[MikroTik-apparatuur] Ervaringen & Discussie

• Hoe kan ik op het guest_vlan alle verkeer naar de gateway (Mikrotik router) blokkeren? Inmiddels is het niet meer mogelijk om van het guest_vlan op het "normale" netwerk te komen.
• Waarom werkt mijn port forwarding niet meer (van poort 50022 extern naar 22 intern)?

1
2
3
4
5
6
7
8
9
10
11
12

0  D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 
1    ;;; defconf: accept ICMP chain=input action=accept protocol=icmp 
2    ;;; defconf: accept established,related chain=input action=accept connection-state=established,related 
3    ;;; L2TP VPN chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" 
4    chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix="" 
5    chain=input action=accept protocol=udp dst-port=4500 port="" log=no log-prefix="" 
6    ;;; defconf: drop all from WAN chain=input action=drop in-interface=WAN 
7    ;;; defconf: fasttrack chain=forward action=fasttrack-connection connection-state=established,related 
8    ;;; drop guest vlan to defconf chain=forward action=drop in-interface=vlan-guest out-interface=!WAN log=no log-prefix="" 
9    ;;; defconf: accept established,related chain=forward action=accept connection-state=established,related 
10    ;;; defconf: drop invalid chain=forward action=drop connection-state=invalid 
11    ;;; defconf:  drop all from WAN not DSTNATed chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN

1
2
3

0    ;;; defconf: masquerade chain=srcnat action=masquerade out-interface=WAN
1    chain=dstnat action=dst-nat to-addresses=192.168.50.10 to-ports=22 protocol=tcp in-interface=WAN dst-port=50022 log=no log-prefix=""
2    ;;; masq. vpn traffic chain=srcnat action=masquerade src-address=0.89.168.192-255.89.168.192

lier schreef op dinsdag 22 november 2016 @ 10:35:
[list]
• Hoe kan ik op het guest_vlan alle verkeer naar de gateway (Mikrotik router) blokkeren? Inmiddels is het niet meer mogelijk om van het guest_vlan op het "normale" netwerk te komen.

1. Allow INPUT vanaf je prive-interfaces
2. Allow port 53 tcp/udp voor non-WAN ivm DNS (let op dat je WAN uitsluit)
3. Drop de rest

• Waarom werkt mijn port forwarding niet meer (van poort 50022 extern naar 22 intern)?

[b]dovo schreef op woensdag 23 november 2016 @ 16:26:[/b
Wat raden jullie aan, ideeën of ervaring?

[ Voor 9% gewijzigd door Thralas op 23-11-2016 18:36 ]

Verwijderd schreef op dinsdag 31 januari 2017 @ 23:13:
heb je de laatste OS versie erop gezet? Druk in quickset op "Check for updates".

[ Voor 13% gewijzigd door lier op 04-02-2017 12:08 ]

lier schreef op zaterdag 4 februari 2017 @ 11:21:
Alleen nog uitzoeken hoe ik het VLAN ook goed in de lucht krijg...

[ Voor 45% gewijzigd door Zaffo op 04-02-2017 14:27 . Reden: achtergrond ]

[ Voor 26% gewijzigd door vali op 05-02-2017 12:25 ]

vali schreef op zondag 5 februari 2017 @ 12:10:
(...)

Verder ben ik echt super tevreden met de router, had hem echt veel eerder moeten kopen.

[ Voor 87% gewijzigd door DJSmiley op 08-02-2017 19:25 ]

quote: http://forum.mikrotik.com/viewtopic.php?t=116821#p577542

Winbox 3.8, RB750GL 6.39rc12 - can not change/set firewall NAT rule's dst-port, src-port by winbox. Fields are grayed out/disabled whatever I do. On existing NAT rules and new ones as well. Already reported to support@mikrotik.com

PeterEs schreef op maandag 13 februari 2017 @ 00:47:
Iemand hier ervaring met een RB260 of een ander device met SwOS? Ik had verwacht dat dat SwOS een gelimiteerde versie van RouterOS zou zijn, maar dat valt tegen...

In alle switches die ik tot nu toe gezien heb kun je gewoon een VLAN id en tagged/untagged instellen per poort, in SwOS is dat iets ingewikkelder. Wat ik wil doen is de RB260 untagged verbinden met mijn RB2011 en één poort op de RB260 tagged in een ander vlan stoppen.

