[MikroTik-apparatuur] Ervaringen & Discussie

The Executer schreef op woensdag 11 oktober 2017 @ 00:02:
- Gebruiken allow-list t.b.v. extern toegang RDP, VPN en overige poortforwardingen/Winbox vanaf door mij aangegeven vertrouwde IP-adressen.

De regels ervoor laten specifiek (dus niet alles zoals je aangeeft)

Anders gaan die packets opnieuw door regels 1 t/m 9 voordat het gedropt wordt bij regel 10 wat onnodig is/onnodig cpu kost.

WeaZuL schreef op zaterdag 7 oktober 2017 @ 22:19:
[...]


Ja er zitten wel schroefgaten aan de zijkant. Klopt, met een alu strip kom je ook een eind. Ik heb net een 3dhub in de buurt aangeschreven, voor die beugels, ik ben benieuwd. Voor mij de eerste keer dat ik een aangeleverd model laat printen

[ Voor 4% gewijzigd door WeaZuL op 11-10-2017 16:17 ]

[ Voor 7% gewijzigd door WeaZuL op 13-10-2017 12:38 ]

WeaZuL schreef op vrijdag 13 oktober 2017 @ 12:32:
Ik heb nou mijn mikrotik setup in "productie" draaien, een CRS125-24g-1S-RM icm twee losse wAP-ac's, een op de begane grond en 1 op de eerste verdieping. Gaat tot nu toe goed, wel wat hulp hier en daar nodig gehad bij de config maar de basis staat er! Nu wordt ik gedwongen om naar de zolder te verhuizen met mijn kantoor en kom ik eigenlijk 1 UTP aansluiting te kort. Nu viel mijn oog op de nieuwe? hAP-ac RB962UIGS-5HACT2hnt-hap-ac.
Nu lees ik echter op het mikrotik forum redelijk recente posts over deze router waar problemen mee zijn met name trage Lan/wan throughput. Mijn vraag is heeft iemand hier een dergelijke hAP-ac en wat zijn daar je ervaringen mee?

WeaZuL schreef op vrijdag 13 oktober 2017 @ 12:32:
Ik heb nou mijn mikrotik setup in "productie" draaien, een CRS125-24g-1S-RM icm twee losse wAP-ac's, een op de begane grond en 1 op de eerste verdieping. Gaat tot nu toe goed, wel wat hulp hier en daar nodig gehad bij de config maar de basis staat er! Nu wordt ik gedwongen om naar de zolder te verhuizen met mijn kantoor en kom ik eigenlijk 1 UTP aansluiting te kort. Nu viel mijn oog op de nieuwe? hAP-ac RB962UIGS-5HACT2hnt-hap-ac.
Nu lees ik echter op het mikrotik forum redelijk recente posts over deze router waar problemen mee zijn met name trage Lan/wan throughput. Mijn vraag is heeft iemand hier een dergelijke hAP-ac en wat zijn daar je ervaringen mee?

Faulty series have this SN:

673705 1BD37F
673705 E06641
673705 914040

[ Voor 8% gewijzigd door WeaZuL op 17-10-2017 14:04 ]

WeaZuL schreef op dinsdag 17 oktober 2017 @ 14:02:
Ik ben vandaag bezig met mijn sfp interface om deze werkend te krijgen met mijn xs4all ftth aansluiting maar dat vlot nog niet zo. Ik zie op de interface sfp1 transmit verkeer maar geen receive. Pppoe cliënt probeert continu te connecten, maar blijft dit proberen.

/interface ethernet monitor sfp1 geeft link-ok

Hiervoor zat ik met de NTU op ether1 en dat werkte zonder issues, het enigewat ik nu gewijzigd heb is de glaskabel gemonteerd en in vlan6 de interface gewijzigd naar sfp1. Zou moeten werken toch?

DJSmiley schreef op dinsdag 17 oktober 2017 @ 14:53:
[...]


Juiste SFP gebruikt? Als je SFP DDM heeft: Zijn je powerlevels goed?
Niet toevallig een 1Gbase-BX optic op een 100Base-BX lijn? de NTU's zijn vaak 100/1000Mbit

[admin@MikroTik] > /interface ethernet monitor sfp1-gateway 
                    name: sfp1-gateway
                  status: link-ok
        auto-negotiation: disabled
                    rate: 1Gbps
             full-duplex: yes
         tx-flow-control: yes
         rx-flow-control: yes
      sfp-module-present: yes
             sfp-rx-loss: no
                sfp-type: SFP-or-SFP+
      sfp-connector-type: SC
     sfp-link-length-9um: 20000m
    sfp-link-length-50um: 550m
    sfp-link-length-62um: 550m
         sfp-vendor-name: CISCO-FINISAR
  sfp-vendor-part-number: GLC-BX-U
     sfp-vendor-revision: 1.0
       sfp-vendor-serial: 15080500304
  sfp-manufacturing-date: 15-08-05
          sfp-wavelength: 1310nm
         eeprom-checksum: good
                  eeprom: 0000: 03 04 01 00 00 00 00 12  00 0d 01 01 0d 00 14 >
                          0010: 37 37 00 00 43 49 53 43  4f 2d 46 49 4e 49 53 >
                          0020: 52 20 20 20 00 00 1d 77  47 4c 43 2d 42 58 2d >
                          0030: 20 20 20 20 20 20 20 20  31 2e 30 20 05 1e 00 >
                          0040: 00 1a 00 00 31 35 30 38  30 35 30 30 33 30 34 >
                          0050: 20 20 20 20 31 35 30 38  30 35 20 20 00 00 00 >
                          0060: 2d 00 11 dd 31 9a 4e 27  bb 0c 12 bf 1b ab 24 >
                          0070: 8b 76 a7 a8 83 00 00 00  00 00 3a f7 4f bb 83 >
                          0080: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          0090: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00a0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00b0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00c0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00d0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00e0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00f0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >

