de mAP

micro AP (or CPE)
• PoE injector 8-57V
• Built in 2GHz AP
• microUSB for modem,
or for powering AP
• Any PoE in 802.3af and
802.3at
• Passive PoE output

Mooi kleine AP, en volgens de verwachtingen niet te duur

http://mum.mikrotik.com/presentations/IT14/it14.pdf
( mikrotik forum )

donderdag 10 juli 2014 09:02

Acties:

0 Henk 'm!

FatalError

Vorige week hebben we een RB600A vervangen door een RB953GS-5HnT. Het ding draait erg goed.
Nu AC ondersteuning in de komende softwarerelease zit kunnen we daar gelijk AC kaartjes voor kopen

If it ain't broken, tweak it!

donderdag 10 juli 2014 09:05

Acties:

0 Henk 'm!

maomanna

ja dat klinkt zeker goed! samen met Capsman wordt het tijd om het wifi gebeuren te verbeteren

Maar lees wel veel failures over de 6.16RC software.

De Qualcomm QCA9880 schijnt de enigste te zijn die op dit moment wordt ondersteunt.
Erg lastig te vinden.

[ Voor 48% gewijzigd door maomanna op 10-07-2014 09:09 ]

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

donderdag 10 juli 2014 10:32

Acties:

0 Henk 'm!

FatalError

Op ebay staan er genoeg, en anders bij compexshop ofzo. Het moet wel allemaal uit het buitenland komen.

If it ain't broken, tweak it!

donderdag 10 juli 2014 17:02

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

The Executer schreef op woensdag 09 juli 2014 @ 00:47:
# jan/02/1970 00:06:19 by RouterOS 5.26

Je loopt een major OS version achter

Tenzij dat bewust was, maar volgens mij backporten ze geen security fixes?

donderdag 10 juli 2014 21:34

Acties:

0 Henk 'm!

The Fatal

Na aanleiding van een eerder probleem/uitdaging dat ik had( Routing problemen VPN) heb ik via een mede tweaker(djkavaa) een RB2011UiAS-2HnD-IN overgenomen.
Na wat lopen spelen, aangezien ik weinig ervaring had behalve normale consument routers toch alles redelijk goed (hoop ik) voor elkaar gekregen.
WAN connectie naar Ethernet poort 10 verplaatst omdat ik toch maar een 90mbit internet lijn heb, dus 1Gbit is on-nodig) Dit gaf in het begin nog wel wat problemen, maar tot nu toe draait het al een aantal dagen goed stabiel, ook heb ik de VPN Server werkend gekregen (wat 1 van de hoofd reden was waarom ik voor Mikrotik gegaan was)

Dus tot nu toe goed te vrede!

Maar hoe kan ik controleren of de firewall instellingen etc allemaal goed zijn?
Heb daar naar gegoogled maar kon niet echt iets vinden wat ik begreep.
iemand ideeën?

vrijdag 11 juli 2014 08:52

Acties:

0 Henk 'm!

ihre

The Fatal schreef op donderdag 10 juli 2014 @ 21:34:
Na aanleiding van een eerder probleem/uitdaging dat ik had( Routing problemen VPN) heb ik via een mede tweaker(djkavaa) een RB2011UiAS-2HnD-IN overgenomen.
Na wat lopen spelen, aangezien ik weinig ervaring had behalve normale consument routers toch alles redelijk goed (hoop ik) voor elkaar gekregen.
WAN connectie naar Ethernet poort 10 verplaatst omdat ik toch maar een 90mbit internet lijn heb, dus 1Gbit is on-nodig) Dit gaf in het begin nog wel wat problemen, maar tot nu toe draait het al een aantal dagen goed stabiel, ook heb ik de VPN Server werkend gekregen (wat 1 van de hoofd reden was waarom ik voor Mikrotik gegaan was)

Dus tot nu toe goed te vrede!

Maar hoe kan ik controleren of de firewall instellingen etc allemaal goed zijn?
Heb daar naar gegoogled maar kon niet echt iets vinden wat ik begreep.
iemand ideeën?

Je zou de firewall configuratie hier kunnen posten, om even na te laten kijken. Eigenlijk zou je portscans tegen je publieke IP moeten draaien, om te kijken wat er terug komt. Mijn firewall gooit poortscanners in een list die 2 weken bijgehouden wordt.

Zo'n portscan zou je dus eigenlijk vanaf een ander IP dan je eigen moeten draaien (bijvoorbeeld een VPS). Heb je geen toegang tot een VPS, dan wil ik je daar best mee helpen. PM dan even

vrijdag 11 juli 2014 09:04

Acties:

0 Henk 'm!

_-= Erikje =-_

Hmm, mijn RB2011UiAS-2HnD-IN krijgt wat kuren, loop tegen watchdog resets aan (pas geleden geupgrade naar FW 6.13 & OS 6.15) misschien toch maar weer even downgraden

vrijdag 11 juli 2014 18:44

Acties:

0 Henk 'm!

The Fatal

ihre schreef op vrijdag 11 juli 2014 @ 08:52:
[...]

Je zou de firewall configuratie hier kunnen posten, om even na te laten kijken. Eigenlijk zou je portscans tegen je publieke IP moeten draaien, om te kijken wat er terug komt. Mijn firewall gooit poortscanners in een list die 2 weken bijgehouden wordt.

Zo'n portscan zou je dus eigenlijk vanaf een ander IP dan je eigen moeten draaien (bijvoorbeeld een VPS). Heb je geen toegang tot een VPS, dan wil ik je daar best mee helpen. PM dan even

hier een print van de firewall rules: Gateway-ETH10 is de "Wan" verbinding. De eerste
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; VPN
chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=500

1 chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=1701

2 chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=4500

3 chain=input action=accept protocol=ipsec-esp in-interface=Gateway-ETH10

4 ;;; default configuration
chain=input action=accept protocol=icmp

5 ;;; default configuration
chain=input action=accept connection-state=established

6 ;;; default configuration
chain=input action=accept connection-state=related

7 ;;; default configuration
chain=input action=drop in-interface=Fiber1-gateway

8 ;;; default configuration
chain=input action=drop in-interface=Gateway-ETH10

9 ;;; default configuration
chain=forward action=accept connection-state=established

10 ;;; default configuration
chain=forward action=accept connection-state=related

11 ;;; default configuration
chain=forward action=drop connection-state=invalid

12 ;;; Block Guest to Lan
chain=input action=drop src-address=192.168.10.0/24
dst-address=192.168.88.0/24

Is dit genoeg info?

vrijdag 11 juli 2014 18:44

Acties:

0 Henk 'm!

pafdaddy

The Fatal schreef op donderdag 10 juli 2014 @ 21:34:
Na aanleiding van een eerder probleem/uitdaging dat ik had( Routing problemen VPN) heb ik via een mede tweaker(djkavaa) een RB2011UiAS-2HnD-IN overgenomen.
Na wat lopen spelen, aangezien ik weinig ervaring had behalve normale consument routers toch alles redelijk goed (hoop ik) voor elkaar gekregen.
WAN connectie naar Ethernet poort 10 verplaatst omdat ik toch maar een 90mbit internet lijn heb, dus 1Gbit is on-nodig) Dit gaf in het begin nog wel wat problemen, maar tot nu toe draait het al een aantal dagen goed stabiel, ook heb ik de VPN Server werkend gekregen (wat 1 van de hoofd reden was waarom ik voor Mikrotik gegaan was)

Dus tot nu toe goed te vrede!

Maar hoe kan ik controleren of de firewall instellingen etc allemaal goed zijn?
Heb daar naar gegoogled maar kon niet echt iets vinden wat ik begreep.
iemand ideeën?

Shields Up

Dit bericht kan oorzaak of gevolg zijn van misverstanden.

vrijdag 11 juli 2014 19:12

Acties:

0 Henk 'm!

ihre

The Fatal schreef op vrijdag 11 juli 2014 @ 18:44:
[...]

<knip>

Is dit genoeg info?

Ik zou rule 0 tm 3 moven, zodat ze onder regel 6 komen te staan. Via winbox kun je gewoon shift-klikken en slepen. Verder staat alles dicht, het lijkt op de standaard firewall die The Executer wat eerder heeft gepost.

@ hierboven, persoonlijk vertrouw ik sites om m'n firewall te testen niet, but hey, thats me

[ Voor 11% gewijzigd door ihre op 11-07-2014 19:12 ]

vrijdag 11 juli 2014 19:18

Acties:

0 Henk 'm!

The Fatal

en wat is daar het idee achter om ze onder regel 6 te zetten?

vrijdag 11 juli 2014 19:19

Acties:

0 Henk 'm!

ihre

Omdat ze dan door de conntrack module opgepikt worden:

5 ;;; default configuration
chain=input action=accept connection-state=established

6 ;;; default configuration
chain=input action=accept connection-state=related

http://wiki.mikrotik.com/...ewall/Connection_tracking
http://wiki.mikrotik.com/...irewall/Filter#Properties

[ Voor 10% gewijzigd door ihre op 11-07-2014 19:21 ]

vrijdag 11 juli 2014 19:53

Acties:

0 Henk 'm!

The Fatal

ik heb ze verplaatst:

code:

Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; default configuration
     chain=input action=accept protocol=icmp 

 1   ;;; default configuration
     chain=input action=accept connection-state=established 

 2   ;;; default configuration
     chain=input action=accept connection-state=related 

 3   ;;; VPN
     chain=input action=accept protocol=udp in-interface=Gateway-ETH10 
     dst-port=500 

 4   chain=input action=accept protocol=udp in-interface=Gateway-ETH10 
     dst-port=1701 

 5   chain=input action=accept protocol=udp in-interface=Gateway-ETH10 
     dst-port=4500 

 6   chain=input action=accept protocol=ipsec-esp in-interface=Gateway-ETH10 

 7   ;;; default configuration
     chain=input action=drop in-interface=Fiber1-gateway 

 8   ;;; default configuration
     chain=input action=drop in-interface=Gateway-ETH10 

 9   ;;; default configuration
     chain=forward action=accept connection-state=established 

10   ;;; default configuration
     chain=forward action=accept connection-state=related 

11   ;;; default configuration
     chain=forward action=drop connection-state=invalid 

12   ;;; Block Guest to Lan
     chain=input action=drop src-address=192.168.10.0/24 
     dst-address=192.168.88.0/24

vrijdag 11 juli 2014 20:47

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

ihre schreef op vrijdag 11 juli 2014 @ 19:19:
Omdat ze dan door de conntrack module opgepikt worden:

Huh? Hoe bedoel je?