Klinkt heel simpel, gewoon een tagged vlan over de trunk poort leggen, maar ik krijg het niet voor elkaar. Ik heb de poort vanuit de RB2011 verbonden met mijn mac en dan krijg ik netjes zoals verwacht een untagged dhcp adres toegewezen en na het toevoegen van het VLAN ook in het VLAN netjes een IP. Daaruit concludeer ik dat de instelling op de RB2011 goed is.

Iemand die een dergelijke set-up heeft draaien en mij een beetje op weg kan helpen?

[ Voor 3% gewijzigd door Verwijderd op 27-02-2017 11:52 ]

[ Voor 43% gewijzigd door SpikeHome op 28-02-2017 16:50 ]

WeaZuL schreef op donderdag 9 maart 2017 @ 11:56:
Ik ben de afgelopen twee dagen bezig de Fritzbox van XS4ALL te vervangen door een CRS125. Dat lukt aardig heb nu routed IPTV werkend icm de XS4all PPPOE glasvezel verbinding en de switchchip icm de verschillende vlans. Nu heb ik een vraag m.b.t. wireless, de CRS ondersteunt enkel 2.4ghz. Ik zou graag een accesspoint ophangen die 5 ghz ondersteunt. Wat is dan de beste setup, het wireless gedeelte van de CRS125 helemaal uit zetten en het access point 2.4ghz en 5ghz laten afhandelen? Iemand goede ervaringen met een bepaald type mikrotik accesspoint?

• Je kan simpelweg een extra AP aanschaffen (wAP ac) en deze als enige AP laten functioneren.
• Je kunt een extra AP aanschaffen en deze als extra gebruiken op een andere locatie(bv woonkamer).
• Je kunt ook je CRS215 configureren met CAPsMAN. Dan configureert de CRS215 zijn eigen wifi en de wifi van de extra AP('s) naar hetzelfde SSID en hij houdt ook de channels in de gaten.

[ Voor 9% gewijzigd door Out.of.Control op 10-03-2017 11:52 ]

Snippo schreef op dinsdag 14 maart 2017 @ 21:50:
Is er een outdoor Mikrotik product voor een point to point verbinding met meerdere ethernet uitgangen? Ik wil een verbinding opzetten met meerdere IP camera's maar het enige wat ik gevonden krijg is de PowerBox. Echter is dat natuurlijk geen PTP apparaat.
Ik zoek dus iets als een SXT maar dan met meerdere uitgangen, maar ik krijg niets gevonden (dus de vraag is of het uberhaupt bestaat).

[ Voor 4% gewijzigd door Snippo op 14-03-2017 22:50 ]

Hmmbob schreef op dinsdag 21 maart 2017 @ 04:21:
Plaats je config hier metzonder wachtwoorden en metzonder je WAN ip (if static)?

Hmmbob schreef op woensdag 22 maart 2017 @ 15:06:
Je gebruikt je Synology voor vanalles vanaf buiten?

Ik heb ervoor gekozen om een vpn server op de router in te stellen, en alleen via vpn bij de nas te kunnen. Maar dat is natuurlijk afhankelijk van wat je wil bereiken - als je een website host is dat niet zo handig. Ik zie ook een mailserver?

[ Voor 10% gewijzigd door Freekers op 22-03-2017 16:39 ]

XoReP schreef op woensdag 22 maart 2017 @ 17:38:
Ben benieuwd wat ze op de MUM presentere..

SpikeHome schreef op maandag 27 februari 2017 @ 11:28:
ik ben nu al enkele weken aan het kijken naar een andere router voor thuis en voor het bedrijf van mijn vrouw.

situatie nu
thuis asus rt68u met merlin firmware en gebruik ook openvpn en een gast wifi netwerk speed 300/30
werk een alix met pfsense waarop het bedrijf zit en een studenten huis met 5 studenten op een apart vlan speed 500/500

Nu wil ik op beide locaties dezelfde router plaatsen en tussen de routers een vpn verbinding.
zakelijk is een vast ip thuis helaas ziggo en kan wel eens wijzigen dus gebruik ik dyndns op de asus.
Op beide locaties staat een nas met gb verbinding die syncen dmv rsync elke nacht (duurt 10m).
Thuis heb ik domoticz (Pi) en pv loggers bekabeld dit mag 100mb zijn de nas echter 1gb en xbox
Zakelijk zijn er 2pc's en een wifi ap op een vlan.