Temperature		 
Supply Voltage		 
Tx Bias Current		 
Tx Power		 
Rx Power		 
MAC Address	

[admin@MikroTik] > /export compact
# oct/17/2017 16:31:01 by RouterOS 6.40.4
# software id = IBJL-6CBP
#
# model = CRS125-24G-1S
/interface bridge
add arp=proxy-arp name=IPtv-proxy
add name=bridge-IPTV
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 name=ether1-gateway speed=1Gbps
set [ find default-name=ether2 ] speed=1Gbps
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=sfp1 ] advertise=100M-full,1000M-full arp=proxy-arp auto-negotiation=no l2mtu=1598 \
    name=sfp1-gateway rx-flow-control=on tx-flow-control=on
/ip neighbor discovery
set sfp1-gateway discover=no
/interface vlan
add arp=proxy-arp comment="XS4ALL IPTV" interface=ether1-gateway name=VLAN4 vlan-id=4
add interface=ether1-gateway name=VLAN6 vlan-id=6
add interface=DB name=vlan1 vlan-id=1
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 comment="pppoe XS4ALL-internet" default-route-distance=1 \
    disabled=no interface=VLAN6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-xs4all \
    password=kpn use-peer-dns=yes user=FB7490@xs4all.nl
/ip neighbor discovery
set VLAN4 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=IPTV value="'IPTV_RG'"
add code=28 name=IPTV_BROADCAST value="'192.168.3.255'"
/ip dhcp-server option sets
add name=IPTV options=IPTV,IPTV_BROADCAST
/ip pool
add name=192.168.3 ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=192.168.3 disabled=no interface=bridge-IPTV name=IPTV
/routing bgp instance
set default disabled=yes
add bridge=bridge-IPTV comment=defconf interface=ether17
add bridge=IPtv-proxy interface=VLAN4
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether10,switch1-cpu vlan-id=5
/interface ethernet switch egress-vlan-translation
add customer-vid=5 new-customer-vid=0 ports=ether10
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=5 ports=ether10
/interface ethernet switch vlan
add ports=ether10,switch1-cpu vlan-id=5
/ip address
add address=192.168.3.1/24 comment=IPTV interface=bridge-IPTV network=192.168.3.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 dhcp-options=\
    option60-vendorclass,clientid,hostname disabled=no interface=IPtv-proxy use-peer-dns=no use-peer-ntp=\
    no
add dhcp-options=hostname,clientid interface=VLAN6
add dhcp-options=hostname,clientid interface=sfp1-gateway
/ip dhcp-server network
add address=192.168.3.0/24 comment=IPTV dhcp-option-set=IPTV gateway=192.168.3.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=input in-interface=pppoe-xs4all protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=\
    established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related
add chain=input comment="defconf: accept established,related" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=input in-interface=VLAN6
add action=drop chain=input in-interface=pppoe-xs4all
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-xs4all
add action=masquerade chain=srcnat comment=Internet out-interface=VLAN6
add action=masquerade chain=srcnat comment=IPTV dst-address=10.241.192.0/18 out-interface=IPtv-proxy
add action=masquerade chain=srcnat comment=IPTV2 dst-address=213.75.112.0/21 out-interface=IPtv-proxy
add action=masquerade chain=srcnat comment="NAT Loopback (IPTV)" out-interface=bridge-IPTV src-address=\
    192.168.3.0/24
/routing igmp-proxy interface
add alternative-subnets=10.241.192.0/18,213.75.0.0/16 interface=IPtv-proxy upstream=yes
add interface=bridge-IPTV
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add disabled=yes topics=debug
add topics=pppoe
add topics=interface
/system ntp client
set enabled=yes server-dns-names=0.nl.pool.ntp.org,1.nl.pool.ntp.org,2.nl.pool.ntp.org,3.nl.pool.ntp.org

[ Voor 96% gewijzigd door WeaZuL op 17-10-2017 17:30 ]

WeaZuL schreef op dinsdag 17 oktober 2017 @ 15:43:
[...]


Hoe kom ik erachter of ik een 100mbit of een of een 1GBit glas aansluiting heb? Welke SFP moet ik hebben waar DDM wel en dus hopelijk ook de verbinding met XS4all FTTH werkt?

Alle drie de ledjes op de NTU branden groen, betekend dat niet 1Gbit?
[afbeelding]


Tevens lees ik hier dat de golflengte 1490nm RX moet zijn en mijn SFP is 1550nm RX, is dat de wellicht de reden?