Suggereer je nu dat connections niet getracked worden als ze niet 'langs' een conntrack rule komen?

Zover mij bekend worden connections altijd getracked. Je move heeft praktisch nul effect, voor zover ik kan inschatten.

vrijdag 11 juli 2014 21:55

Acties:

0 Henk 'm!

ihre

Thralas schreef op vrijdag 11 juli 2014 @ 20:47:
[...]

Huh? Hoe bedoel je?

Suggereer je nu dat connections niet getracked worden als ze niet 'langs' een conntrack rule komen?

Zover mij bekend worden connections altijd getracked. Je move heeft praktisch nul effect, voor zover ik kan inschatten.

Ik had het anders moeten verwoorden, maar door de established & related rules bovenin de chain te zetten, wordt traffic met een dergelijke state direct doorgelaten zonder dat het verdere rules hoeft te passeren. Dat is het idee achter een stateful firewall.

zaterdag 12 juli 2014 00:09

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Then we're on the same page

Zie je er echter in de praktijk iets van terug? Als je echt een heleboel ingewikkelde rules hebt kan ik me voorstellen dat het wat uitmaakt, maar dat lijkt me in dit geval al snel verwaarloosbaar?

(Bovendien lijkt me een conntrack-table lookup vele malen trager dan enkel een check op een dest. port, maar welke volgorde van rules theoretisch efficienter is hangt van veel factoren af)

vrijdag 18 juli 2014 18:16

Acties:

0 Henk 'm!

Gusto

ROS 6.17 en FW 3.18 zijn uit

*) 802.11ac support added in wireless-fp package;
*) winbox - fixed random disconnection over encrypted tunnels;
*) l2tp, pptp, pppoe - fixed possible packet corruption when encryption was enabled;
*) ovpn - fixed ethernet mode;
*) certificates - use SHA256 for fingerprinting;
*) ipsec - fix AH proposal and problem when sometimes policy was not generated;
*) snmp - support AES encryption (rfc3826);
*) l2tp server: added option to enable IPsec automatically;
*) poe-out: added power-cycle-ping and power-cycle-interval settings;
*) gps - increased retry duration to 30 seconds;
*) time - on routerboards, current time is saved in configuration on reboot
and on clock adjustment, and is used to set initial time after reboot;
*) sntp - disabling/enabling client was causing dynamic-servers to be ignored
(bug introduced in 6.14);
*) CCR - fixed rare file system corruption when none
of configuration could be changed or some of it disappeared;
*) ipsec - allow multiple encryption algorithms per peer;
*) email - support tls only connections;
*) smb - fixed usb share issues after reboot
*) snmp - fix v3 protocol time window checks;
*) updated timezone information;
*) quickset - added VPN settings for HomeAP mode;
*) latency improvements on CCR devices;

What's new in 6.17 (2014-Jul-18 15:14):

*) CCR1009 - fixed crash;

[ Voor 95% gewijzigd door Gusto op 18-07-2014 18:34 ]

zondag 20 juli 2014 19:38

Acties:

0 Henk 'm!

laroyj

VPN quickset werkt (nog) niet in de nieuwe 6.17 software....

Ik slaag er maar niet in op mijn CRS125 om VPN werkend te krijgen, raak ingelogd vanop een pc maar geen netwerk en internetverbinding...

Kan hier iemand punt per punt uitleggen hoe VPN PPTP in te stellen? firewallrules , NAT etc...
gebruik als LANIP voor de CRS 125: 192.168.1.254 en op eth1 zit een kabelaansluiting als gateway

maandag 21 juli 2014 09:56

Acties:

0 Henk 'm!

_-= Erikje =-_

hoe doe je je routing? zit alles in hetzelfde subnet (proxy arp moet dan aan) of zit je in een ander subnet (dan moet je wel weer zorgen dat je routes over je VPN hebt)

maandag 21 juli 2014 10:46

Acties:

0 Henk 'm!

maomanna

laroyj schreef op zondag 20 juli 2014 @ 19:38:
VPN quickset werkt (nog) niet in de nieuwe 6.17 software....

Ik slaag er maar niet in op mijn CRS125 om VPN werkend te krijgen, raak ingelogd vanop een pc maar geen netwerk en internetverbinding...

Kan hier iemand punt per punt uitleggen hoe VPN PPTP in te stellen? firewallrules , NAT etc...
gebruik als LANIP voor de CRS 125: 192.168.1.254 en op eth1 zit een kabelaansluiting als gateway

Als ik het goed begrijp zou je op de interface de ARP instelling aanpassen naar Proxy-arp

http://wiki.mikrotik.com/...#Connecting_Remote_Client
Onderaan van dit deel

*edit*

Zie hierboven ook.

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

maandag 21 juli 2014 17:14

Acties:

0 Henk 'm!

laroyj

dit is mijn rsc export file:
graag aanpassen voor vpn pptp server : login user1 , paswoord : 12345
vpn-ip pool naar keuze....

Bijkomend had ik graag ip failover gedaan, op eth& heb ik nu een kabelaansluiting met dynamisch public ip wat kwasi nooit veranderd, op eth24 had ik graag een belgacom pppoe vdsl2 dynamisc internet aangesloten die overneemt van eth1 wanneer internet daar zou wegvallen, pingen naar 8.8.8.8 ter controle...evt als 3de failover heb ik nog een internetverbinding waar ik ook reeds een dynamische ip krijg..
HET INTERNE NETWERK 192.168.1.0-255 moet bij alle providers dezelfde blijven !
Ik gebruikte tot op heden een drautek 2920 met dual WAN en dit werkte perfect...

Verder hoe in te stellen voor dyndns, als voorbeeld gebruiken: username: ikke paswoord: abcd123
host : ikke.dyndns.org ,