Nu ik zat eerst te denken aan een nieuwe alix de APU2C4 met pfsense maar daar mis ik wifi op en een hoop nic's waardoor er weer een switch en ap erbij moet.
ubiquiti ook aan gedacht de goedkopere hetzelfde probleem.
Zodoende kwam ik ook bij mikrotik en die heeft zover ik zie alles in 1 min, 8 poorten evt sfp en wifi.
Ik kijk dan naar de CRS109-8G-1S-2HnD of de RB2011UiAS-2HnD-IN

Nu de vragen.
sfp poort gebruiken voor je wan? (zonde namelijk om de poort niet te gebruiken)
De RB2011 heeft 10 poorten de 5 van 100 kan ik voor domoticz, acess point en pv logger e.d. gebruiken
en de gigabit poorts voor de xbox en nas
Met de CRS109 kan echter alles op 1gb
Wat zijn de belangrijkste verschillen tussen de 2?
Met wat portforwardings, dyndns script, vpn is de router snel genoeg voor de 300/30 of 500/500?
Is het raadzaam om de sfp poort te gebruiken (met converter)?
Met de SB2011 zou ik ether10 als wan kunnen configureren? (zie in voorbeelden altijd ether1)
Verder lijkt me de mikrotik een super mooi product en zal nog wel wat leermomenten vergen.
dank alvast voor de suggesties en opmerkingen.

[ Voor 88% gewijzigd door SpikeHome op 27-03-2017 08:45 ]

Freekers schreef op maandag 20 maart 2017 @ 22:24:
Ik ben eigenlijk wel benieuwd hoe ik de beveiliging van mijn Mikrotik nog verder kan verhogen en of hij wel genoeg 'dichtgetimmerd' staat. Ik ben er namelijk geen pro in maar wil wel graag leren. Zijn er eventueel Tweakers die (tegen een kleine vergoeding) een 'audit' willen uitvoeren op mijn Mikrotik met tips & aanbevelingen?

Hmmbob schreef op dinsdag 28 maart 2017 @ 02:35:
Ik zou graag een 'blocklist' willen maken van IP adressen die de pptp poort openen, maar nooit echt verbinding maken met de pptp server - maar zónder dat ik mijzelf buiten sluit

jvanhambelgium schreef op dinsdag 28 maart 2017 @ 06:46:
[...]


Deze guide al bekeken ?

https://www.manitonetwork...mikrotik-router-hardening

Thralas schreef op dinsdag 28 maart 2017 @ 19:43:
[...]
Met welk doel?

Krab jezelf nog even heel goed achter de oren als dat iets anders is dan 'logs schoonhouden'.

Snippo schreef op woensdag 15 maart 2017 @ 11:47:
Die is er dan helaas alleen weer in 5 GHz en ondersteund voor zover ik kan zien geen 802.3at, alleen passive PoE.

Een kabel is inderdaad een betere optie, maar in dat geval heb ik weer een outdoor switch nodig... Ook daar is de PowerBox eigenlijk het enige outdoor device wat ik krijg gevonden. Een indoor switch plaatsen in een behuizing kan ook, maar ik heb buiten liever een outdoor apparaat want dan weet ik zeker dat die koud en/of vochtig weer overleeft.
Als ik niets beter krijg gevonden denk ik dat ik een PowerBox aanschaf. Mocht wifi niet werken kan ik altijd nog een kabel trekken. Het beste zou een apparaat zijn dat ook 802.3at ondersteund, maar die krijg ik niet gevonden (ik las dat het waarschijnlijk in de upgrade van de PowerBox komt, maar daar is verder ook niets over te vinden).

Verwijderd schreef op dinsdag 21 maart 2017 @ 10:47:
@ Snippo: Je kan beter losse kabels trekken. Mocht een camera "vastgelopen" zijn, of je wilt een reset doen (power uit en aan), dan kan je dat beter doen vanuit beneden en vanuit binnen. Anders moet de hele systeem boven gereset worden, en dat wil je vaak niet.

En geheid dat die camera "vastloopt" op een regenachtige, winderige november met -5 buiten. Dan wil je echt niet naar boven klimmen om een camera te resetten met je koude handjes. Veel makkelijker is een UTP kabel beneden uit de PoE switch te halen en weer erin te doen.

[ Voor 33% gewijzigd door Snippo op 31-03-2017 18:15 ]

[ Voor 8% gewijzigd door SpikeHome op 06-04-2017 11:23 ]

chaoscontrol schreef op donderdag 6 april 2017 @ 13:46:
Wat als je er een simpele switch tussen stopt, is het dan anders?

Hmmbob schreef op donderdag 6 april 2017 @ 20:14:
En als je je laptop in de 2011 hangt met Fasttrack aan, heb je dan hetzelfde resultaat?