WeaZuL schreef op dinsdag 17 oktober 2017 @ 20:34:
Bedankt voor de tips, ik ga eens op zoek naar een nieuwe SFP. Ik wilde die twee via FS.com bestellen maar dan komt er naar NL een whopping 30eur aan verzk bij. Verzk naar de US is 50eur, voor 14eur aan SFP modules vind ik dat net wat te gortig. Maar ik weet iig wat ik moet hebben nu. Vreemde is dat er eigenlijk nergens bij wordt vermeld of de SFP DDM/DOM ondersteund. Dat maakt het er allemaal niet makkelijker op :-/

WeaZuL schreef op dinsdag 17 oktober 2017 @ 20:34:
Bedankt voor de tips, ik ga eens op zoek naar een nieuwe SFP. Ik wilde die twee via FS.com bestellen maar dan komt er naar NL een whopping 30eur aan verzk bij. Verzk naar de US is 50eur, voor 14eur aan SFP modules vind ik dat net wat te gortig. Maar ik weet iig wat ik moet hebben nu. Vreemde is dat er eigenlijk nergens bij wordt vermeld of de SFP DDM/DOM ondersteund. Dat maakt het er allemaal niet makkelijker op :-/

[ Voor 14% gewijzigd door tw1light op 17-10-2017 21:08 ]

DJSmiley schreef op dinsdag 17 oktober 2017 @ 20:56:
[...]


Ze hebben ook een magazijn in DLD, en volgens mij doen ze ook aan 'goedkope trage chinashipping'.

Je kan natuurlijk ook even op Ebay oid rondneuzen of misschien zo'n ding bij een lokale IT partij ff vragen of je 'm kan lenen om te testen.

tw1light schreef op dinsdag 17 oktober 2017 @ 21:05:
[...]


Nee hoor, shipping kan ook voor ~ 4 euro. Kan t alleen iets langer duren, echter SFP was vanuit een warehouse in DE binnen een week geleverd bij mij

By the way!! Let er wel op dat deze SFP een LC connector heeft, en uit je XS4all aansluiting komt SC, bij mij althans. Ik heb de kabel in de NTU eenvoudig vervangen door een verloopkabeltje SC-LC voor 1euro, ook bij fs.

[ Voor 21% gewijzigd door SpikeHome op 19-10-2017 15:21 ]

SpikeHome schreef op donderdag 19 oktober 2017 @ 14:40:
Ik ben nog steeds aan het prutsen met vlans.
Volgens mij heb ik zo de vlans voor elkaar alleen ik kan nog steeds en andere pc die op een ander vlan zit pingen.
Ik snap niet wat ik fout heb gedaan.
Hier is mijn config (wel even wachtwoorden eruit gehaald)

Hmmbob schreef op vrijdag 20 oktober 2017 @ 18:40:
Ik was op zoek naar een extra AP voor ons huis, en zag dat deze sinds vandaag in de pricewatch staat:

pricewatch: MikroTik cAP lite (RBcAPL-2nD)

Iemand al ervaringen mee?

[ Voor 36% gewijzigd door WeaZuL op 31-10-2017 12:06 ]

allure schreef op dinsdag 31 oktober 2017 @ 11:50:
Kun je een host niet een statisch IP geven in het tabblad "leases"?

IP > DHCP Server > tabblad leases > host openen > make static klikken.

[ Voor 7% gewijzigd door WeaZuL op 31-10-2017 12:04 ]

[ Voor 37% gewijzigd door allure op 31-10-2017 12:00 ]

WeaZuL schreef op dinsdag 31 oktober 2017 @ 10:14:
Ik ben bezig met een eigen email server en loop tegen PTR DNS records aan. Deze moet ik bij mij ISP (laten) registreren. Nu laat ik mijn ipv6 adressen uitdelen via dhcpv6 door de CRS125, echter kan ik niet vinden hoe ik IPv6 adressen kan reserveren (of statisch toewijzen) voor een bepaalde host. Wat ik wil voorkomen is dat mijn mailserver elke keer een nieuw IPv6 adres toegewezen krijgt wanneer de lease afloopt. Iemand een idee hoe je dat configureert?

edit: na wat op internet gestruind te hebben en in de CRS125 config gedoken te zijn blijkt dat het wel mogelijk is in de IPv4 dhcp server middels de lease te configureren aan een MAC adres maar dat deze optie niet beschikbaar is in de IPv6 DHCP server. Voorlopig ga ik dan maar statisch IPV6 adressen toewijzen die buiten de IPV6 pools liggen van de IPv6 DHCP server? Of gewoon de IPV6 dhcp pools voor servers weggooien en die enkel voor WLAN toepassen bijv?

rohaantje schreef op dinsdag 31 oktober 2017 @ 17:20:
[...]


Als je IPv6 stateless uitrolt(dus via RA ipv via dhcp) kun je de optie euid aangeven. hierdoor gaan je pc's een ipadres genereren op basis van het macadres. met als gevolg dat jouw pc's altijd dezelfde ip's hebben.

[ Voor 72% gewijzigd door WeaZuL op 01-11-2017 17:37 ]

Zaffo schreef op zaterdag 11 november 2017 @ 17:34:
@WeaZuL Ik volg je verhaal niet helemaal, misschien omdat het zaterdag is. Volgens mij moet je wel een route toevoegen. Zet 172.18.9.0/24 op bridge_vlan21. En IP adres zet je op de bridge, gezien de interfaces weer onder de bridge hangen.

Ik zou een DHCP client gebruiken ipv een vast IP, want dan wordt dit voor je gedaan en kan je gelijk zien of er een verbinding mogelijk is naar de DHCP server. Dan kan je vervolgens op de server wel een static IP instelling voor je HAPac.