script:
# jul/18/2014 20:20:05 by RouterOS 6.17
# software id = JYUS-6X5G
#
/interface ethernet
set [ find default-name=ether1 ] comment=TELENET-PUBLIC-IP name=\
ether1-gateway
set [ find default-name=ether2 ] comment=FLUKSO name=ether2-master-local
set [ find default-name=ether3 ] comment=SMA-SB5000 master-port=\
ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] comment=SMA-SB1600 master-port=\
ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] comment=RICOH-A3-PRINTER master-port=\
ether2-master-local name=ether5-slave-local
set [ find default-name=ether6 ] master-port=ether2-master-local name=\
ether6-slave-local
set [ find default-name=ether7 ] master-port=ether2-master-local name=\
ether7-slave-local
set [ find default-name=ether8 ] master-port=ether2-master-local name=\
ether8-slave-local
set [ find default-name=ether9 ] master-port=ether2-master-local name=\
ether9-slave-local
set [ find default-name=ether10 ] master-port=ether2-master-local name=\
ether10-slave-local
set [ find default-name=ether11 ] comment=DRAYTEK-THUISDNS-RESERVE \
master-port=ether2-master-local name=ether11-slave-local
set [ find default-name=ether12 ] master-port=ether2-master-local name=\
ether12-slave-local
set [ find default-name=ether13 ] master-port=ether2-master-local name=\
ether13-slave-local
set [ find default-name=ether14 ] master-port=ether2-master-local name=\
ether14-slave-local
set [ find default-name=ether15 ] master-port=ether2-master-local name=\
ether15-slave-local
set [ find default-name=ether16 ] master-port=ether2-master-local name=\
ether16-slave-local
set [ find default-name=ether17 ] master-port=ether2-master-local name=\
ether17-slave-local
set [ find default-name=ether18 ] master-port=ether2-master-local name=\
ether18-slave-local
set [ find default-name=ether19 ] master-port=ether2-master-local name=\
ether19-slave-local
set [ find default-name=ether20 ] master-port=ether2-master-local name=\
ether20-slave-local
set [ find default-name=ether21 ] master-port=ether2-master-local name=\
ether21-slave-local
set [ find default-name=ether22 ] master-port=ether2-master-local name=\
ether22-slave-local
set [ find default-name=ether23 ] master-port=ether2-master-local name=\
ether23-slave-local
set [ find default-name=ether24 ] master-port=ether2-master-local name=\
ether24-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-gateway comment=TELENET-PUBLIC-IP discover=no
set ether2-master-local comment=FLUKSO
set ether3-slave-local comment=SMA-SB5000
set ether4-slave-local comment=SMA-SB1600
set ether5-slave-local comment=RICOH-A3-PRINTER
set ether11-slave-local comment=DRAYTEK-THUISDNS-RESERVE
set sfp1-gateway discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.1.200-192.168.1.240
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2-master-local name=default
/port
set 0 name=serial0
/interface ethernet switch port
set 0 dscp-based-qos-dscp-to-dscp-mapping=no
set 1 dscp-based-qos-dscp-to-dscp-mapping=no
set 2 dscp-based-qos-dscp-to-dscp-mapping=no
set 3 dscp-based-qos-dscp-to-dscp-mapping=no
set 4 dscp-based-qos-dscp-to-dscp-mapping=no
set 5 dscp-based-qos-dscp-to-dscp-mapping=no
set 6 dscp-based-qos-dscp-to-dscp-mapping=no
set 7 dscp-based-qos-dscp-to-dscp-mapping=no
set 8 dscp-based-qos-dscp-to-dscp-mapping=no
set 9 dscp-based-qos-dscp-to-dscp-mapping=no
set 10 dscp-based-qos-dscp-to-dscp-mapping=no
set 11 dscp-based-qos-dscp-to-dscp-mapping=no
set 12 dscp-based-qos-dscp-to-dscp-mapping=no
set 13 dscp-based-qos-dscp-to-dscp-mapping=no
set 14 dscp-based-qos-dscp-to-dscp-mapping=no
set 15 dscp-based-qos-dscp-to-dscp-mapping=no
set 16 dscp-based-qos-dscp-to-dscp-mapping=no
set 17 dscp-based-qos-dscp-to-dscp-mapping=no
set 18 dscp-based-qos-dscp-to-dscp-mapping=no
set 19 dscp-based-qos-dscp-to-dscp-mapping=no
set 20 dscp-based-qos-dscp-to-dscp-mapping=no
set 21 dscp-based-qos-dscp-to-dscp-mapping=no
set 22 dscp-based-qos-dscp-to-dscp-mapping=no
set 23 dscp-based-qos-dscp-to-dscp-mapping=no
set 24 dscp-based-qos-dscp-to-dscp-mapping=no
set 25 dscp-based-qos-dscp-to-dscp-mapping=no
/ip address
add address=192.168.1.254/24 comment="default configuration" interface=\
ether2-master-local network=192.168.1.0
/ip cloud
set enabled=yes
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
no interface=ether1-gateway
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
no interface=sfp1-gateway
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
192.168.1.254,8.8.8.8,8.8.4.4 gateway=192.168.1.254
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.254 name=router
/ip firewall filter
add chain=input comment="Winbox PUBLIC" dst-port=8291 protocol=tcp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
sfp1-gateway
add action=drop chain=input comment="default configuration" in-interface=\
ether1-gateway
add chain=forward comment="default configuration" connection-state=\
established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=sfp1-gateway
add action=dst-nat chain=dstnat comment="ata-186 stun" dst-port=3478 \
in-interface=ether1-gateway protocol=udp to-addresses=192.168.1.120 \
to-ports=3478
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=8291 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.1.254 to-ports=8291
add action=dst-nat chain=dstnat comment=slingbox dst-port=5001 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.1.253 to-ports=5001
add action=dst-nat chain=dstnat comment=flukso dst-port=8167 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.1.167 to-ports=8167
add action=dst-nat chain=dstnat comment="ata-186 SIP telephone" dst-port=5060 \
in-interface=ether1-gateway protocol=udp to-addresses=192.168.1.120 \
to-ports=5060
add action=dst-nat chain=dstnat comment="ata-186 mediaport" dst-port=16384 \
in-interface=ether1-gateway protocol=udp to-addresses=192.168.1.120 \
to-ports=16384
add action=dst-nat chain=dstnat comment=dvr-16ch-264h dst-port=7830 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.66 \
to-ports=7830
add action=dst-nat chain=dstnat comment=dvr-16ch-264h dst-port=7830 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.66 \
to-ports=7830
add action=dst-nat chain=dstnat comment=vpn-pptp dst-port=1723 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.1.254 to-ports=1723
add action=dst-nat chain=dstnat comment=storagelan dst-port=7777 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.77 \
to-ports=21
add action=dst-nat chain=dstnat comment="dreambox server" dst-port=5024 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.10 \
to-ports=80
add action=dst-nat chain=dstnat comment="dreambox stream" dst-port=8001 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.10 \
to-ports=8001
add action=dst-nat chain=dstnat comment=dvr16ch dst-port=6830 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.1.65 to-ports=6830
add action=dst-nat chain=dstnat comment=camserver dst-port=14216 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.7 \
to-ports=14216
add action=dst-nat chain=dstnat comment=monteval dst-port=13578 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.7 \
to-ports=13578
/ip ipsec policy
add template=yes
/ip upnp
set allow-disable-external-interface=no
/lcd interface pages
add interfaces="ether1-gateway,ether2-master-local,ether3-slave-local,ether4-s\
lave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local,ether8\
-slave-local,ether9-slave-local,ether10-slave-local,ether11-slave-local,et\
her12-slave-local"
add interfaces="ether13-slave-local,ether14-slave-local,ether15-slave-local,et\
her16-slave-local"
add interfaces=sfp1-gateway
/system clock
set time-zone-name=Europe/Brussels
/system identity
set name=THUISDNS
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2-master-local disabled=yes display-time=5s
set ether3-slave-local disabled=yes display-time=5s
set ether4-slave-local disabled=yes display-time=5s
set ether5-slave-local disabled=yes display-time=5s
set ether6-slave-local disabled=yes display-time=5s
set ether7-slave-local disabled=yes display-time=5s
set ether8-slave-local disabled=yes display-time=5s
set ether9-slave-local disabled=yes display-time=5s
set ether10-slave-local disabled=yes display-time=5s
set ether11-slave-local disabled=yes display-time=5s
set ether21-slave-local disabled=yes display-time=5s
set ether22-slave-local disabled=yes display-time=5s
set ether23-slave-local disabled=yes display-time=5s
set ether24-slave-local disabled=yes display-time=5s
set sfp1-gateway disabled=yes display-time=5s
set ether17-slave-local disabled=yes display-time=5s
set ether18-slave-local disabled=yes display-time=5s
set ether19-slave-local disabled=yes display-time=5s
set ether20-slave-local disabled=yes display-time=5s
set ether12-slave-local disabled=yes display-time=5s
set ether13-slave-local disabled=yes display-time=5s
set ether14-slave-local disabled=yes display-time=5s
set ether15-slave-local disabled=yes display-time=5s
set ether16-slave-local disabled=yes display-time=5s
/system leds
set 0 interface=ether1-gateway leds=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=ether6-slave-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether20-slave-local
add interface=ether21-slave-local
add interface=ether22-slave-local
add interface=ether23-slave-local
add interface=ether24-slave-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=ether6-slave-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether20-slave-local
add interface=ether21-slave-local
add interface=ether22-slave-local
add interface=ether23-slave-local
add interface=ether24-slave-local

maandag 21 juli 2014 22:19

Acties:

0 Henk 'm!

maomanna

begrijp ik het nu goed dat je vanaf een pc op je lan verbinding wil maken met je eigen VPN en dan pas naar buiten??

Van buiten naar binnen is niet gek moeilijk

[ Voor 16% gewijzigd door maomanna op 21-07-2014 22:19 ]

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

dinsdag 22 juli 2014 10:08

Acties:

0 Henk 'm!

_-= Erikje =-_

Nee, hij heeft nu een halve config gepost met de vraag of wij het even afmaken geloof ik

dinsdag 22 juli 2014 21:23

Acties:

0 Henk 'm!

RSVR

Je kunt ook gewoon een scriptje maken voor automatische dydns updates. Hieronder staat een voorbeeld van een script dat ik gebruik voor no-ip.com. Niet vergeten het script te laten draaien via de scheduler (bijv elke 15 minuten).

################Settings#########################

:local NOIPUser "[gebruiker]"
:local NOIPPass "[password]"
:local WANInter "ether1-gateway"
:local NOIPDomain "[DOMEIN].no-ip.org"

###############################################

:local IpCurrent [/ip address get [find interface=$WANInter] address];
:for i from=( [:len $IpCurrent] - 1) to=0 do={
:if ( [:pick $IpCurrent $i] = "/") do={
:local NewIP [:pick $IpCurrent 0 $i];
:if ([:resolve $NOIPDomain] != $NewIP) do={
/tool fetch mode=http user=$NOIPUser password=$NOIPPass url="http://dynupdate.no-ip.com/nic/update\3Fhostname=$NOIPDomain&myip=$NewIP" keep-result=no
:log info "NO-IP Update: $NOIPDomain - $NewIP"

[ Voor 7% gewijzigd door RSVR op 23-07-2014 11:22 . Reden: settings beter gescheiden van rest van script ]

zondag 27 juli 2014 03:07

Acties:

0 Henk 'm!

zzattack

Ik probeer uit te vogelen hoe ik het volgende gelijktijdig instel op een CRS125:
- 'standaard' router, inkomende WAN op poort 1, intern netwerkje met NAT op poort 2-20
- 'standaard' switch op poort 21-24

Dus feitelijk wil ik de default settings voor poorten <20 en de functionaliteit van een 5 euro switch op de overige poorten. Moet ik nu een extra bridge aanmaken, of gebruik maken van master/slave poorten of juist niet?

zondag 27 juli 2014 04:59

Acties:

0 Henk 'm!

ihre

zzattack schreef op zondag 27 juli 2014 @ 03:07:
Ik probeer uit te vogelen hoe ik het volgende gelijktijdig instel op een CRS125:
- 'standaard' router, inkomende WAN op poort 1, intern netwerkje met NAT op poort 2-20
- 'standaard' switch op poort 21-24

Dus feitelijk wil ik de default settings voor poorten <20 en de functionaliteit van een 5 euro switch op de overige poorten. Moet ik nu een extra bridge aanmaken, of gebruik maken van master/slave poorten of juist niet?

code:

/interface ethernet
set [ find default-name=ether2 ] master-port=none
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=ether6 ] master-port=ether2
set [ find default-name=ether7 ] master-port=ether2
set [ find default-name=ether8 ] master-port=ether2
set [ find default-name=ether9 ] master-port=ether2
set [ find default-name=ether10 ] master-port=ether2
set [ find default-name=ether11 ] master-port=ether2
set [ find default-name=ether12 ] master-port=ether2
set [ find default-name=ether13 ] master-port=ether2
set [ find default-name=ether14 ] master-port=ether2
set [ find default-name=ether15 ] master-port=ether2
set [ find default-name=ether16 ] master-port=ether2
set [ find default-name=ether17 ] master-port=ether2
set [ find default-name=ether18 ] master-port=ether2
set [ find default-name=ether19 ] master-port=ether2
set [ find default-name=ether20 ] master-port=ether2

set [ find default-name=ether21 ] master-port=none
set [ find default-name=ether22 ] master-port=ether21
set [ find default-name=ether23 ] master-port=ether21
set [ find default-name=ether24 ] master-port=ether21
/ip address
add address=192.168.2.245/24 interface=ether2 network=192.168.2.0
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=\
    192.121.1.34,195.121.1.66
/ip pool
add name=lan ranges=192.168.2.100-192.168.2.230 disabled=yes
/ip dhcp-server
add address-pool=lan authoritative=yes disabled=yes interface=\
    ether2 lease-time=1h30m name=dhcp-lan
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 domain=lan.local \
    gateway=192.168.2.254 disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    192.168.2.0/24 to-addresses=0.0.0.0

Dat zou moeten werken, qua switch & NAT. Krijg je gewoon een dhcp-lease voor je WAN verbinding?