• Loopt je glas over PPPoE? Indien ja, is je MTU op de PPP link 1500?
• Hoe ziet je mangle table eruit?
• Is die 160 byte/s werkelijk data in flight, of stallt de verbinding eigenlijk?
• Test voor dat alles: curl -v google.com eens; als je wel headers terugkrijgt maar het daarna ophoudt heb je een MTU-probleem.

nescafe schreef op vrijdag 7 april 2017 @ 21:50:
dst-address-type=local in je dstnat-rules, je translate nu (ook) je uitgaande connecties

Verwijderd schreef op woensdag 12 april 2017 @ 09:27:
Is de Unifi wel naar de laatste firmware gebracht?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

/ipv6 address
add address=2001:470:xxxx:zzzz::2 advertise=no interface=sit1
add address=2001:470:xxxy:yyyy::1 interface=bridge-naam
/ipv6 firewall filter
add action=accept chain=input comment="Allow established connections" connection-state=established
add action=accept chain=input comment="Allow related connections" connection-state=related
add action=accept chain=input comment="Allow ICMP" limit=50,5:packet protocol=icmpv6
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input
add action=accept chain=forward comment="Allow any to internet" out-interface=sit1
add action=accept chain=forward comment="Allow established connections" connection-state=established
add action=accept chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward
/ipv6 nd
set [ find default=yes ] advertise-dns=yes interface=bridge-naam
/ipv6 nd prefix default
set preferred-lifetime=5m valid-lifetime=2m
/ipv6 route
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend !check-gateway distance=1 dst-address=2000::/3 \
    gateway=2001:470:xxxx:zzzz::1 !route-tag

• PPPoE wan op IPv4
• DHCP-client wan op IPv4(voor handmatige failover)
• IPv4 Router, DHCP, Firewall
• 3 gescheiden netwerken via bridges en vlans
• CAPsManager en CAP voor het wifi-netwerk hier
• (weinig gebruikte) IPsec VPN

• Wat is sit1 voor interface?
• Heb je op de router wel IPv6-connectivity?
• Geen /ipv6 pool?
• Probeer eens een input accept from-interface=bridge-naam toe te voegen

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

/interface 6to4
add !keepalive name=6rd remote-address=217.19.16.16
/ipv6 pool
add name=ppp prefix=2a02:xxxx:xxxx:xxxx::/60 prefix-length=64
/ipv6 address
add address=2a02:xxxx:xxxx:xxxx:127::1 interface=bridge-lan
/ipv6 firewall filter
add action=accept chain=input comment=established,related connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept from lan" in-interface=bridge-lan
add action=accept chain=input comment="accept from vpn" in-interface=all-ppp
add action=accept chain=input comment="accept icmp" protocol=icmpv6
add action=accept chain=input dst-port=546 protocol=udp src-address=fe80::/10
add action=drop chain=input comment="default drop"
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=accept chain=forward comment="accept from lan" in-interface=bridge-lan
add action=accept chain=forward comment="accept from vpn" in-interface=all-ppp
add action=accept chain=forward comment="accept icmp" protocol=icmpv6
add action=drop chain=forward comment="default drop"
/ipv6 nd
set [ find default=yes ] interface=bridge-lan
/ipv6 route
add !bgp-as-path !bgp-atomic-aggregate !bgp-communities !bgp-local-pref !bgp-med !bgp-origin !bgp-prepend !check-gateway distance=1 \
    dst-address=2000::/3 gateway=6rd !route-tag

nescafe schreef op woensdag 19 april 2017 @ 09:58:

• Wat is sit1 voor interface?
• Heb je op de router wel IPv6-connectivity?
• Geen /ipv6 pool?
• Probeer eens een input accept from-interface=bridge-naam toe te voegen

• Sit1 is een 6to4 tunnel.
• Mijn router kan pingen naar google ipv6 DNS, dus ja.
• Geen ipv6 pool omdat ik geen DHCP wil gebruiken, alleen stateless auto config.
• firewall regel heeft geen invloed

[ Voor 8% gewijzigd door rohaantje op 19-04-2017 12:28 ]

nescafe schreef op woensdag 19 april 2017 @ 12:32:
Ah ja, is ook voor ppp bedoeld. Enige verschil is dan de route (gateway=interface) en alleen een adres op bridge, geen adres op de 6to4-interface. Kun je dat nog eens proberen?

1

/ipv6 address add address=2001:470:xxxy:yyyy::1 interface=bridge-naam

rohaantje schreef op woensdag 19 april 2017 @ 12:37:
[...]