/interface ethernet
set [ find default-name=ether3 ] master-port=ether2

/interface vlan
add interface=ether2 name=backup vlan-id=16
add interface=ether2 name=lan vlan-id=20
add interface=ether2 name=wlan vlan-id=21

/ip pool
add name=dhcp_poollan ranges=172.18.8.4-172.18.8.14
add name=dhcp_pool_wlan ranges=172.18.9.10-172.18.9.55

/ip dhcp-server
add address-pool=dhcp_poollan disabled=no interface=lan name=dhcplan
add address-pool=dhcp_pool_wlan disabled=no interface=wlan name=dhcp_wlan

/interface ethernet switch egress-vlan-tag
add tagged-ports=ether3,switch1-cpu vlan-id=20
add tagged-ports=ether3,switch1-cpu vlan-id=21
add tagged-ports=ether3,switch1-cpu vlan-id=16

/interface ethernet switch vlan
add ports=ether3,switch1-cpu vlan-id=16
add ports=ether3,switch1-cpu vlan-id=20
add ports=ether3,switch1-cpu vlan-id=21

/ip address
add address=10.222.0.193/29 interface=backup network=10.222.0.192
add address=172.18.8.1/28 interface=lan network=172.18.8.0
add address=172.18.9.1/26 interface=wlan network=172.18.9.0

/ip dhcp-server network
add address=172.18.8.0/28 dns-server=10.201.0.195,10.201.0.196 gateway=172.18.8.1
add address=172.18.9.0/26 dns-server=10.201.0.195,10.201.0.196 gateway=172.18.9.1

/interface bridge
add name=bridge-vlan21 protocol-mode=none

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Tweakers \
    wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
    ap-bridge ssid=Tweakers-5ghz wireless-protocol=802.11 wps-mode=disabled

/interface vlan
add interface=ether1 name=vlan21 vlan-id=21

/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=16 vlan-header=always-strip vlan-mode=secure
set 5 vlan-mode=secure

/interface bridge port
add bridge=bridge-vlan21 interface=wlan2
add bridge=bridge-vlan21 interface=wlan1
add bridge=bridge-vlan21 interface=vlan21

/interface ethernet switch vlan
add independent-learning=yes ports=ether1,ether3,switch1-cpu switch=switch1 vlan-id=16
add independent-learning=yes ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=20
add independent-learning=yes ports=ether1,switch1-cpu switch=switch1 vlan-id=21

/ip address
add address=172.18.9.2/26 interface=vlan21 network=172.18.9.0

/ip dns
set allow-remote-requests=yes servers=10.201.0.195,10.201.0.196

/ip route
add distance=1 gateway=172.18.9.1

[ Voor 61% gewijzigd door WeaZuL op 11-11-2017 22:49 ]

[admin@CRS125] /ipv6 pool> print
Flags: D - dynamic 
 #   NAME PREFIX                                      PRE EXPIRES-AFTER       
 0   in.. 2001:380:ef14:11::/64                        64
 1   app  2001:380:ef14:c::/64                         64
 2   la.. 2001:380:ef14:14::/64                        64
 3   wl.. 2001:380:ef14:15::/64                        64
 4 D xs.. 2001:380:ef14::/48                           62 1h47m               
[admin@CRS125] /ipv6 pool> add name=proxy prefix=2001:380:ef14:b::/64 prefix-length=64   
failure: prefix of two pools cannot overlap!
[admin@CRS125] /ipv6 pool>

[ Voor 13% gewijzigd door WeaZuL op 13-11-2017 16:35 ]

Hmmbob schreef op zaterdag 28 oktober 2017 @ 10:01:
Het is uiteindelijk een hAp mini geworden. Die doet zijn naam eer aan!

[afbeelding]

Naiki schreef op maandag 27 november 2017 @ 17:26:
[...]


Mag ik vragen wat jouw ervaringen tot nu toe zijn met de HAP mini? ben op zoek naar een access point. Aangezien de wifi bereik niet al te groot hoeft te zijn, en deze wel een leuke prijs heeft

Verwijderd schreef op zondag 3 december 2017 @ 20:28:
Weet iemand of Mikrotik een model heeft met 5Ghz maar dan met externe aansluitingen voor antenne's? Ik heb nu een RB751U hangen maar deze kan alléén maar 2,4 GHz. En omdat van de 80 personen maar twee een oud barrel toestel hebben (die alléén 2,4 aan kan) heb ik besloten om 2,4 GHz helemaal weg te doen.

Dus overgaan op 5 GHz. maar nu een model met externe antenne aansluiting (ik moet een richt panel erop kunnen aansluiten).

Verwijderd schreef op zondag 3 december 2017 @ 20:28:
Weet iemand of Mikrotik een model heeft met 5Ghz maar dan met externe aansluitingen voor antenne's? Ik heb nu een RB751U hangen maar deze kan alléén maar 2,4 GHz. En omdat van de 80 personen maar twee een oud barrel toestel hebben (die alléén 2,4 aan kan) heb ik besloten om 2,4 GHz helemaal weg te doen.

Dus overgaan op 5 GHz. maar nu een model met externe antenne aansluiting (ik moet een richt panel erop kunnen aansluiten).

[ Voor 8% gewijzigd door Zaffo op 03-12-2017 23:35 ]

Zaffo schreef op zondag 3 december 2017 @ 23:34:
Ikzelf wacht op de (hopelijk) binnenkort te verschijnen cAP Gi-5acD2nDc en CRS112-8P-4S-IN

tjanssen schreef op maandag 4 december 2017 @ 12:31:
[...]