[ Voor 14% gewijzigd door ihre op 27-07-2014 05:04 ]

zondag 27 juli 2014 11:36

Acties:

0 Henk 'm!

zzattack

---

[ Voor 100% gewijzigd door zzattack op 20-08-2014 11:26 ]

zondag 27 juli 2014 13:34

Acties:

0 Henk 'm!

DVR123

Beste medetweakers,

Ik zit nou al een tijd te twijfelen om een RB2011UiAS-RM te kopen maar ik zit nog met één puntje.
We hebben hier een zakelijke internet verbinding van UPC met 5 statische ip adressen.
Op de pfsense firewall die we nu hebben zijn er gewoon 5 ip adressen ingesteld en dmv port forwarding worden de ip adressen gebruikt, al het uitgaande verkeer gaat door het eerste ip adres. Iemand een indicatie of dit erg lastig is op de Mikrotiks? En misschien een kleine handleiding?

zondag 27 juli 2014 14:34

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Ik heb nog niet zo heel veel ervaring met Mikrotik, maar dat lijkt me vrij simpel. Aangenomen dat je vanaf de default config werkt (i.e. eerste port is WAN en masqueraded):

DHCP-client op ether1 uit
5 addresses assignen aan ether1
Eventueel bij de routing settings een pref-source address instellen voor de default route
Masquerade op ether1 (dat is al ingesteld in de default config)
DHCP-leases van machines die incoming traffic 'van buiten' verwachten static maken (if applicable)
In de firewall onder NAT de gewenste port mappings inkloppen voor je overige IPs

Je zou eventueel ook de masquerade rule kunnen verwijderen en een srcnat rule kunnen gebruiken, misschien is dat netter icm. static IPs.

Pak vooral de wiki er even bij als je er niet uitkomt, en begin met Winbox ipv. de cli (dan heb je wat sneller door wat-waar zit imo).

[ Voor 9% gewijzigd door Thralas op 27-07-2014 14:37 ]

zondag 27 juli 2014 17:50

Acties:

0 Henk 'm!

ihre

zzattack schreef op zondag 27 juli 2014 @ 11:36:
Bedankt ihre, werkt mooi. Voor het switch gedeelte dus inderdaad 1 port als master instellen, en de rest van die switch groep naar diezelfde master port laten verwijzen is genoeg. Geen bridging of andere instellingen onder het switch menu nodig.

Geen probleem. Bij een bridge gaan de packets langs de CPU, bij een switch wordt het door de switch-chip zelf afgehandeld. Zelf heb ik mijn CRS ook als switch ingesteld, echter zit ik met wlan1... Ik weet niet precies hoe ik de dhcp-server van ether2 adressen kan laten uitdelen aan clients die met het AP verbinden. Ik heb dus maar een bridge gemaakt met ether2 en wlan1.

Als iemand weet hoe dit anders kan?

DVR123 schreef op zondag 27 juli 2014 @ 13:34:
Beste medetweakers,

Ik zit nou al een tijd te twijfelen om een RB2011UiAS-RM te kopen maar ik zit nog met één puntje.
We hebben hier een zakelijke internet verbinding van UPC met 5 statische ip adressen.
Op de pfsense firewall die we nu hebben zijn er gewoon 5 ip adressen ingesteld en dmv port forwarding worden de ip adressen gebruikt, al het uitgaande verkeer gaat door het eerste ip adres. Iemand een indicatie of dit erg lastig is op de Mikrotiks? En misschien een kleine handleiding?

Hier wordt het uitgelegd.

code:

/interface ethernet
set [ find default-name=ether1 ] master-port=none name=WAN
set [ find default-name=ether2 ] master-port=none name=LAN
/ip address
add interface=LAN address=192.168.0.1/24
add interface=WAN address=1.1.1.2/24
add interface=WAN address=1.1.1.10/24
add interface=WAN address=1.1.1.11/24
add interface=WAN address=1.1.1.12/24
add interface=WAN address=1.1.1.13/24
/ip firewall nat
add chain=srcnat out-interface=WAN src-address=192.168.0.10 action=src-nat to-address=1.1.1.10
add chain=srcnat out-interface=WAN src-address=192.168.0.11 action=src-nat to-address=1.1.1.11
add chain=srcnat out-interface=WAN src-address=192.168.0.12 action=src-nat to-address=1.1.1.12
add chain=srcnat out-interface=WAN src-address=192.168.0.13 action=src-nat to-address=1.1.1.13
add chain=srcnat out-interface=WAN src-address=192.168.0.0/24 action=src-nat to-address=1.1.1.2
add chain=dstnat in-interface=WAN dst-address=1.1.1.10 action=dst-nat to-address=192.168.0.10
add chain=dstnat in-interface=WAN dst-address=1.1.1.11 action=dst-nat to-address=192.168.0.11
add chain=dstnat in-interface=WAN dst-address=1.1.1.12 action=dst-nat to-address=192.168.0.12
add chain=dstnat in-interface=WAN dst-address=1.1.1.13 action=dst-nat to-address=192.168.0.13
add chain=dstnat in-interface=WAN dst-port=22 protocol=tcp dst-address=1.1.1.10 \
    action=dst-nat to-address=192.168.1.10 to-port=22 
add chain=dstnat in-interface=WAN dst-port=3389 protocol=tcp dst-address=1.1.1.11 \
    action=dst-nat to-address=192.168.1.11 to-port=3389

^{ps. 2 extra ip's, port forwarding & /interface ethernet ter referentie toegevoegd.}

[ Voor 38% gewijzigd door ihre op 27-07-2014 18:25 ]

woensdag 30 juli 2014 14:20

Acties:

0 Henk 'm!

PeterEs

Ik zou graag gebruik maken van MAC based VLANS, ik heb echter een CCR. Worden MAC Based VLANs enkel op de CRS ondersteund? allow-fdb-based-vlan-translate is mijn CCR namelijk onbekend.

woensdag 30 juli 2014 22:00

Acties:

0 Henk 'm!

_-= Erikje =-_

Ik hoop dat ze ook een 6/8/16/24x 10g CSRs gaan maken, desnoods alleen l2

[ Voor 4% gewijzigd door _-= Erikje =-_ op 31-07-2014 14:20 ]

donderdag 31 juli 2014 18:27

Acties:

0 Henk 'm!

The Fatal

ihre schreef op zondag 27 juli 2014 @ 17:50:
[...]

Geen probleem. Bij een bridge gaan de packets langs de CPU, bij een switch wordt het door de switch-chip zelf afgehandeld. Zelf heb ik mijn CRS ook als switch ingesteld, echter zit ik met wlan1... Ik weet niet precies hoe ik de dhcp-server van ether2 adressen kan laten uitdelen aan clients die met het AP verbinden. Ik heb dus maar een bridge gemaakt met ether2 en wlan1.

Als iemand weet hoe dit anders kan?

Ik heb het ook zo gedaan, ik heb de interface van de WLAN toegevoegd aan de bridge. De DHCP server heb ik op de BRIDGE ingesteld. En dit werkt.

Aan de hand van jou bericht heb ik alle poorten weer uit de bridge gegooid en poort 2..5 master poort 1 op gegeven. En 7..9 master poort 6. (volgens de specs heeft de 2011 2 verschillende switch chips.)
Dan poort 1 en poort 6 in de bridge gezet.

Klopt dat dan weer zo?

donderdag 31 juli 2014 19:59

Acties:

0 Henk 'm!

ihre

PeterEs schreef op woensdag 30 juli 2014 @ 14:20:
Ik zou graag gebruik maken van MAC based VLANS, ik heb echter een CCR. Worden MAC Based VLANs enkel op de CRS ondersteund? allow-fdb-based-vlan-translate is mijn CCR namelijk onbekend.

De CPU van de CCR lijkt dat niet de ondersteunen, mijn RB951G kan het overigens ook niet. Het is voor zo ver ik weet ook een specifieke switch-chip functie van de CRS serie.

_-= Erikje =-_ schreef op woensdag 30 juli 2014 @ 22:00:
Ik hoop dat ze ook een 6/8/16/24x 10g CSRs gaan maken, desnoods alleen l2

Je bedoelt CRS -> Cloud Router Switch denk ik?

The Fatal schreef op donderdag 31 juli 2014 @ 18:27:
[...]

Ik heb het ook zo gedaan, ik heb de interface van de WLAN toegevoegd aan de bridge. De DHCP server heb ik op de BRIDGE ingesteld. En dit werkt.