Dat gedeelte heeft voornamelijk te maken met de connectiviteit naar de IPv6 wereld.
Het gaat mij vooral om dit regeltje:

code:

1	/ipv6 address add address=2001:470:xxxy:yyyy::1 interface=bridge-naam

Deze regel doet zijn werk niet. Terwijl als ik dit invoer op een willekeurig RouterOS apparaat hier in huis dan doet hij het wel.

rohaantje schreef op woensdag 19 april 2017 @ 21:16:
Nu loop ik alleen nog aan tegen een probleem wat lijkt opeen dns achtig dingetje. Site zoals tweakers.net worden niet geladen. Maar google en youtube e.d. Wel. Dus dat moet ik nog fd uitzoeken.

Thralas schreef op donderdag 20 april 2017 @ 08:31:
[...]


Lijkt me meer een MTU-achtig dingetje. Als je die niet goed hebt gezet op je sit0 dan staat 'ie nu mogelijk te hoog.

Check ook eerst even of je PPPoE-link wel RFC4638-doet als je toch in de MTU-hoek bezig bent (concreter: de default MTU is 1492, veel PPPoE concentrators kunnen ook 1500 aan, configureer dat).

Als het dan nog niet werkt zul je iets van MSS clamping moeten toepassen (mangle rule) om het verkeer in die sit0 te laten passen.

Als je Chrome gebruikt is het laden van Google services te verklaren omdat dat over QUIC gaat.

Verwijderd schreef op maandag 8 mei 2017 @ 11:48:
Als je namelijk intern traffic hebt (bv. grote files van server of NAS halen of wegschrijven), dan kan de switch dat perfect, zonder de Mikrotik daar mee "lastig" te vallen. Gaat het om traffic "naar buiten", dan uiteraard, moet de Mikrotik in actie komen.

Eigenlijk, heeft een goede router ook maar één poort. Voor alles! En niet 5 of 10 poorten.

Verwijderd schreef op maandag 8 mei 2017 @ 11:48:
Zou je niet nadenken over een switch in te zetten, als je te weinig poorten hebt? Je moet eigenlijk apparaten dingen laten doen waar ze goed in zijn. Dus routeren: Mikrotik. Switchen: HP, Cisco, Juniper etc....

Verwijderd schreef op maandag 8 mei 2017 @ 11:48:
Als je namelijk intern traffic hebt (bv. grote files van server of NAS halen of wegschrijven), dan kan de switch dat perfect, zonder de Mikrotik daar mee "lastig" te vallen. Gaat het om traffic "naar buiten", dan uiteraard, moet de Mikrotik in actie komen.

Verwijderd schreef op maandag 8 mei 2017 @ 14:14:
[...]
Waarom zou dat moeten? Je zet de "WAN" poort op VLAN 3 en de rest van je traffic op VLAN 4. Je laat de (managed) switch de boel uit elkaar te houden. Daar heeft de switch dedidated chips voor, om dat soort dingen te doen.

Zaffo schreef op maandag 8 mei 2017 @ 11:00:
HEXv3 - encryptie performance update.

Zaffo schreef op woensdag 10 mei 2017 @ 21:46:
@Thralas
Goed punt. Alle andere encryptie gaan nog via de CPU en er is nog geen idee vanuit Mikrotik support wanneer daar verandering in komt, behalve een "mogelijkheid in de toekomst".

IPsec staat nog op mijn lijstje om mee aan de slag te gaan, aangezien de huidige OpenVPN implementatie alleen TCP is. Dus dit kan een extra reden zijn. Met de cpu verwacht ik toch wel een verdubbeling van de doorvoersnelheid, puur op gevoel. Maar dat is verder nergens op gebaseerd en dus een slecht iets om een aankoop op te baseren.

De 2011 gaat denk ik gegarandeerd trager zijn, dus die optie valt af. De 3011 is dan weer wat te duur voor deze situatie, met 3x te prijs ook een heel andere klasse apparaat.

dovo schreef op woensdag 10 mei 2017 @ 22:08:
[...]

Zelf in het bezit van een hex v3
Met openvpn haal ik ~30 mbit. Is wel single threaded, dus in theorie zouden twee clients 30 mbit kunnen pushen.
Ipsec/L2TP haal ik 150+ mbit.
De ingebouwde quick Set laat je trouwens toe om juist een username en password in te vullen en je hebt al direct een werkende config met Ipsec/L2TP voor één user