Je bedoelt de cAPG-5HacD2HnD, zie hier. Volgens een medewerker van Mikrotik op hun forum komt het ding binnenkort.

lier schreef op woensdag 6 december 2017 @ 12:08:
@WeaZuL In het algemeen (dus niet MikroTik specifiek) wil je niet dat radios met elkaar interfereren en zal je altijd (zelf!) verschillende kanalen willen kiezen. Bij 2.4GHz ben je beperkt tot kanaal 1, 6 en 11. Op de 5GHz band heb je wat meer keuze.

Zelf vind ik één SSID voor beide banden (en alle accesspoints) hetzelfde. Door het zendvermogen terug te brengen tot wat nodig is zorgt de client er zelf voor dat het met de juiste radio verbinding maakt. Let daarbij op dat het doordringend vermogen van 2.4GHz hoger is, deze zou je dus minder hard willen laten zenden dan de 5GHz radio.

WeaZuL schreef op dinsdag 19 december 2017 @ 08:07:
Goed verhaal maar hoe kom ik er achter wat het benodigde zendvermogen is en hoe stel je dat icm Mikrotik apparatuur in?

allure schreef op donderdag 21 december 2017 @ 18:56:
Ik heb sinds een paar dagen het issue dat bijvoorbeeld de site van de NPO niet meer laad en ook dumpert.nl laad wel maar het is onmogelijk om videos af te spelen.

Is heb de DNS server al gewisseld en de firewall regels bekeken, heeft iemand dit eerder gehad?

[ Voor 58% gewijzigd door allure op 21-12-2017 20:01 ]

jvanhambelgium schreef op donderdag 21 december 2017 @ 19:44:
Heb even IPv6 afgezet op m'n Mikrotik en voila ... alle problemen weg als sneeuw voor de zon.
Zal het nog eens enablen om te zien of de issues direct terugkomen

Thralas schreef op vrijdag 22 december 2017 @ 00:00:
[...]


Dan ben je vergeten om IPv6 te MSS clampen bij een MTU < 1500 (PPPoE?)

Voor alle Nederlandse ISPs die gebruikmaken van KPN-infra geldt dat het providerijzer gewoon RFC4368 compliant is: met andere woorden, je mag de MTU en MRU in de PPPoE settings op 1500 zetten en al je MTU-problemen verdwijnen als sneeuw voor de zon.

Ik weet niet hoe het in België zit, maar proberen kan geen kwaad. Zou ook voor @allure een oplossing kunnen zijn, klinkt als een MTU-probleem, 'tis alleen onmogelijk dat het spontaan ontstaat.

Anders in dat geval: meten is weten. Wireshark erbij en kijken wat er nu echt misgaat.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141