Aan de hand van jou bericht heb ik alle poorten weer uit de bridge gegooid en poort 2..5 master poort 1 op gegeven. En 7..9 master poort 6. (volgens de specs heeft de 2011 2 verschillende switch chips.)
Dan poort 1 en poort 6 in de bridge gezet.

Klopt dat dan weer zo?

Yep, en als je nu de DHCP server aan de bridge tussen ether1, ether6 & wlan1 koppelt, kan die op iedere interface een lease uitdelen.

[ Voor 44% gewijzigd door ihre op 31-07-2014 20:18 ]

vrijdag 1 augustus 2014 10:12

Acties:

0 Henk 'm!

The Fatal

ihre schreef op donderdag 31 juli 2014 @ 19:59:

Yep, en als je nu de DHCP server aan de bridge tussen ether1, ether6 & wlan1 koppelt, kan die op iedere interface een lease uitdelen.

Zit er performance verschil in als de packetjes over de CPU of over de SWITCH chip gaan?

vrijdag 1 augustus 2014 10:25

Acties:

0 Henk 'm!

ihre

The Fatal schreef op vrijdag 01 augustus 2014 @ 10:12:
[...]

Zit er performance verschil in als de packetjes over de CPU of over de SWITCH chip gaan?

Yes, omdat bridged poorten CPU% vereisen, kan het zijn dat de performance lager komt te liggen dan wanneer de poorten switched zijn geconfigureerd.

vrijdag 1 augustus 2014 22:43

Acties:

0 Henk 'm!

jeroenzie24

Ik heb sinds een aantal dagen de rb2011uas-2hnd-in ik loop tegen een aantal zaken aan, ik heb reeds een poging gedaan om een antwoord hierop te vinden mogelijk kunnen jullie mij verder helpen.

1.

Ik heb een lokale NAS waarop een webserver actief is, hiervoor heb ik port 80,443 voorzien van een een dst-nat waardoor deze van buitenaf direct bereikbaar is. Echter zodra ik met een lokale client via de url mijn webserver wil bereiken is deze onbereikbaar.

Nu heb ik een NAT hairpin aangemaakt maar echter zijn dan alle poorten van mijn NAS beschikbaar vanaf het internet.

Graag zou ik mijn webserver op DNS in het interne netwerk willen bereiken.

2. Voorheen had ik een IP filter op diverse inkomende porten bijvoorbeeld 21,25 etc. hoe is dit mogelijk met RouterOS.

Mogelijk heeft een van jullie hier antwoord op waarna dit voor mij duidelijk gaat worden

zaterdag 2 augustus 2014 01:05

Acties:

0 Henk 'm!

ihre

jeroenzie24 schreef op vrijdag 01 augustus 2014 @ 22:43:
Ik heb sinds een aantal dagen de rb2011uas-2hnd-in ik loop tegen een aantal zaken aan, ik heb reeds een poging gedaan om een antwoord hierop te vinden mogelijk kunnen jullie mij verder helpen.

1.

Ik heb een lokale NAS waarop een webserver actief is, hiervoor heb ik port 80,443 voorzien van een een dst-nat waardoor deze van buitenaf direct bereikbaar is. Echter zodra ik met een lokale client via de url mijn webserver wil bereiken is deze onbereikbaar.

Nu heb ik een NAT hairpin aangemaakt maar echter zijn dan alle poorten van mijn NAS beschikbaar vanaf het internet.

Graag zou ik mijn webserver op DNS in het interne netwerk willen bereiken.

code:

1 2	/ip dns static add address=192.168.2.1 name=nas

jeroenzie24 schreef op vrijdag 01 augustus 2014 @ 22:43:
2. Voorheen had ik een IP filter op diverse inkomende porten bijvoorbeeld 21,25 etc. hoe is dit mogelijk met RouterOS.

Mogelijk heeft een van jullie hier antwoord op waarna dit voor mij duidelijk gaat worden

Wat bedoel je precies met filter? Inkomende verbindingen op poort 21 droppen/rejecten?

Eigenlijk dien je het anders aan te pakken, alle verbindingen standaard dicht zetten en dan juist toelaten wat jij wilt. Die configuratie is in het verleden al gepost: The Executer in "\[Ervaringen/discussie] MikroTik-apparatuur"

zaterdag 2 augustus 2014 08:29

Acties:

0 Henk 'm!

babbelbox

jeroenzie24 schreef op vrijdag 01 augustus 2014 @ 22:43:
Ik heb sinds een aantal dagen de rb2011uas-2hnd-in ik loop tegen een aantal zaken aan, ik heb reeds een poging gedaan om een antwoord hierop te vinden mogelijk kunnen jullie mij verder helpen.

1.

Ik heb een lokale NAS waarop een webserver actief is, hiervoor heb ik port 80,443 voorzien van een een dst-nat waardoor deze van buitenaf direct bereikbaar is. Echter zodra ik met een lokale client via de url mijn webserver wil bereiken is deze onbereikbaar.

Nu heb ik een NAT hairpin aangemaakt maar echter zijn dan alle poorten van mijn NAS beschikbaar vanaf het internet.

Graag zou ik mijn webserver op DNS in het interne netwerk willen bereiken.

2. Voorheen had ik een IP filter op diverse inkomende porten bijvoorbeeld 21,25 etc. hoe is dit mogelijk met RouterOS.

Mogelijk heeft een van jullie hier antwoord op waarna dit voor mij duidelijk gaat worden

Post eens je nat rules. Ik denk dat je niet specifiek genoeg bent geweest.

zondag 3 augustus 2014 14:32

Acties:

0 Henk 'm!

jeroenzie24

Ik zal het proberen duidelijk de siuatie neer te zeten.

Op NAS die geplaatst is in het netwerk direct in de Mikrotik in ETH-3 zit, zijn de volgende services actief:

* SMTP TCP port 25 dstnat TCP port 25 In interface ETH-01
* Website port 80 en 443 dstnat TCP port 80 en 443 In interface ETH-01, dst-nat -> 192.168.15.53

IP 192.168.15.53 van de NAS waarop de Website en Mailserver actief is.

Ik sync met mijn telefoon met mijn domein naam, deze DNS registratie naar naar het IP van het IP van ETH-01, zolang ik buiten de duur dus via 3G ben verloopt
het syncen zonder problemen, echter zodra ik in huis met WIFI verbonden ben is krijg ik geen verbinding meer via de URL.

Ik had een static DNS aangemaakt naar mijn NAS 192.168.15.53, en dit werkt ook maar dan kan ik bijvoorbeeld niet meer mijn videoplayer bereiken met mijn domeinnaam en TCP poort.

Hiernaast ben ik ook opzoek om een IP filter op bijvoorbeeld port 21 FTP te zetten zodat niet de hele wereld pogingen kan doen tot het verbinden?

Graag jullie hulp

zondag 3 augustus 2014 14:55

Acties:

0 Henk 'm!

Gusto

maak op de goede manier de hairpin-nat aan

http://wiki.mikrotik.com/wiki/Hairpin_NAT

zondag 3 augustus 2014 15:19

Acties:

0 Henk 'm!

ihre

jeroenzie24 schreef op zondag 03 augustus 2014 @ 14:32:

Hiernaast ben ik ook opzoek om een IP filter op bijvoorbeeld port 21 FTP te zetten zodat niet de hele wereld pogingen kan doen tot het verbinden?

Graag jullie hulp

Op het moment dat je een poort open hebt staan, kan juist de hele wereld (proberen te) verbinden. Bruteforce pogingen om in te loggen op de FTP server zijn vrij gewoon. Je kunt natuurlijk aangeven dat er alleen vanaf een bepaald IP adres ingelogd kan worden (whitelist/address-list of src-address), maar dat is ook niet handig.

Je kunt bruteforce pogingen wel beperken, door aan te geven dat er bijvoorbeeld na 10 foute inlogpogingen per IP per minuut, gebanned wordt.

code:

/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

maandag 4 augustus 2014 00:10

Acties:

0 Henk 'm!

PeterEs

ihre schreef op donderdag 31 juli 2014 @ 19:59:
[...]
De CPU van de CCR lijkt dat niet de ondersteunen, mijn RB951G kan het overigens ook niet. Het is voor zo ver ik weet ook een specifieke switch-chip functie van de CRS serie.

Hmm, dat is jammer leek me een leuke feature! Gelukkig geen must

Even inhakende op het Switch/Bridge verhaal: Ik heb een CCR1009-8G-1S-1S+, hierop komen 2 WAN verbindingen en 2 gescheiden LAN. Hiervoor kan ik dus het beste de eerste 4 poorten gebruiken, omdat deze in een switch group zitten? Of sla ik nu volledig de plank mis?

maandag 4 augustus 2014 00:59

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Volgens dit block diagram hangen de eerste 4 poorten inderdaad aan een switch, en gaan de overige 4 en SFP direct naar de CPU.

Maar in de situatie die jij beschrijft zijn er 4 aparte netwerken (WAN x2, LAN x2) op 4 poorten? Het lijkt me dat je meer wilt doen dan simpelweg die poorten aan elkaar knopen met een switch, dus dan ga je routen en maakt het waarschijnlijk niet zoveel meer uit of het allemaal aan dezelfde switch hangt..

Maar baat het niet, dan schaadt het niet, dus ik zou ze sowieso netjes van links naar rests volprikken..

dinsdag 5 augustus 2014 11:57

Acties:

0 Henk 'm!

PeterEs

Je hebt gelijk, als je ook gaat routen maakt het eigenlijk niks meer uit. Ik kan later altijd nog bijstellen om de performance te optimaliseren.

Ik heb nu een aantal NAT regels aangemaakt voor het forwarden van een aantal poorten. Dit werkt goed. Vervolgens heb ik de standaard firewall rules toegepast:

code:

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=Uplink
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid

NAT regels werken nog altijd prima, echter hoe kan ik slechts een bepaald extern subnet toestaan om met een bepaalde poort te verbinden? Bijvoorbeeld dat enkel 12.34.56.0/24 met poort 3389 mag verbinden.

