[MikroTik-apparatuur] Ervaringen & Discussie

WeaZuL schreef op donderdag 19 mei 2016 @ 16:07:
Interessant, nu zou het mogelijk moeten zijn om een standaard CRS config op te stellen, gebruik makende van de switch chip. Hier verschillende segmenten te definiëren, één voor IPTV en één voor LAN/WLAN. Vnvd maar eens aan gaan zitten, kijken of ik hier wat interessants van kan bakken.

Verwijderd schreef op donderdag 19 mei 2016 @ 17:04:
Heb je hem van Interprojekt met UPS? Hoe snel had je hem binnen.

Mag ik vragen hoeveel er aan verzending, BTW en verdere kosten nog bijkwam?

Thralas schreef op donderdag 19 mei 2016 @ 18:49:
[...]


Enige grote hiaat is dat KPN/Telfort & co. tegenwoordig TV routeert om zo extra services beschikbaar te maken. Dan schiet je niets op met aparte VLANs, en kun je het dus niet op de switchchip oplossen.


[...]

[ Voor 7% gewijzigd door enterz op 19-05-2016 19:31 ]

WeaZuL schreef op donderdag 19 mei 2016 @ 19:26:
Die begrijp ik niet, hoe kan het dan dat Tweaker BastiaanN het hier wel voor elkaar heeft gekregen? Ok, hij gebruikt niet de switchchip maar dat maakt in principe toch niet uit, of mis ik iets?

[ Voor 41% gewijzigd door allure op 21-05-2016 14:13 ]

enterz schreef op donderdag 19 mei 2016 @ 19:28:
via interprojekt inderdaad. BTW in Polen is 23%. Import kosten zijn er niet (EU land)
13 mei eind van de middag besteld, via bank transfer m'n geld overgemaakt. (dag later bij hun binnen dus, met CC zou het er direct zijn, maar extra kosten en had net m'n CC opgezegd ivm hypotheek aanvraag)

Met UPS verzonden inderdaad, volgens mij voor Eur 13,50. Volgens track and trace hadden ze het gisteren willen afleveren, maar de trailer uit Duitsland had vertraging onderweg naar 1 van hun depots, dus is uiteindelijk vandaag geworden.

Heb goede vertrouwen in 't bedrijf al 2 maal eerder wat besteld, altijd snel geleverd. Ook met communicatie zijn ze vrij snel trouwens.

edit: Overigens zie je voordat je daadwerkelijk besteld de exacte kosten dus met BTW en transport

[ Voor 13% gewijzigd door zx9r_mario op 21-05-2016 17:43 ]

[ Voor 24% gewijzigd door zx9r_mario op 21-05-2016 21:46 ]

[ Voor 10% gewijzigd door Verwijderd op 22-05-2016 00:09 ]

Verwijderd schreef op woensdag 25 mei 2016 @ 17:05:
Als er nog 2 wAP ACs bijkomen, kunnen die dan seamless werken, zodat mijn iPad of laptop automatisch naar een andere AP overschakelt als er 1 buiten bereik is?

Is het zinvol om er een SFP module in te drukken en die dan als internet ingang te gebruiken.

Moet er dan een en ander geconfigureert worden?

sebastiaanf schreef op woensdag 25 mei 2016 @ 21:17:
Hier mijn config:

code:

62 63 64

/ip firewall filter add chain=input comment=\ "Allow access to the router from the LAN using address list"

78

add action=drop chain=input comment="Drop all other traffic to the router"

code:

1 2 3

/ip dns set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220 /ip firewall address-list

Zapp-it schreef op donderdag 26 mei 2016 @ 11:57:
[...]


Die zou ik maar op set allow-remote-requests=no zetten, goede kans dat je anders een abuse krijgt, i.i.g. wel bij XS4ALL

56
57
58

/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 gateway=10.0.0.1
#                       ^^^^^^^^^^^^^^^^^^^

nescafe schreef op donderdag 26 mei 2016 @ 12:42:
[...]

Uh, niet echt. Met een onvoorwaardelijke drop op je input chain is dat gevaar geweken. Verder wordt de DNS-server intern gewoon gebruikt ('allow-remote-requests' moet voor je LAN aangevinkt zijn).

code:

56 57 58

/ip dhcp-server network add address=10.0.0.0/24 dns-server=10.0.0.1 gateway=10.0.0.1 # ^^^^^^^^^^^^^^^^^^^

Verwijderd schreef op donderdag 26 mei 2016 @ 15:50:
Ik heb iets raars met een Omnitik. Deze staat in verweggistan en werkt als een access point, en belt in bij mij in NL met een PPTP tunnel. Ik kan ook de Omnitik pingen (vanuit NL) en met Winbox erin komen.

