[MikroTik-apparatuur] Ervaringen & Discussie

allure schreef op dinsdag 19 juli 2016 @ 11:18:
Het kan wel... maar of het ding snel genoeg is...

Hoe snel is je verbinding?

allure schreef op dinsdag 19 juli 2016 @ 11:30:
100/100 kan ie makkelijk aan

Bij 500/500 had ik nog even verder gezocht

allure schreef op dinsdag 19 juli 2016 @ 11:45:
Bij 500/500 had ik een http://routerboard.com/RB1100AHx2 ingezet denk ik.

D2k schreef op dinsdag 19 juli 2016 @ 11:50:
[...]

Thanks for the tips! Ik ga nog even browsen door hun producten

1
2
3

[router@Router] > ip ipsec remote-peers print
 0 local-address=94.208.*.* remote-address=94.215.*.* state=established 
   side=responder established=3h27m26s

1
2
3
4
5
6
7
8
9
10

[router@Router] > ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 
 0 T * group=default src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all 
       proposal=default template=yes 

 1     ;;; tunnel 
       src-address=192.168.88.0/24 src-port=any dst-address=192.168.15.0/24 
       dst-port=any protocol=all action=encrypt level=require 
       ipsec-protocols=esp tunnel=yes sa-src-address=94.208.*.*
       sa-dst-address=94.215.*.* proposal=tunnel priority=0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[router@Router] > ip ipsec peer print    
Flags: X - disabled, D - dynamic 
 0    address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 
      auth-method=pre-shared-key secret="PASSWORD" 
      generate-policy=port-override policy-template-group=default 
      exchange-mode=main send-initial-contact=yes nat-traversal=yes 
      proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256,3des 
      dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m 
      dpd-maximum-failures=5 

 1    address=94.215.*.*/32 local-address=0.0.0.0 passive=no port=500 
      auth-method=pre-shared-key secret="PASSWORD" generate-policy=no 
      policy-template-group=default exchange-mode=main 
      send-initial-contact=yes nat-traversal=no proposal-check=obey 
      hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
      lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1
2
3
4

[router@Router] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.88.0/24 
      dst-address=192.168.15.0/24 log=yes log-prefix=""

[ Voor 15% gewijzigd door The Fatal op 31-07-2016 12:22 ]

allure schreef op zondag 31 juli 2016 @ 21:00:
Ik lees even mee, ik heb namelijk een soortgelijk probleem met cisco apparatuur aan de "andere" kant...

Zie je wel Installed SA's?

The Internet Key Exchange (IKE) is a protocol that provides authenticated keying material for Internet Security Association and Key Management Protocol (ISAKMP) framework. There are other key exchange schemes that work with ISAKMP, but IKE is the most widely used one. Together they provide means for authentication of hosts and automatic management of security associations (SA).
Most of the time IKE daemon is doing nothing. There are two possible situations when it is activated:
There is some traffic caught by a policy rule which needs to become encrypted or authenticated, but the policy doesn't have any SAs. The policy notifies IKE daemon about that, and IKE daemon initiates connection to remote host. IKE daemon responds to remote connection. In both cases, peers establish connection and execute 2 phases:
Phase 1 - The peers agree upon algorithms they will use in the following IKE messages and authenticate. The keying material used to derive keys for all SAs and to protect following ISAKMP exchanges between hosts is generated also. This phase should match following settings:
authentication method
DH group
encryption algorithm
exchange mode
hash alorithm
NAT-T
DPD and lifetime (optional)
Phase 2 - The peers establish one or more SAs that will be used by IPsec to encrypt data. All SAs established by IKE daemon will have lifetime values (either limiting time, after which SA will become invalid, or amount of data that can be encrypted by this SA, or both). This phase should match following settings:
Ipsec protocol
mode (tunnel or transport)
authentication method
PFS (DH) group
lifetime

1
2
3
4
5
6

Flags: A - AH, E - ESP 
 0 E spi=0xD2F1B6D src-address=94.215.*.* dst-address=94.208.*.* state=mature auth-algorithm=sha1 enc-algorithm=3des auth-key="14ec355f331cf64618601849a42388c69f928c5e" 
     enc-key="7818c647124e90b99891e2c769de986b707252841291e85c" add-lifetime=48m/1h replay=128 