Lijkt me niet dat ik de eerste ben die zoiets wil creëren, ik kan echter geen voorbeeldcode vinden...

dinsdag 5 augustus 2014 13:34

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

RouterOS's connection-state kent een viertal states, namelijk new, established, related en invalid (analoog aan Linux conntrack).

De standaardfirewall dropt echter enkel 'invalid' connections in de forwarding table en aangezien RouterOS als default policy 'accept' hanteert, kunnen nieuwe connecties (connection-state=new) altijd worden gelegd.

Vanaf je uplinkport werkt dit natuurlijk niet, omdat de rests van je hosts achter een NAT zitten. Meestal is dit toevallig ook wenselijk.. Desalniettemin is het een betere security practice om 'default drop' te hanteren, en enkel expliciet toegestaan verkeer toe te laten.

Voorbeeldje voor je forward chain:

code:

/ip firewall filter
add chain=forward comment="allow established" connection-state=established
add chain=forward comment="allow related" connection-state=related
add chain=forward comment="RDP for subnet" protocol="tcp" port="3389" src-address="12.34.56.0/24"
add action=drop chain=forward comment="drop other"

Kijk ook even naar je input chain, standaard kun je vanaf elke poort, behalve de uplink bij services op de router zelf. Mogelijk is dat niet wenselijk.

dinsdag 5 augustus 2014 20:39

Acties:

0 Henk 'm!

PeterEs

Thanks, hiermee gaat het zeker lukken. Ik zoek ook nog een tutorial voor het configureren van een L2TP IPSec VPN. Daar zijn er heel veel van, maar ze lijken allemaal verschillend. Welke moet ik nou hebben?

woensdag 6 augustus 2014 18:28

Acties:

0 Henk 'm!

The Fatal

ik heb het via meerdere youtube films voor elkaar gekregen.

ik weet niet hoe ik makkelijk mijn configuratie kan laten zien.

woensdag 6 augustus 2014 20:27

Acties:

0 Henk 'm!

PeterEs

Volgens mij heb ik het al vrij aardig voor elkaar met behulp van de handleiding op de wiki Was wel even puzzelen met NAT. Volgende week testen

donderdag 7 augustus 2014 22:02

Acties:

0 Henk 'm!

PeterEs

De handleiding op de wiki waarnaar ik eerder refereerde is natuurlijk niet juist. Deze is wel de juiste (L2TP icm IPSec)

Op m'n router thuis even geïmplementeerd en met m'n iPhone getest. Aparte is dat het wel over WiFi werkt, maar niet via 3G.
Er wordt wel een IPSec policy gegenereerd, maar geen route. Ook is de connectie niet zichtbaar onder active connections onder PPP.

Hoe kan ik dit het best debuggen? Heb alle Deny rules in de firewall al even disabled, maar ook dan geen verbinding... Zou het aan de NAT rules liggen?

code:

1 2	/ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=Uplink

vrijdag 8 augustus 2014 07:29

Acties:

0 Henk 'm!

babbelbox

PeterEs schreef op donderdag 07 augustus 2014 @ 22:02:
De handleiding op de wiki waarnaar ik eerder refereerde is natuurlijk niet juist. Deze is wel de juiste (L2TP icm IPSec)

Op m'n router thuis even geïmplementeerd en met m'n iPhone getest. Aparte is dat het wel over WiFi werkt, maar niet via 3G.
Er wordt wel een IPSec policy gegenereerd, maar geen route. Ook is de connectie niet zichtbaar onder active connections onder PPP.

Hoe kan ik dit het best debuggen? Heb alle Deny rules in de firewall al even disabled, maar ook dan geen verbinding... Zou het aan de NAT rules liggen?
code:
1
2
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=Uplink

Ik denk dat het ook nog wel eens aan de interne infrastructuur van je provider kan liggen.
Misschien dat zij het nodige blokkeren waardoor het op 3G niet werkt.

zaterdag 9 augustus 2014 12:31

Acties:

0 Henk 'm!

PeterEs

babbelbox schreef op vrijdag 08 augustus 2014 @ 07:29:
[...]

Ik denk dat het ook nog wel eens aan de interne infrastructuur van je provider kan liggen.
Misschien dat zij het nodige blokkeren waardoor het op 3G niet werkt.

Bedoel je dan mijn 3G provider (Vodafone) of internet provider (UPC)?
3G werkt wel op een andere VPN, dus daar zit het probleem niet. Lijkt me sterk dat het aan UPC ligt.

zaterdag 9 augustus 2014 14:52

Acties:

0 Henk 'm!

The Fatal

ik heb niks in de nat pool gedaan.
heb 4 regels in de filter rules van de firewall gezet:
3 ;;; VPN
chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=500

4 chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=1701

5 chain=input action=accept protocol=udp in-interface=Gateway-ETH10
dst-port=4500

6 chain=input action=accept protocol=ipsec-esp in-interface=Gateway-ETH10

hierna kon ik VPN opzetten via 3G van Vodafone naar mijn Router.

zondag 10 augustus 2014 17:50

Acties:

0 Henk 'm!

PeterEs

De filter rules staan er bij mij ook in, maar helaas. Ook even met m'n macbook via 3G geprobeerd, maar ook dan geen verbinding. Misschien dat jullie iets zien dat ik niet zie? Vanaf de LAN kant een VPN maken werkt dus wel, maar dat heeft natuurlijk geen nut.

code:

*KNIP*

Het werkt wel via Wifi vanuit een andere locatie. Het ligt dus toch aan m'n 3G.

[ Voor 75% gewijzigd door PeterEs op 11-08-2014 14:55 ]

maandag 11 augustus 2014 19:54

Acties:

0 Henk 'm!

Q-bone

Dusss...

Raar probleem,

Via de handleiding van HMA heb ik een vpn verbinding opgezet middels het L2TP/IPSEC protocol, echter gaat dit via de server van privateinternetaccess (hier is de account).
Dit werkt prima, nieuw ip en dns leak test zijn prima, echter kan ik een aantal websites niet bereiken, rabobank.nl, speedtest.net en nog veel andere.

Ik heb de DNS van PIA gebruikt, echter een andere DNS lijkt ook niet uit te maken.

Heeft iemand ervaring met dit probleem en waarom ik via l2tp niet bij deze websites kom? Wanneer ik de windows applicatie van pia gebruik (volgens mij openvpn protocol) werken deze websites wel gewoon...

bla?

woensdag 13 augustus 2014 09:48

Acties:

0 Henk 'm!

DVR123

Mijn Mikrotik RB2011 draait nu als een zonnetje alleen zou ik hem nog willen monitoren met cacti..
Van de wiki word ik ook niet echt wijzer, de plugin is erg omslachtig en ik zie een hele boel forumposts maar weinig linkjes.

Iemand ervaring met cacti in combinatie met de mikrotik?

vrijdag 15 augustus 2014 11:38

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Geen idee hoe Cacti de Mikrotik wil pollen, maar waarschijnlijk via SNMP?

Aan de zijde van Mikrotik moet je dan even SNMP configureren. Met ROS 6.17 ondersteunt dat ook AES als encryption algo (handig als je monitoring host extern is).

Voorbeeldje, zonder snmptrap:

code:

/snmp community
set [ find default=yes ] addresses=123.456.789.123/32,dead:beef::/128 authentication-password=password1 authentication-protocol=SHA1 encryption-password=password2 encryption-protocol=AES name=private security=private
/snmp
set enabled=yes location="Xxx, Netherlands" trap-community=private

En dan is het een kwestie van een SNMP-poller in je monitoringsoftware toevoegen (community: private).

zondag 17 augustus 2014 11:43

Acties:

0 Henk 'm!

WTM

Ik moet zeggen dat ik wel gecharmeerd ben van de specificaties van de Mikrotik RouterBOARD RB2011UiAS-2Hnd-IN. Maar ik zou liever een exemplaar willen dat 10 ethernet poorten heeft van 1Gbps ipv 5 stuks met ook 5 stuks fast ethernet. (natuurlijk kan er ook een switch naast maar 1 device is eigenlijk al mooi genoeg)

Daarnaast is de wan/lan throughput niet echt toekomst proof, deze is ongeveer 200 Mbps. Het zal niet lang duren voor we daar over heen gaan of in de buurt komen. Verder is er alleen WiFi op de 2.4 Ghz mogelijk.

Ligt het in de lijn van verwachting dat er een router komt van MikroTik die wel aan mijn eisen voldoet?

zondag 17 augustus 2014 13:09

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

WTM schreef op zondag 17 augustus 2014 @ 11:43:
Ik moet zeggen dat ik wel gecharmeerd ben van de specificaties van de Mikrotik RouterBOARD RB2011UiAS-2Hnd-IN. Maar ik zou liever een exemplaar willen dat 10 ethernet poorten heeft van 1Gbps ipv 5 stuks met ook 5 stuks fast ethernet. (natuurlijk kan er ook een switch naast maar 1 device is eigenlijk al mooi genoeg)

Volgens mij is de enige RB die daaraan voldoet de CRS125-24G-1S-2HND-IN.

Misschien weer wat veel gigabit ports

(en duurder dan een losse switch of AP).

Daarnaast is de wan/lan throughput niet echt toekomst proof, deze is ongeveer 200 Mbps. Het zal niet lang duren voor we daar over heen gaan of in de buurt komen.

Waarschijnlijk kan de announced RB850gx2 (5x giga, dual core PPC @ 500 MHz) wat meer data verzetten. Maar die heeft weer geen WiFi.

Verder is er alleen WiFi op de 2.4 Ghz mogelijk.