Echter, ik kan bijna geen enkele host achter de Omnitik pingen (dus ook niet de router van de ADSL daar). Alle poorten van de Omnitik zijn in bridge, en alle apparaten zitten in dezelfde subnet.

Wat wel raar is, dat als ik ping VANUIT de Omnitik, dat de ping wél werkt (bv. ping 192.168.5.1 = ADSL modem), maar vanuit NL dus niet. Het lijkt erop dat de Omnitik een soort "eindpunt" is.

Ook raar, dat ik de twee switches RB260GS waarmee de Omnitik verbonden is wél kan pingen. Maar geen enkel ander apparaat.

Wat kan hier fout staan? Routes waarschijnlijk niet, want ik kan er gewoon komen en NAT staat als masquarade.

[ Voor 8% gewijzigd door Verwijderd op 26-05-2016 16:18 ]

[ Voor 8% gewijzigd door Verwijderd op 26-05-2016 16:29 ]

Verwijderd schreef op donderdag 26 mei 2016 @ 16:28:
Kijk eens bij IP --> DNS. En vul daar de DNS van je provider in. Als je die niet weet, kan je ook 8.8.8.8 en 8.8.4.4 invullen. Werkt ook goed.

Je kan ook de files van RouterOS slepen naar "files" in Winbox. Daarna rebooten, en klaar. Handig als je alleen via MAC naar binnen kan.

Verwijderd schreef op donderdag 26 mei 2016 @ 17:26:
[...]


Bij IP==DNS kan ik niks invullen. Het vakje Dynamic servers is leeg en grijs. Ook daar kan ik niks invullen. Bij de hAP AC staan daar mijn gateway en 2 DNS Adressen.

Verwijderd schreef op vrijdag 20 mei 2016 @ 20:10:
Ik heb een performance problemen met de hAP AC.

Ik heb een 40/4 abonnement welke op een Ubee modem router van Ziggo binnenkomt.

Hier zit een Asus router achter waar de hAP AC via eth1 op is aangesloten.

Sluit ik de kabel die in eth1 zit rechtstreeks op mijn laptop aan dan geeft speedtest netjes 40mbit down 4mbit up. Via de hAP AC krijg ik wireless op 2.4 GHz 4.66 en 3.57 mbit. Op 5 GHz krijg ik 30 en 3.7 mbit.
Schakel ik de radios van Asus router in dan krijg ik daarop zowel op 2.4 als 5 GHz 40/4 mbit.

Zit er nog een een foutje in de config van de hAP AC, er zit fw 3.30 op en RouterOS 6.35.

Wat zijn instellingen om te checken?

[ Voor 11% gewijzigd door _Hades_ op 28-05-2016 21:50 ]

_Hades_ schreef op zaterdag 28 mei 2016 @ 21:44:
[...]


Heb je dit toevallig nog op kunnen lossen? Ik heb exact hetzelfde probleem met de hap ac. 5ghz werkt perfect, maar 2,4 is echt om te huilen. Bijvoorbeeld mijn tablet (heb met diverse apparaten getest en allemaal eigenlijk hetzelfde verhaal) connecteert op:

Tx Rate 130Mbps-20MHz/2S
Rx Rate 130Mbps-20MHz/2S
Tx Rate Set CCK:1-11 OFDM:6-54 BW:1x HT:0-15

Speedtest komt niet hoger dan 5mbit down en 3 . En tevens valt de verbinding vaak weg zelfs (internetverbinding is 50/50. Op 5ghz haal ik de max snelheid hiervan).

Ik heb een aantal mikrotik apparaten in een capsman configuratie, waarvan de hap ac de manager is, en de wifi interfaces gekoppeld zitten hieraan. Ik zit met deze interface op een vrij wifikanaal. Verder eigenlijk een vrij basis configuratie, kanaal, ssid/datapad en security (via capsman zijn immers niet echt veel custom settings in te stellen).

Verwijderd schreef op zaterdag 28 mei 2016 @ 21:56:
[...]


Ik heb vooral de raadgevingen van Thralas opgevolgd:

"Je kunt in Winbox onder Wireless > Registration dubbelklikken op een verbonden device, en dan de tabbladen 'Signal' en 'Statistics' bekijken.