 1 E spi=0xC502B63B src-address=94.208.*.* dst-address=94.215.*.* state=mature auth-algorithm=sha1 enc-algorithm=3des auth-key="361a10c19cbb9eb81bed18344cdd3ab7d4a16dea" 
     enc-key="e82847b99244ef2897aa243a6e851a510265d58737e29724" addtime=aug/01/2016 19:06:03 expires-in=58m29s add-lifetime=48m/1h current-bytes=7560 replay=128

[ Voor 11% gewijzigd door The Fatal op 01-08-2016 22:20 ]

• Verwijder alle DHCP-servers en firewall rules
• Groepeer alle ethernetpoorten onder 1 master (1-5 met 1 als master, 6-10 met 6 als master).
• Gooi ze in een bridge
• Stel wireless in en hang die ook aan de bridge

Thralas schreef op zondag 28 augustus 2016 @ 22:22:
Nee en nee.

• Verwijder alle DHCP-servers en firewall rules
• Groepeer alle ethernetpoorten onder 1 master (1-5 met 1 als master, 6-10 met 6 als master).
• Gooi ze in een bridge
• Stel wireless in en hang die ook aan de bridge

Dat is allemaal geen rocket science, je kunt zelfs quick set gebruiken in 'home AP' modus als startpunt. Daarmee moet je eth1 even slave port maken, geen DHCP kiezen tijdens Quick Set en dan ben je er ook.

allure schreef op donderdag 15 september 2016 @ 18:35:
Vraagje, ik heb mijn abbonement bij Ziggo omgezet naar 300/30 nu loop ik met de Rb2011 tegen de 200Mbit limiet aan met mijn config.
Heeft iemand hier de RB2011 boven de 200Mbit WAN-snelheid?

Zoniet, dan zal ik moeten kijken naar een snellere router.

[ Voor 10% gewijzigd door chaoscontrol op 15-09-2016 19:44 ]

Verwijderd schreef op donderdag 15 september 2016 @ 20:22:
wauw.... 500 / 600 lijn.... COOL

En mooi dat de RB2011 het gewoon trekt....

[ Voor 38% gewijzigd door allure op 15-09-2016 22:00 ]

1

/ip firewall filter add chain=input dst-port=1194 protocol=tcp

[ Voor 24% gewijzigd door Snippo op 17-09-2016 15:33 ]

- cAP is now shipping with AR9533 650MHz CPU, 64MB RAM and Dual-Chain wireless with output power up to 158mW (revision 2). New product code for Dual-Chain version is RBcAP2nD.
https://www.roc-noc.com/mikrotik/routerboard/RBcAP2nD.html
- mAP is now shipping with AR9531 650MHz CPU, 64MB RAM and Dual-Chain wireless with output power up to 158mW (revision 2). New product code for Dual-Chain version is RBmAP2nD.

[ Voor 12% gewijzigd door Zaffo op 27-09-2016 15:50 ]

[ Voor 8% gewijzigd door Thralas op 21-10-2016 13:46 ]

Thralas schreef op zaterdag 08 oktober 2016 @ 14:04:
Nog meer upgrades:

hEXr3 aka. RB750Gr3 (upgrade van RB750Gr2).

Het gebruikelijke QCA-silicon is ingeruild voor een dualcore MediaTek MT7621A, waardoor 'ie 1600 Mbps routeert en bijna 500 Mbit/s AES-128 haalt.

Als de OpenVPN-support van MikroTik nu eens niet zo brak was, was dit echt een mooie VPN router.

[ Voor 15% gewijzigd door Hmmbob op 16-10-2016 04:22 ]

Hmmbob schreef op zondag 16 oktober 2016 @ 04:16:
M'n schoonmoeder heeft nu echt schoon genoeg van de brakke wifi van haar Ziggo modem, dus ik wil daar graag een routertje met wifi neer gaan leggen.

Ik neem aan dat de hAp AC lite deze taak op zich kan nemen - zou deze ook nog als VPN server kunnen dienen zodat ik wat geoblock dingetjes waar ik tegenaanloop (woon zelf in de VS, schoonmama in NLD) kan omzeilen, oa netflix?

Beperkingen zitten onder andere in de latency (180ms ongeveer) en in de upload van Ziggo, maar hoe houdt de hAp zich als VPN host?

Hmmbob schreef op zondag 16 oktober 2016 @ 04:16:
M'n schoonmoeder heeft nu echt schoon genoeg van de brakke wifi van haar Ziggo modem, dus ik wil daar graag een routertje met wifi neer gaan leggen.

Ik neem aan dat de hAp AC lite deze taak op zich kan nemen - zou deze ook nog als VPN server kunnen dienen zodat ik wat geoblock dingetjes waar ik tegenaanloop (woon zelf in de VS, schoonmama in NLD) kan omzeilen, oa netflix?