Niet helemaal, maar een fabrieks-af dualband board is er helaas niet. Volgens mij is er genoeg vraag naar een RB951G of RB2011 met dual-band wireless...

RB912UAG-5HPnD (5 GHz n, miniPCIE)
RB911G-5HPacD (5 GHz ac, geen miniPCIE)
RB922UAGS-5HPacD (5 GHz ac, miniPCIE)

In de modellen met een miniPCIE slot kan je - denk ik - wel een 2 GHz-kaartje kwijt, maar dan nog blijft het een hoop aanrommelen (losse case, antenna's) tegen een prijs die weinig concurrerend is tov. een TP-Link router als AP..

Ligt het in de lijn van verwachting dat er een router komt van MikroTik die wel aan mijn eisen voldoet?

Zou er niet te hard op hopen. De combinatie van wireless icm. veel gigabit ports is nogal lastig.

In completely unrelated news, Interprojekt heeft de MikroTik mAP in stock:

Afbeeldingslocatie: http://img.routerboard.com/mimg/940_m.png

Afbeeldingslocatie: http://img.routerboard.com/mimg/940_m.png

The mAP is a tiny size wireless 2.4GHz Access Point with full RouterOS capabilities. It is very portable, since it accepts power from a wide variety of sources - USB, Passive or Active PoE (802.3af and 802.3at) and power jack. It also works as a PoE injector - the second Ethernet port provides up to 500mA of power to another device, for example, you can connect a SXT CPE device to it.

Leuk als extra AP lijkt me? Maar weer enkel 2 GHz..

zondag 17 augustus 2014 17:30

Acties:

0 Henk 'm!

wmrichard

Door dit topic heb ik ook een mikrotik router gekocht, wat een geweldig ding. Ik loop alleen tegen 1 ding aan zoals hierboven ook al genoemd waarvoor ik hairpin nat schijn te gebruiken. Zodat ik bijvoorbeeld naar mijn wan ip kan gaan vanuit het lan en dan op het goede apparaat uitkom. Echter moet ik bij de hairpin nat regel dit voor elke portforward instellen, is er een mogelijkheid om hairpin nat voor elke regel standaard te zetten zoals het ook is ingesteld op de meeste andere routers/gateways van andere merken?

Alvast bedankt !

maandag 18 augustus 2014 09:59

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Kun je hiervoor geen port-range gebruiken? Zoiets als 0 - 65000 oid?

maandag 18 augustus 2014 10:18

Acties:

0 Henk 'm!

Hmmbob

Na een kleine tip op een vraag van mij in een ander topic heb ik me zitten inlezen - wat een gaaf spul is dit! Zeker als ik dan kijk naar de prijs, in verhouding tot een nieuwe consumenten router... Wauw. Hiermee kan ik (inderdaad) zeker doen wat ik wil...

Maare, zoals in mijn topic gesteld, heb ik het spul nodig voor in de VS. Daarom een praktische vraag:

Kunnen de eigenaren van de RB2011UiAS-2HnD-IN en RB951Ui-2HND checken of hun adapter die ze bij het apparaat hebben gekregen ook 110V/60Hz accepteert? Anders bestel ik het spul pas als ik in de VS ben...

Sometimes you need to plan for coincidence

maandag 18 augustus 2014 10:28

Acties:

0 Henk 'm!

ElMacaroni

Laat de zon maar komen!

Dongguan Foreland electronics FLD181-240075-V

input 100-240 VAC 50/60 hz

SE2200+14xSF170S & SE1500M+4xTSM-375

maandag 18 augustus 2014 10:29

Acties:

0 Henk 'm!

Hmmbob

Thanks. Voor beiden dezelfde adapter, of is dit voor één van de twee devices?

/edit: Hmm, ik zie dat ik de RB951 eventueel ook kan voeden vanaf de RB2011 via PoE. Dat zou helemaal ideaal zijn, hoef je enkel een UTP kabeltje te leggen en de RB951 ergens weg te leggen.

/edit2: Klopt dat wel, dat de RB2011 PoE geeft, of is eth1 alleen een PoE ingang?

[ Voor 69% gewijzigd door Hmmbob op 18-08-2014 13:46 ]

Sometimes you need to plan for coincidence

maandag 18 augustus 2014 10:42

Acties:

0 Henk 'm!

ElMacaroni

Laat de zon maar komen!

Hmmbob schreef op maandag 18 augustus 2014 @ 10:29:
Thanks. Voor beiden dezelfde adapter, of is dit voor één van de twee devices?

/edit: Hmm, ik zie dat ik de RB951 eventueel ook kan voeden vanaf de RB2011 via PoE. Dat zou helemaal ideaal zijn, hoef je enkel een UTP kabeltje te leggen en de RB951 ergens weg te leggen.

Is voor de RB2011

SE2200+14xSF170S & SE1500M+4xTSM-375

maandag 18 augustus 2014 18:02

Acties:

0 Henk 'm!

Gusto

Bij hairpin-nat kan je gewoon een poortreeks opgeven

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.3 dst-port=25-995 out-interface=bridge-local protocol=tcp \
src-address=192.168.88.0/24 to-addresses=0.0.0.0

[ Voor 3% gewijzigd door Gusto op 18-08-2014 18:07 ]

maandag 18 augustus 2014 19:27

Acties:

0 Henk 'm!

PeterEs

Ik heb een RB2011UiAS-2HnD-IN en een RB750, beide 100-240v input.

De RB2011 heeft alleen PoE in. Je kunt er dus geen andere apparaten mee voeden.

maandag 18 augustus 2014 19:40

Acties:

0 Henk 'm!

donny007

Try the Nether!

De RB2011UiAS heeft PoE-out op poort 10, waarschijnlijk heb je de UAS versie (productnaam staat bovenin Winbox).

Zie ook product naming van Mikrotik.

[ Voor 30% gewijzigd door donny007 op 18-08-2014 19:40 ]

/dev/null

maandag 18 augustus 2014 20:42

Acties:

0 Henk 'm!

PeterEs

donny007 schreef op maandag 18 augustus 2014 @ 19:40:
De RB2011UiAS heeft PoE-out op poort 10, waarschijnlijk heb je de UAS versie (productnaam staat bovenin Winbox).

Zie ook product naming van Mikrotik.

Volgens mij alleen POE-in RB2011UiAS-2HnD-IN Ook geen ondersteuning voor 802.3af

dinsdag 19 augustus 2014 08:52

Acties:

0 Henk 'm!

maomanna

zo te zien hebben ze een nieuwe!

http://routerboard.com/CRS109-8G-1S-2HnD-IN

Erg mooie concurrent voor hun eigen RB2011.
Mooi compact en klein dingetje!

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

maandag 25 augustus 2014 17:31

Acties:

0 Henk 'm!

freshworks

Onlangs een CRS125 laten komen omdat we hier 500/500mbit hebben via KPN. Met de RB2011 kom ik niet boven de +/- 230mb down/up en wil toch echt proberen die 500/500 te halen vandaar die CRS125 maar uit polen laten komen. Is er iemand die reeds een CRS125 via de switch chip heeft draaien, internet+TV en mogelijk een export script heeft

?

maandag 25 augustus 2014 17:38

Acties:

0 Henk 'm!

FatalError

De CRS125 gaat jou niet helpen denk ik. De CPU erin is dezelfde als in de RB2011, en dus even snel met routeren van internet verkeer.

If it ain't broken, tweak it!

maandag 25 augustus 2014 19:48

Acties:

0 Henk 'm!

freshworks

Wat zou een eventuele optie kunnen zijn qua router die wel 500/500 haalt, liefst fanless en WIFI intern ? En uiteraard icm. bijvoorbeeld KPN glasvezel ?

Thanks

maandag 25 augustus 2014 21:06

Acties:

0 Henk 'm!

WTM

Die is er niet volgens mij van Mikrotik. Anders hou ik me ook aanbevolen.

maandag 25 augustus 2014 21:46

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Als je niet teveel in wilt leveren qua controle denk ik dat je moet kijken naar een Edgerouter (als die 't wel trekt) of een x86-box (al dan niet met RouterOS, of iets als pfSense of een OS naar keuze).

Dat laaste zou denk ik bij mij de voorkeur hebben, aangenomen dat je 2 VLANs wel kunt trunken op redelijke snelheid. Volgens mij kan dat bij de RB951/2011 wel op de switch chip, duis op volle snelheid?

dinsdag 26 augustus 2014 09:52

Acties:

0 Henk 'm!

FatalError

Je haalt switching en routing door elkaar.
Switching gaat voornamelijk in hardware, en is dus vrijwel altijd line-rate (maximum wat het kabeltje aankan).
Routing is een flink stuk arbeidsintensiever en wordt meestal door de CPU gedaan.
Je zal een router met een flinke processor of een router die routing (en NAT translation, en in jouw geval ook PPPoE) in hardware kan doen.
De CRS heeft geen flinke processor en doet ook geen hardware NAT.

De tip van Thralas: De Ubiquiti EdgeRouter Lite heeft een redelijke processor, maar doet ook hardware NAT met heeft PPPoE ondersteuning in hardware. Deze haalt het dus wel.

Bij Mikrotik moet je aankomen met een RB1100AHx2, CCR, x86 met RouterOS of mogelijk de binnenkort te verschijnen RB850Gx2.

Geen van deze laatstgenoemde routers heeft echter Wifi ingebouwd.

If it ain't broken, tweak it!

dinsdag 26 augustus 2014 13:21

Acties:

0 Henk 'm!

maomanna

je zou dan wifi punten van ubiquiti kunnen nemen, of losse AP's obv 433's.

Zelf heb ik een CRS125 op een 100/100 kpn ITV en internet. Telefonie is niet mogelijk maar op netwerkje.com staan instructies hoe je het op een alternatieve manier kan regelen.