Op het eerste tabblad zijn signal strength, CCQ en P-throughput interessant, op de tweede kun je exact zien wat de data rate, bandbreedte en antenneconfiguratie is (Tx/Rx rate).

Let er wel op dat je die waardes checkt bij belasting, anders is het aannemlijk dat een lagere rate wordt gebruikt tbv. power/airtime saving.

Ik neem aan dat je de hAP AC een ook zinnige radioconfig hebt meegegeven (i.e. 20 MHz op 2.4 GHz, 20/40/80 MHz op 5G) en al van kanalen hebt gewisseld?

Probeer het ook eens met een ander device aan de clientkant, om dat uit te sluiten"

Met name de laatste regels. Toen was het al een stuk beter.

[ Voor 9% gewijzigd door WeaZuL op 03-06-2016 12:04 ]

WeaZuL schreef op vrijdag 03 juni 2016 @ 11:57:
Welke AP raden jullie hiervoor aan, ik ben namelijk niet bekend met het Mikrotik AP aanbod.

Of is het verstandiger, als ik zo bovenstaande verhalen lees, om alsnog over te gaan op een Ubiquiti AP?

Kadettilac schreef op maandag 06 juni 2016 @ 21:29:
In de wiki van CAPsMAN staat dat 'any device running RouterOS with a level 4 license' CAPsMAN kan draaien, maar er wordt niet gespecificeerd dat de server versie ook op een AP kan, alleen op routers.

[ Voor 0% gewijzigd door Kadettilac op 09-06-2016 20:50 . Reden: typo ]

Verwijderd schreef op zaterdag 28 mei 2016 @ 21:56:
Ik neem aan dat je de hAP AC een ook zinnige radioconfig hebt meegegeven (i.e. 20 MHz op 2.4 GHz, 20/40/80 MHz op 5G) en al van kanalen hebt gewisseld?.

Verwijderd schreef op donderdag 26 mei 2016 @ 13:14:
Is de default firewall config van de RB3011 al redelijk safe? Of moet er nog veel aan toegevoegd worden?

Zijn er ergens voorbeeld configs te vinden.

Freekers schreef op maandag 13 juni 2016 @ 13:40:
Ik zie het aantal pakketjes wel wat toenemen, maar ik krijg toch een timeout.

Zie ik iets over het hoofd?

Dat is ook mijn vraag, kan iemand hier iets over vertellen?

Thralas schreef op vrijdag 03 juni 2016 @ 12:32:
[...]


MikroTik heeft pas sinds dit jaar dualband APs in hun assortiment. Klik en concludeer dat er maar 2 opties zijn, de hAP AC en de wAP AC - en als je de routerfunctionaliteit niet nodig hebt kom je al snel bij laatstgenoemde uit

Thralas schreef op maandag 13 juni 2016 @ 18:20:
Volgens mij bevat de default firewall ruleset een regel om dstnat'ed traffic op de FORWARD chain toe te staan, maar check ook daar of je pakketjes niet sneuvelen. Maak waar nodig gebruik van LOG regels om je firewall te debuggen.

Een andere mogelijke catch is afhankelijk van hoe je de NAS denkt te kunnen benaderen, of dat momenteel probeert. Moet het ook vanaf je LAN werken als je het (externe) IP-adres gebruikt? Dan moet je een 'hairpin NAT'-regel toevoegen - zie de MikroTik-wiki.

Als je er nog niet uitkomt, post dan even je config, dan kunnen we meekijken.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

[admin@MikroTik] > /ip address print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Mikrotik LAN
     address=192.168.88.1/24 network=192.168.88.0 interface=ether2-master 
     actual-interface=bridge 

 1   ;;; Ziggo WAN
     address=192.168.0.200/24 network=192.168.0.0 interface=ether1 
     actual-interface=ether1 




[admin@MikroTik] > /ip route print detail 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 A S  dst-address=0.0.0.0/0 gateway=192.168.0.1 
        gateway-status=192.168.0.1 reachable via  ether1 distance=1 scope=30 
        target-scope=10 

 1 ADC  dst-address=192.168.0.0/24 pref-src=192.168.0.200 gateway=ether1 
        gateway-status=ether1 reachable distance=0 scope=10 

 2 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge 
        gateway-status=bridge reachable distance=0 scope=10 




[admin@MikroTik] > /ip firewall export 
# jun/14/2016 00:05:44 by RouterOS 6.35.2
# software id = X1KZ-JYM0
#
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept establieshed,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1
add action=dst-nat chain=dstnat dst-port=1-65535 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.123 to-ports=1-65535

Verwijderd schreef op donderdag 26 mei 2016 @ 16:12:
Nou, de Omnitik heeft geen "wan" interface. Maar vanuit de Omnitik is er geen probleem. Het is vanuit Nederland niet mogelijk.