Beperkingen zitten onder andere in de latency (180ms ongeveer) en in de upload van Ziggo, maar hoe houdt de hAp zich als VPN host?

• 1 hEX in de meterkast
• 1 hAP ac lite in de woonkamer [bij raspberry Pi 2+ smart TV]
• 1 hAP ac lite in de slaapkamer [bij raspberry Pi 2]

[ Voor 55% gewijzigd door Thralas op 21-10-2016 12:45 ]

Thralas schreef op vrijdag 21 oktober 2016 @ 12:38:
Nieuw: RB960PGS, aka. hEX POE.

De RB750Gr3 is nu ook in stock bij interprojekt. De RB960PGS staat op preorder voor december...

@ hierboven: ik zou sowieso geen Gr2 meer kopen, maar de Gr3 die ik hier link

Verder zijn de hAP ACs misschien wel een beetje karig met 1x1 802.11ac. Als je ook laptops in huis hebt dan zou ik vlotters overwegen, met enkel mobile devices kom je er misschien nog wel mee weg (die doen toch vaak maar 1x1) - maar ik heb geen concrete ervaring met de lite.

Met bijvoorbeeld een hAP AC in de woonkamer zou je die zelfs kunnen laten routeren, dan heb je die hEX in principe niet nodig, ware het niet dat ik vermoed dat je dan een switch tekort komt om ethernet naar boven te krijgen...

pr0mpt schreef op vrijdag 21 oktober 2016 @ 15:44:
Dat zou dan betekenen dat al het verkeer van die devices van Meterkast -> Woonkamer -> Meterkast -> Boven zou moeten gaan, maar al het verkeer van de Woonkamer gaat over hetzelfde kabeltje.

Lijkt me niet echt gewenst toch?

rohaantje schreef op zondag 09 oktober 2016 @ 15:36:
Op een camping kun je dan het beste een richt antenne nemen op de groove. Of beter een routerboard sxt 2. Deze richt je op de dichtsbijzijnde wifi ap.

Bij een zichtverbinding moet 500/700m te halen zijn.(tenzij ze zich niet aan de regels houden(max 100mw op 2,4), dan zou je verder kunnen.

jamesbond007uk schreef op donderdag 27 oktober 2016 @ 22:21:
[...]


@Rohaantje,

Sorry voor te late reactie.
De Routerboard SXT 2 richtantenne (2.4 Ghz), is beter dan Groove? Gaat deze verder dan 500/700m zicht verbinding?

Op een andere locatie moet ik maar 75m overbruggen + door paar muren in huis waar router staat. Lukt dat denk je? Dit is op pad van schoonmoeder met caravan.

[ Voor 6% gewijzigd door Petervanakelyen op 28-10-2016 00:05 ]

Thralas schreef op maandag 31 oktober 2016 @ 23:13:
Ja, dat kan.

Yarisken schreef op maandag 31 oktober 2016 @ 23:05:
Ik ben ook van plan een mikrotik te kopen. In 1ste instantie omdat je een mirror poort kan instellen en omdat ik geen aparte switch hoef te kopen.
Nog een nice to have is dat ik graag had geweten of je 2 aparte ssid's kan instellen.
1 voor gewoon te surfen en 1 die door een vpn tunnel naar buiten gaat. Ik vermoed van wel, gewoon nog is extra bevestiging :-).

lier schreef op maandag 07 november 2016 @ 09:16:
In mijn huidige router heb ik een Guest VLAN toegevoegd met eigen DHCP server die zorgt voor het gastnetwerk. Op de Unifi accesspoint heb ik twee SSID's geconfigureerd waarvan het guest netwerk gekoppeld is aan het Guest VLAN. Is dit ook mogelijk met de MikroTik (daar twijfel ik niet aan) en vooral...hoe?

Ik ben uitgegaan van de standaard configuratie en wil poort 2 t/m 4 voorzien van een Guest VLAN.

VPN server is nu heel eenvoudig (in vergelijking met een paar jaar geleden). Heb een L2TP VPN opgezet die van binnen het netwerk te benaderen is. Deze kan ik echter niet benaderen vanuit de WAN kant. Moet hiervoor de firewall aangepast worden?

Thralas schreef op maandag 07 november 2016 @ 21:12:
Je hebt toch een RB951 om dat even proefondervindelijk vast te stellen?