# model = RouterBOARD 1100x4
# serial number = 7931***1
/interface bridge
add admin-mac=7B:FC:07:B9:4D:6D arp=proxy-arp name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=4C:5E:0C:49:43:0D name=ether1-WAN
set [ find default-name=ether5 ] mac-address=64:D1:54:CC:5B:FD
/interface bonding
add comment="QNAP TRUNK" mode=802.3ad mtu=1490 name=QNAP slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=****
/caps-man configuration
add channel.band=5ghz-a/n/ac datapath.bridge=bridge mode=ap name=Dr5gHz security=security1 ssid=Dr5gHz
add channel.band=2ghz-onlyn channel.extension-channel=Ce datapath.bridge=bridge mode=ap name=Dr2.4Ghz security=security1 ssid=Dr2.4Ghz
/caps-man interface
add configuration=Dr2.4Ghz disabled=no l2mtu=1600 mac-address=64:D1:54:A9:57:69 master-interface=none name=cap1 radio-mac=64:D1:54:A9:57:69
add configuration=Dr5gHz disabled=no l2mtu=1600 mac-address=64:D1:54:A9:57:68 master-interface=none name=cap2 radio-mac=64:D1:54:A9:57:68
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,aes-128-gcm
/ip pool
add name=dhcp ranges=192.168.1.20-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1h name=dhcp
/ppp profile
add change-tcp-mss=yes local-address=192.168.1.200 name=Iphone_Wr only-one=no remote-address=dhcp use-encryption=yes use-upnp=no
set *FFFFFFFE local-address=192.168.1.1 remote-address=dhcp
/caps-man manager
set ca-certificate=CAPsMAN-CA-0B4F65DB2CDD certificate=CAPsMAN-0B4F65DB2CDD enabled=yes
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
add bridge=bridge interface=ether11
add bridge=bridge interface=ether12
add bridge=bridge interface=ether13
add bridge=bridge interface=QNAP
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=**** use-ipsec=yes
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip cloud
set ddns-enabled=yes update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.1.30 client-id=1:0:8:9b:8d:23:ab mac-address=00:08:9B:8D:23:AB server=dhcp
add address=192.168.1.2 mac-address=B8:AE:ED:7C:EA:B1 server=dhcp
add address=192.168.1.254 client-id=1:64:d1:54:a9:57:67 mac-address=64:D1:54:A9:57:67 server=dhcp
add address=192.168.1.3 always-broadcast=yes client-id=1:24:5e:be:9:d2:48 mac-address=24:5E:BE:09:D2:48 server=dhcp
/ip dhcp-server network
add address=192.168.1.0/24 caps-manager=192.168.1.1 dns-server=192.168.1.2 domain=****.local gateway=192.168.1.1 netmask=24 ntp-server=131.211.8.244
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=fasttrack-connection chain=forward comment=Fasttrack connection-mark=!IPSec connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input protocol=icmp
add action=accept chain=input comment="allow IPsec NAT" disabled=yes dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" disabled=yes dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" disabled=yes dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="Drop DNS request from the WAN" dst-port=53 in-interface=ether1-WAN protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-WAN protocol=udp
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log-prefix="FWR: Invalid"
/ip firewall mangle
add action=mark-connection chain=forward comment="Mark IPsec out" ipsec-policy=out,ipsec new-connection-mark=IPSec passthrough=yes
add action=mark-connection chain=forward comment="Mark IPsec in" ipsec-policy=in,ipsec new-connection-mark=IPSec passthrough=yes
/ip firewall nat
add action=accept chain=srcnat comment="IPSec NAT rule (MGE)" dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (ZWD)" dst-address=192.168.3.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (LRS)" dst-address=192.168.4.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (Dr)" dst-address=192.168.5.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (Ae)" dst-address=192.168.6.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (Mn)" dst-address=192.168.10.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (HI)" dst-address=192.168.30.0/24 src-address=192.168.1.0/24
add action=accept chain=srcnat comment="IPSec NAT rule (CT)" dst-address=192.168.88.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat dst-port=**** in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.3 to-ports=8080
add action=dst-nat chain=dstnat disabled=yes dst-port=873 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.3 to-ports=****
/ip ipsec peer
add address=94.213.***.***/32 comment=LRS dh-group=modp1024 enc-algorithm=aes-128 secret=****
add address=0.0.0.0/0 dh-group=modp1024 dpd-interval=2s enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-override secret=****
add address=24.132.***.***/32 comment=ZWD dh-group=modp1024 enc-algorithm=aes-128 secret=****
add address=94.213.***.***/32 comment=MGE dh-group=modp1024 disabled=yes enc-algorithm=aes-128 secret=****
add address=94.211.***.***/32 comment="Den Helder" dh-group=modp1024 enc-algorithm=aes-128 secret=****
add address=212.204.***.***/32 comment=Majosign dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=****
add address=87.215.***.***/32 comment=CAST dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=****
add address=92.110.***.***/32 comment=Alebregtse dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=****
add address=213.124.***.***/32 comment=HOi dh-group=modp1024 enc-algorithm=aes-256 secret=****
/ip ipsec policy
add comment=LRS dst-address=192.168.4.0/24 sa-dst-address=94.213.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=ZWD dst-address=192.168.3.0/24 sa-dst-address=24.132.**.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=MGE disabled=yes dst-address=192.168.2.0/24 sa-dst-address=94.213.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=Man dst-address=192.168.10.0/24 sa-dst-address=212.204.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment="DH" dst-address=192.168.5.0/24 sa-dst-address=94.211.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=CT dst-address=192.168.88.0/24 sa-dst-address=87.215.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=Ae dst-address=192.168.6.0/24 sa-dst-address=92.110.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
add comment=HI dst-address=192.168.30.0/24 sa-dst-address=213.124.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes
set 8 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set show-dummy-rule=no
/ppp secret
add name=vpn password=****
add name=W***r password=****
add name=W**r_iphone password=**** profile=Iphone_W***r service=l2tp
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=RB1100AHx4
/system ntp client
set enabled=yes primary-ntp=131.211.8.244 secondary-ntp=193.67.79.202
/tool bandwidth-server
set authenticate=no
/tool graphing interface
add allow-address=192.168.1.0/24
add allow-address=192.168.89.0/24 store-on-disk=no
/tool graphing queue
add allow-address=192.168.1.0/24
add allow-address=192.168.89.0/24
/tool graphing resource
add allow-address=192.168.1.0/24
add allow-address=192.168.89.0/24

[ Voor 91% gewijzigd door allure op 22-12-2017 08:59 ]

allure schreef op vrijdag 22 december 2017 @ 08:46:
Ik heb een internetverbinding bij Ziggo (400/40) deze heeft langere tijd prima gewerkt.
De meeste sites werken ook prima, zo ook tweakers.net bijvoorbeeld.

Ik zie dat ik op de iPad ook niet een update van iOS kan downloaden, alle devices achter de router bedraad of draadloos hebben dit probleem dus het moet ergens in de router zitten, ik heb me al suf geprobeerd firewall regels aan en uitgezet, zonder resultaat.