Schets:

NL --------------------------------------------------verweggistan
192.168.1.0/24 -----PPTP tunnel ----- 192.168.5.243/24 Omnitik---RB260GS---fibre---RB260GS--switch---ADSL modem

Aan die switch hangen 3 AP's van Ubiquity, WiFi controller, VOIP ATA en nog veel andere rommel.

De RB260 kan ik met webpage gewoon benaderen vanuit NL. ook de Omnitik met Winbox alsook Webfig. De rest van het netwerk pingt NIET vanuit NL, wél vanuit de Omnitik.

Raar?

allure schreef op dinsdag 14 juni 2016 @ 08:08:
Ik zou even beginnen door je "drop" rules in je firewall even uit te zetten en zien wat er dan gebeurd...

Freekers schreef op dinsdag 14 juni 2016 @ 23:30:
[...]


Ik heb alle 'drop' rules uitgezet maar dat maakt helaas geen verschil
Hoe kan ik dit probleem nog verder troubleshooten? Ik snap ook niet zo goed waarom het niet werkt, aangezien elke tutorial die ik vind een poort op dezelfde manier forward.

Freekers schreef op dinsdag 14 juni 2016 @ 00:07:
Hij ziet hem/het request dus wel binnenkomen..

De wiki van de hairpin is me nog niet helemaal duidelijk, die zal ik morgen nogmaals opnieuw lezen. Momenteel probeer ik via 4G, dus niet via mijn eigen WiFi netwerk, mijn NAS te bereiken.

allure schreef op woensdag 15 juni 2016 @ 14:00:
Wacht even, ik zie dat je WAN-address in de 192.168.0.x/24 range valt, waarom?
Welk modem/router heb je van ziggo?

Je hebt nu waarschijnlijk een dubbel NAT in stelling.

Thralas schreef op woensdag 15 juni 2016 @ 18:11:

Op welke chain zie die log rule? INPUT?

Je zou daar een herschreven adres moeten zien, met een out-interface=bridge. En dan op de FORWARD chain..

Wat er nu lijkt te gebeuren is dat er niets herschreven wordt,

En begin eventueel eens met een enkele poort, ik durf niet te zeggen of dit uberhaupt goed gaat met een hele reeks op deze manier.

Als je via 4G kunt testen zou ik hairpin even achterwege laten om het simpel te houden, dat kan later nog.

Freekers schreef op woensdag 15 juni 2016 @ 18:29:
Met de INPUT bedoel je de WAN poort?

Thralas schreef op woensdag 15 juni 2016 @ 18:58:
[...]


Nee, sorry, ik geloof dat ik 'm snap. In je config export zie ik de log-actie niet terug, daardoor was ik even in de war. Als ik het goed begrijp heb je de log-actie op de daadwerkelijk NAT-rule toegevoegd?

Als die rule gehit wordt zit het daar goed, en dan zou ik evenwel wat logregels toevoegen in de firewall (filter table) op de forward chain, tot je daar je TCP SYN met herschreven adres ziet langskomen.

Aan je firewall zou het niet moeten liggen als ik je config mag geloven, maar dat betekent wel dat je de SYN zou moeten zien met een logregel die helemaal achteraan staat (omdat je nu nog een 'default accept' policy hebt).

Die Ziggo-router zou ik laten bridgen als je er verder geen WiFi van gebruikt, dan ben je van die dubbele NAT af en is je hAP de enige router. Zou voor deze kwestie verder niet uit moeten maken..

Thralas schreef op woensdag 15 juni 2016 @ 22:34:
Ik zie daar geen log hit voor de inkomende TCP SYN op je filter chain.

The Fatal schreef op woensdag 15 juni 2016 @ 10:12:
probeer eens vanuit de omnitik een route toe te voegen die het 192.168.5.0/24 verbind via de van tunnel.
moest bij mij aan de andere kant (was wel een synology) ook een route toevoegen om valide pings te krijgen en toegang te krijgen.