Het kan inderdaad; extra SSIDs (of: Virtual APs) worden gewoon als extra interface gezien binnen RouterOS. Die kun je dus gewoon weer aan een bridge naar keuze knopen, of routeren.

Wij weten niet hoe je firewall eruitziet

Niet het antwoord, maar ik hoop sowieso dat je een default DROP policy hanteert op je WAN, dan zou ik inderdaad een regeltje toevoegen om het eea. van buiten te allowen.

Ik neem aan dat je de VPN op een LAN interface geconfigureerd hebt? Dan zou ik hem op de WAN zetten. Als je er om de een of andere reden alsnog van binnen bij wilt kunnen (huh?) moet je een hairpin NAT-regel toevoegen. Hoe dat moet staat op de MikroTik wiki.

lier schreef op dinsdag 08 november 2016 @ 09:27:
[...]
Gisteren inderdaad verder gestoeid...VLAN koppelen aan de standaard bridge lukt, echter kunnen mensen dan alles binnen het interne netwerk ook zien. Idee is juist dat het Guest VLAN alleen toegang heeft tot Internet (WAN).

*) winbox - fixed missing switch menu for mmips devices;

[ Voor 5% gewijzigd door The Executer op 10-11-2016 20:19 ]

jamesbond007uk schreef op zaterdag 05 november 2016 @ 14:49:
Kun je met RouterOS ook een verbinding maken met Ziggo Wifi Hotspots? Zo ja, hoe?

BluRay schreef op donderdag 10 november 2016 @ 23:06:
Kan prima. Zie: Blog van Dhr_Soulslayer: Mikrotik met Ziggo WifiSpots

Verwijderd schreef op donderdag 10 november 2016 @ 20:29:
Wie komt er morgen naar de MUM in Amsterdam?

rohaantje schreef op vrijdag 11 november 2016 @ 12:19:
[...]


Ik zou ook komen, helaas mensen te kort op het werk.
Wordt dus live volgen

Petervanakelyen schreef op vrijdag 11 november 2016 @ 15:00:
Interessante talk, jammer dat Windows de presentator niet gunstig gezind is

Verwijderd schreef op vrijdag 11 november 2016 @ 20:30:
Maar goed, hij heeft het wel goed opgepakt....

Wel jammer dat er niet echt uit de bus kwam hoe zijn bedrijf nu met Mikrotik werkt, of gebruikt. Was dat meer een marketing reclame praatje"

Hans (met die kerstboom) was prachtig!

[ Voor 8% gewijzigd door DJSmiley op 11-11-2016 20:41 ]

rohaantje schreef op zaterdag 12 november 2016 @ 16:02:
Nog interessante introducties van mikrotik zelf tijdens de intro?

rohaantje schreef op donderdag 27 oktober 2016 @ 23:51:
[...]

Sxt 2 en groove met richtantenne zullen beide even goed presteren.
Alleen is de sxt een all-in-one. Waar je bij de groove een antenne moet zoeken.

De standaard antenne bij de grooveA is een omniantenne deze zal het op een punt-punt verbinding minder goed doen

Verwijderd schreef op dinsdag 15 november 2016 @ 23:33:
SX2 heeft een 60 graden hoek. De QRT heeft 22 graden (bij 2,4 GHz versie). Dus de SXT is meer geschikt van PTmP (Point to multi point). De QRT is beter voor lange afstanden en PtP links (point to point).

En de QRT heeft gigantische vermogen. 35 dBm (3,2 W) op 2,4 GHz. Plus nog een 17 dBi antenne. Of je dat de lucht in mag slingeren weet ik niet. Neem dan voor de zekerheid de QRT 5ac versie. Die doet 1 W (30 dBm) en dat mag ten minste.

Verwijderd schreef op dinsdag 15 november 2016 @ 19:51:
Ik heb een laptop van mijn nieuwe werk gekregen, en thuis op het LAN aangesloten (RB2011 als gateway). Eerst ging alles OK, maar toen ik een reboot deed, als ik nu een webpagina open krijg ik :

Acess Denied te zien (door Mikrotik). Ik kan ook niet eens het IP adres van de router invullen.

Ik heb geen beperkingen (bv MAC filters of zo) in mijn Mikrotik.

Ook in de log's zie ik niets.

Sinds wanneer "denkt" Mikrotik mij niet toe te laten op mijn eigen LAN?


Ping naar nu.nl werkt bv. wel.

Verwijderd schreef op woensdag 16 november 2016 @ 20:17:
[...]


Iemand een idee?