Misschien zien jullie vreemde instellingen:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

# model = RouterBOARD 1100x4 # serial number = 7931***1 /interface bridge add admin-mac=7B:FC:07:B9:4D:6D arp=proxy-arp name=bridge /interface ethernet set [ find default-name=ether1 ] mac-address=4C:5E:0C:49:43:0D name=ether1-WAN set [ find default-name=ether5 ] mac-address=64:D1:54:CC:5B:FD /interface bonding add comment="QNAP TRUNK" mode=802.3ad mtu=1490 name=QNAP slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3 /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=**** /caps-man configuration add channel.band=5ghz-a/n/ac datapath.bridge=bridge mode=ap name=Dr5gHz security=security1 ssid=Dr5gHz add channel.band=2ghz-onlyn channel.extension-channel=Ce datapath.bridge=bridge mode=ap name=Dr2.4Ghz security=security1 ssid=Dr2.4Ghz /caps-man interface add configuration=Dr2.4Ghz disabled=no l2mtu=1600 mac-address=64:D1:54:A9:57:69 master-interface=none name=cap1 radio-mac=64:D1:54:A9:57:69 add configuration=Dr5gHz disabled=no l2mtu=1600 mac-address=64:D1:54:A9:57:68 master-interface=none name=cap2 radio-mac=64:D1:54:A9:57:68 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,aes-128-gcm /ip pool add name=dhcp ranges=192.168.1.20-192.168.1.200 add name=vpn ranges=192.168.89.2-192.168.89.255 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge lease-time=1h name=dhcp /ppp profile add change-tcp-mss=yes local-address=192.168.1.200 name=Iphone_Wr only-one=no remote-address=dhcp use-encryption=yes use-upnp=no set *FFFFFFFE local-address=192.168.1.1 remote-address=dhcp /caps-man manager set ca-certificate=CAPsMAN-CA-0B4F65DB2CDD certificate=CAPsMAN-0B4F65DB2CDD enabled=yes /interface bridge port add bridge=bridge interface=ether2 add bridge=bridge interface=ether3 add bridge=bridge interface=ether6 add bridge=bridge interface=ether7 add bridge=bridge interface=ether8 add bridge=bridge interface=ether9 add bridge=bridge interface=ether10 add bridge=bridge interface=ether11 add bridge=bridge interface=ether12 add bridge=bridge interface=ether13 add bridge=bridge interface=QNAP /interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=**** use-ipsec=yes /interface pptp-server server set enabled=yes /interface sstp-server server set default-profile=default-encryption enabled=yes /ip address add address=192.168.1.1/24 interface=ether2 network=192.168.1.0 /ip cloud set ddns-enabled=yes update-time=no /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1-WAN /ip dhcp-server lease add address=192.168.1.30 client-id=1:0:8:9b:8d:23:ab mac-address=00:08:9B:8D:23:AB server=dhcp add address=192.168.1.2 mac-address=B8:AE:ED:7C:EA:B1 server=dhcp add address=192.168.1.254 client-id=1:64:d1:54:a9:57:67 mac-address=64:D1:54:A9:57:67 server=dhcp add address=192.168.1.3 always-broadcast=yes client-id=1:24:5e:be:9:d2:48 mac-address=24:5E:BE:09:D2:48 server=dhcp /ip dhcp-server network add address=192.168.1.0/24 caps-manager=192.168.1.1 dns-server=192.168.1.2 domain=****.local gateway=192.168.1.1 netmask=24 ntp-server=131.211.8.244 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add action=fasttrack-connection chain=forward comment=Fasttrack connection-mark=!IPSec connection-state=established,related add action=accept chain=forward connection-state=established,related add action=accept chain=input protocol=icmp add action=accept chain=input comment="allow IPsec NAT" disabled=yes dst-port=4500 protocol=udp add action=accept chain=input comment="allow IKE" disabled=yes dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" disabled=yes dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input comment="Drop DNS request from the WAN" dst-port=53 in-interface=ether1-WAN protocol=tcp add action=drop chain=input dst-port=53 in-interface=ether1-WAN protocol=udp add action=drop chain=forward comment="Drop invalid" connection-state=invalid log-prefix="FWR: Invalid" /ip firewall mangle add action=mark-connection chain=forward comment="Mark IPsec out" ipsec-policy=out,ipsec new-connection-mark=IPSec passthrough=yes add action=mark-connection chain=forward comment="Mark IPsec in" ipsec-policy=in,ipsec new-connection-mark=IPSec passthrough=yes /ip firewall nat add action=accept chain=srcnat comment="IPSec NAT rule (MGE)" dst-address=192.168.2.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (ZWD)" dst-address=192.168.3.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (LRS)" dst-address=192.168.4.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (Dr)" dst-address=192.168.5.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (Ae)" dst-address=192.168.6.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (Mn)" dst-address=192.168.10.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (HI)" dst-address=192.168.30.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat comment="IPSec NAT rule (CT)" dst-address=192.168.88.0/24 src-address=192.168.1.0/24 add action=masquerade chain=srcnat out-interface=ether1-WAN add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24 add action=dst-nat chain=dstnat dst-port=**** in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.3 to-ports=8080 add action=dst-nat chain=dstnat disabled=yes dst-port=873 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.3 to-ports=**** /ip ipsec peer add address=94.213.***.***/32 comment=LRS dh-group=modp1024 enc-algorithm=aes-128 secret=**** add address=0.0.0.0/0 dh-group=modp1024 dpd-interval=2s enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-override secret=**** add address=24.132.***.***/32 comment=ZWD dh-group=modp1024 enc-algorithm=aes-128 secret=**** add address=94.213.***.***/32 comment=MGE dh-group=modp1024 disabled=yes enc-algorithm=aes-128 secret=**** add address=94.211.***.***/32 comment="Den Helder" dh-group=modp1024 enc-algorithm=aes-128 secret=**** add address=212.204.***.***/32 comment=Majosign dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=**** add address=87.215.***.***/32 comment=CAST dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=**** add address=92.110.***.***/32 comment=Alebregtse dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=**** add address=213.124.***.***/32 comment=HOi dh-group=modp1024 enc-algorithm=aes-256 secret=**** /ip ipsec policy add comment=LRS dst-address=192.168.4.0/24 sa-dst-address=94.213.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=ZWD dst-address=192.168.3.0/24 sa-dst-address=24.132.**.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=MGE disabled=yes dst-address=192.168.2.0/24 sa-dst-address=94.213.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=Man dst-address=192.168.10.0/24 sa-dst-address=212.204.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment="DH" dst-address=192.168.5.0/24 sa-dst-address=94.211.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=CT dst-address=192.168.88.0/24 sa-dst-address=87.215.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=Ae dst-address=192.168.6.0/24 sa-dst-address=92.110.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes add comment=HI dst-address=192.168.30.0/24 sa-dst-address=213.124.***.*** sa-src-address=217.123.***.*** src-address=192.168.1.0/24 tunnel=yes set 8 dst-address=0.0.0.0/0 src-address=0.0.0.0/0 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set show-dummy-rule=no /ppp secret add name=vpn password=**** add name=W***r password=**** add name=W**r_iphone password=**** profile=Iphone_W***r service=l2tp /system clock set time-zone-name=Europe/Amsterdam /system identity set name=RB1100AHx4 /system ntp client set enabled=yes primary-ntp=131.211.8.244 secondary-ntp=193.67.79.202 /tool bandwidth-server set authenticate=no /tool graphing interface add allow-address=192.168.1.0/24 add allow-address=192.168.89.0/24 store-on-disk=no /tool graphing queue add allow-address=192.168.1.0/24 add allow-address=192.168.89.0/24 /tool graphing resource add allow-address=192.168.1.0/24 add allow-address=192.168.89.0/24