Thralas schreef op woensdag 15 juni 2016 @ 22:34:
Ik zie daar geen log hit voor de inkomende TCP SYN op je filter chain.

Freekers schreef op donderdag 16 juni 2016 @ 22:08:
[...]


Ik heb mijn Ziggo modem in bridge modus gezet maar helaas, de rule werkt nog steeds niet.
[afbeelding]
Ik ben aan het eind van mijn latijn, wat nu

nescafe schreef op donderdag 16 juni 2016 @ 23:10:
Het werkt nu nog slechter dan voorheen. In de eerste situatie (met modem in route mode) kreeg je al vrij snel een ACK, FIN terug van je Synology, hetgeen aangeeft dat de verbinding wordt verbroken. Lijkt dus niet aan de router te liggen maar aan de endpoint.

Wellicht dat er één of andere firewall actief is? Als je vanaf intern wel verbinding kunt maken, zou je (tijdelijk) masquerade op je nat chain met out-interface=bridge kunnen inschakelen. Dan lijkt het voor de Synology alsof de verbinding vanaf 192.168.88.1 komt.

Nu, in bridge mode, wordt er niet meer goed geNAT't naar je interne adres. Er komt dus logischerwijs geen reply van de Synology dus is je config nog niet helemaal in orde. Kun je deze nog even posten? Wellicht dat je dhcp-client niet helemaal goed werkt op je ether1-interface.

[ Voor 4% gewijzigd door Thralas op 17-06-2016 13:40 ]

maomanna schreef op vrijdag 17 juni 2016 @ 13:36:
Ik overweeg om van KPN over te stappen naar Tweak (1GBIT).
Zou de CRS125 met Fastpath die snelheid aan kunnen?

[ Voor 11% gewijzigd door Freekers op 27-06-2016 23:46 ]

[ Voor 5% gewijzigd door Verwijderd op 29-06-2016 00:13 ]

Verwijderd schreef op woensdag 29 juni 2016 @ 00:00:
Wat wil je ermee doen? Een router van maken, VPN server? Firewall? ISP beginnen? etc....

Je kan met Quickset beginnen. Kom je best wel ver mee.

Verwijderd schreef op woensdag 29 juni 2016 @ 23:51:
Je moet de kabel van de Thomson in poort Eth 1 van de Mikrotik doen. Alle andere PC's, mogen in poort 2 en verder. WiFi mag ook gewoon.

Verwijderd schreef op woensdag 29 juni 2016 @ 23:58:
Heb je de Mikrotik naar de laatste software versie gebracht? Het is nu 6.35.4.

mbenjamins schreef op woensdag 29 juni 2016 @ 23:42:
Als ik mijn nieuwe router aansluit op de modem dan verliest de modem steeds de dsl verbinding.

Hieronder een printscreen van de Quick Set
[afbeelding]
Wij hebben een THOMSON ST546 modem als ik het goed heb.

Verwijderd schreef op woensdag 29 juni 2016 @ 13:42:
Zeker. Full HD "trekt" ongeveer 8 á 15 Mbps. Je verliest ongeveer 50% voor de VPN encryptie, dus je "internet pijp" moet rond de 25 - 30 Mbps zijn. Dus OOK de UPLOAD van die internet. Want voor de plek waar de NAS / media server staat, is streamen een upload activiteit.

En dit is de goedkoopste routerboard. Op zich trekt hij goed 90 Mbps, echter niet als hij VPN moet gaan encrypten.

mbenjamins schreef op donderdag 30 juni 2016 @ 10:34:
Hieronder het schema. Heb het even snel gemaakt.
[afbeelding]

Als de Mkrotik router goed werkt dan vervangt die nu op 192.168.1.* netwerk staat.

[ Voor 7% gewijzigd door Thralas op 01-07-2016 15:02 ]

Thralas schreef op vrijdag 01 juli 2016 @ 15:01:
[...]


Lees nog even de overige reacties, die terecht de vraag stellen waarom je drie keer NAT doet binnen je netwerk. Heeft niet zo heel veel met dit probleem te maken als het goed is, maar dat oplossen voorkomt wel andere netwerkellende.

Verduidelijk daarna eens hoe je constateert dat je modem zijn verbinding verliest (hoe constateer je dat? screenshots?).

Hoewel je netwerksetup niet ideaal is, is er in die opstelling geen enkele reden waarom je modem z'n verbinding (!?) zou kunnen verliezen. Tenzij 'ie bang is voor NDP of IP-pakketjes.