Ik zou een config print kunnen maken voor je. Dan kan je het iig testen. Heb met name wat basis dingen, geen speciale NAT rules etc gemaakt.

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

woensdag 27 augustus 2014 23:26

Acties:

0 Henk 'm!

freshworks

maomanna schreef op dinsdag 26 augustus 2014 @ 13:21:
je zou dan wifi punten van ubiquiti kunnen nemen, of losse AP's obv 433's.

Zelf heb ik een CRS125 op een 100/100 kpn ITV en internet. Telefonie is niet mogelijk maar op netwerkje.com staan instructies hoe je het op een alternatieve manier kan regelen.

Ik zou een config print kunnen maken voor je. Dan kan je het iig testen. Heb met name wat basis dingen, geen speciale NAT rules etc gemaakt.

Ah dat zou erg super zijn, ik heb telefonie via een externe partij lopen en gebruik deze dus ook niet. Ook enkel dus kpn ITV en internet.

Thanks alvast...

donderdag 28 augustus 2014 12:59

Acties:

0 Henk 'm!

maomanna

Als ik er aan denk, zal ik hem vanavond DM'en.

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

donderdag 28 augustus 2014 13:36

Acties:

0 Henk 'm!

ihre

@freshworks

Bij deze de config voor een bridged setup icm KPN Internet & IPTV. Poort 1 is je WAN poort, 2-22 zijn voor je LAN en 23-24 zijn voor IPTV.

Paar dingen aanpassen:
pppoe-client (nu xx-xx-xx-xx-xx-xx@direct-adsl, moet dus je macadres worden)
ssid naam (nu wifinaam)
wpa2-psk key (nu wifiwachtwoord)

Mocht je een CRS125 zonder wlan1 hebben, kun je /interface wireless en /interface wireless security-profiles uiteraard overslaan.

code:

/interface bridge
add l2mtu=1594 name=bridge-iptv
add l2mtu=1598 name=bridge-local arp=proxy-arp
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-gateway speed=1Gbps
set [ find default-name=ether2 ] speed=1Gbps
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,mschap2 default-route-distance=1 dial-on-demand=no disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe password=kpn profile=default service-name="" use-peer-dns=no user=xx-xx-xx-xx-xx-xx@direct-adsl
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=netherlands disabled=no frequency=2447 l2mtu=2290 mode=ap-bridge ssid=wifinaam wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys wpa2-pre-shared-key=wifiwachtwoord
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway l2mtu=1594 name=vlan1.6 vlan-id=6
/ip address
add address=192.168.2.254/24 interface=wlan1 network=192.168.2.0
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 domain=lan.local gateway=192.168.2.254
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=192.121.1.34,195.121.1.66
/ip neighbor discovery
set sfp1 discover=no
set ether1-gateway discover=no
set wlan1 discover=no
set pppoe discover=no
set vlan1.6 discover=no
set bridge-local discover=yes
/ip pool
add name=lan ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add address-pool=lan authoritative=yes disabled=no interface=bridge-local lease-time=1h30m name=dhcp-lan
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=ether10
add bridge=bridge-local interface=ether11
add bridge=bridge-local interface=ether12
add bridge=bridge-local interface=ether13
add bridge=bridge-local interface=ether14
add bridge=bridge-local interface=ether15
add bridge=bridge-local interface=ether16
add bridge=bridge-local interface=ether17
add bridge=bridge-local interface=ether18
add bridge=bridge-local interface=ether19
add bridge=bridge-local interface=ether20
add bridge=bridge-local interface=ether21
add bridge=bridge-local interface=ether22
add bridge=bridge-local interface=wlan1
add bridge=bridge-iptv interface=vlan1.4
add bridge=bridge-iptv interface=ether23
add bridge=bridge-iptv interface=ether24
/ip traffic-flow
set cache-entries=4k
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes mode=unicast primary-ntp=31.3.104.62 secondary-ntp=194.109.64.200
/ip firewall address-list
add address=192.168.2.0/24 comment="LAN Access" list=support
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=drop chain=input comment="Block all access to the webfig - except to support list" dst-port=80 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=yes jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add chain=input comment=UDP disabled=yes protocol=udp
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/24 to-addresses=0.0.0.0

vrijdag 29 augustus 2014 22:36

Acties:

0 Henk 'm!

maomanna

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=drop chain=input comment="Block all access to the webfig - except to support list" dst-port=80 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=yes jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add chain=input comment=UDP disabled=yes protocol=udp
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp

Wat doen deze rulez precies?
Blokken ze allerlei scandingen?

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

zaterdag 30 augustus 2014 12:18

Acties:

0 Henk 'm!

ihre

maomanna schreef op vrijdag 29 augustus 2014 @ 22:36:
[...]

Wat doen deze rulez precies?
Blokken ze allerlei scandingen?

1. Invalid connections droppen
2. DNS requests alleen toestaan voor je eigen LAN
3 t/m 10. Portscanners 2weken automatisch blokkeren
11. ICMP requests slaan een paar rules over en gaat verder bij 20.
12. Toegang tot winbox alleen voor je eigen LAN
13. Toegang tot webfig alleen voor je eigen LAN
14. ICMP forwarding slaan een paar rules over en gaat verder bij 20. Blijkbaar even uitgezet en vergeten weer aan te zetten

15. Established connections toestaan
16. Related connections toestaan
17. Volledige toegang voor je eigen LAN (/ip firewall address-list add address=192.168.2.0/24 comment="LAN Access" list=support)
18. Test rule voor UDP, staat uit en mag evt. weg
19. Drop alle andere connections
20. Limit ICMP echo requests, max 1 per seconde, eerste 5 packets toegestaan door burst
21. Accept ICMP echo reply's
22. Accept TTL exceeded packets
23. Accept Destination unreachable packets
24. Packets met verkeerde MTU ICMP Fragmentation Needed (Type 3, Code 4) terug sturen
25. Alle andere ICMP packets droppen
26. Uitgaande ICMP packets opvangen om weer bij rule 20 te beginnen

Toch handig om alles even na te lopen, kwam idd een paar rules tegen die aangepast moesten worden.

zaterdag 30 augustus 2014 16:48

Acties:

0 Henk 'm!

maarud

Topicstarter

Vandaag ook een RB2011U om mee te spelen, maar wat is dat een wereld van verschil zeg als je constant met DD-WRT hebt lopen klooien! Alle wijzigingen worden direct doorgevoerd zonder reboot, en VLAN, VAP, en Hotspot werken direct zoals het hoort....heerlijk!

zaterdag 30 augustus 2014 21:52

Acties:

0 Henk 'm!

maomanna

ihre, welke van die rules zijn eigenlijk een must?

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

zondag 31 augustus 2014 11:42

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

maomanna schreef op zaterdag 30 augustus 2014 @ 21:52:
ihre, welke van die rules zijn eigenlijk een must?

Praktisch al die rules als je een fatsoenlijk veilige firewall wilt hebben. Gewoon het scriptje copy-pasten en ze staan er in

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 31 augustus 2014 11:45

Acties:

0 Henk 'm!

ShadowBumble

Professioneel Prutser

ShadowAS1 schreef op zondag 31 augustus 2014 @ 11:42:
[...]

Praktisch al die rules als je een fatsoenlijk veilige firewall wilt hebben. Gewoon het scriptje copy-pasten en ze staan er in

Das niet helemaal waar aangezien hij zelf al aangeeft dat het lijstje wat wijzigingen nodig had

Dus je moet er zelf nog wel wat aan sleutelen, maar eigenlijk twijfel ik er niet aan dat ihre best het gewijzigde lijstje wil uitdraaien om hier te posten.

[ Voor 12% gewijzigd door ShadowBumble op 31-08-2014 11:47 ]

"Allow me to shatter your delusions of grandeur."

zondag 31 augustus 2014 12:42

Acties:

0 Henk 'm!

Kridri

Ik zou voor mij persoolijk mijn netwerk moeten vernieuwen omdat ik vaak op een tweede lokatie zit. Nu had ik gedacht om dit om op de main lokatie een RB 750 Gl te zetten met tweemaal een RB951 geconfigureed als AP en op de tweede locatie een RB 951 als router/AP met tussen de beide locaties een VPN tunnel. Heeft iemand ervaring met de RB951 te gebruiken als en router? En zijn er betere AP van mikrotip of is de algemene setup ok?

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

zondag 31 augustus 2014 12:56

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Heb een behoorlijke tijd de RB951 als router met WiFi ingezet...hij is echt belachelijk goed. Zeker voor het geld! En ongelofelijk stabiel, rebooten doe je hooguit bij een firmware upgrade.

Beperking is dat hij alleen 2,4GHz doet en dat zijn WAN-LAN throughput ongeveer 200Mbps is. En door zijn eenvoudige processor zal VPN niet bloedsnel zijn.

Eerst het probleem, dan de oplossing

zondag 31 augustus 2014 13:00

Acties:

0 Henk 'm!

Kridri

lier schreef op zondag 31 augustus 2014 @ 12:56:
Heb een behoorlijke tijd de RB951 als router met WiFi ingezet...hij is echt belachelijk goed. Zeker voor het geld! En ongelofelijk stabiel, rebooten doe je hooguit bij een firmware upgrade.

Beperking is dat hij alleen 2,4GHz doet en dat zijn WAN-LAN throughput ongeveer 200Mbps is. En door zijn eenvoudige processor zal VPN niet bloedsnel zijn.

Wan-Lan is niet zo erg aangezien we in België toch maar een 120 mbps hebben. En achter de vpn gaat toch maar een á twee personen zitten is dit hier snel genoeg voor?

Zijn er beter ap's voor op de main locatie die qua prijs aanvaardbaar zijn?

[ Voor 5% gewijzigd door Kridri op 31-08-2014 13:04 ]

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Onderwerpen