[ Voor 19% gewijzigd door allure op 22-12-2017 11:18 ]

jvanhambelgium schreef op vrijdag 22 december 2017 @ 06:37:
In m'n PPP-profile staat wel degelijk de "change-mss=yes" flag dus dat zou in orde moeten zijn,

Thralas schreef op vrijdag 22 december 2017 @ 13:24:
[...]


Heb je ook gecontroleerd of je daardoor een v6 clamping rule hebt gekregen? Volgens mij is de grap dat die optie in ieder geval alleen v4 doet.

[ Voor 11% gewijzigd door Zaffo op 24-12-2017 22:28 ]

[ Voor 25% gewijzigd door Verwijderd op 24-12-2017 23:30 ]

Zaffo schreef op zondag 24 december 2017 @ 22:00:
[...]

Ik zit er nog aan te denken of ik al mijn RouterBoards wil updaten naar deze current versie, of voor sommigen over ga op de bugfix.

[...]

WeaZuL schreef op maandag 25 december 2017 @ 10:17:
[...]


Wat zou de reden zijn om te upgraden naar bugfix?

Zaffo schreef op dinsdag 26 december 2017 @ 17:39:
Ik heb een aantal apparaten geupdate en even zitten spelen met de nieuwe bridge VLAN instellingen. Voor mijn hardware gaat hardware offloading nog niet samen met bridge VLAN instellingen. Dit moet nog via het switch menu om het via de hardware te doen.

Ik verwacht de komende tijd minder tijd te hebben om te testen. Dus ik heb besloten twee routers (750Gr3) nog even te laten voor wat ze zijn, en de interne apparaten (switch/AP) te updaten naar v6.41

[ Voor 12% gewijzigd door Zaffo op 28-12-2017 21:52 ]

[ Voor 7% gewijzigd door LiquidSmoke op 30-12-2017 08:12 ]

LiquidSmoke schreef op zaterdag 30 december 2017 @ 08:08:
M.i. maakt het gebruik van 1 bridge het leven makkelijker zonder de performance te beinvloeden.

Thralas schreef op zaterdag 30 december 2017 @ 11:34:
[...]


Volgens mij is het inderdaad de bedoeling dat dat onder water allemaal voor je geregeld wordt. Met hw offload aan op de bridge ports zie je ook in het switch menu terug dat de switch chip MAC addresses learned.

Hmmbob schreef op woensdag 3 januari 2018 @ 19:24:
Ik heb wat WiFi-based schakelaars besteld voor mijn HomeAssistant setup. Die Chinese apparaten wil ik graag gescheiden houden van de rest van mijn netwerk én van het internet. Ik ga daarom een apart WiFi netwerk (virtual ap) in de lucht brengen waar ik een eigen vlan aan koppel. Maar.... hoe zorg ik er nu voor dat mijn RaspberryPi (wired op eth3) zowel op dat “smart vlan” als op het internet kan als bereikbaar is vanaf mijn normale lan?

[ Voor 4% gewijzigd door donny007 op 03-01-2018 22:45 ]

Hmmbob schreef op vrijdag 5 januari 2018 @ 15:02:
Hmm, zou ik het ook firewall-technisch kunnen doen? Dus AL het verkeer naar/van die devices blokkeren behalve naar mijn Pi?

Pi heeft al static adres, die apparaten heb ik natuurlijk ook zo een statisch adres toegewezen.

• LAN naar internet
• LAN naar IoT interface
• Alles met conntrack stae ESTABLISHED[, RELATED]

Zaffo schreef op donderdag 28 december 2017 @ 21:51:
@Thralas Aangezien ik een RB750Gr2 gebruik als switch met VLANs, en alle poorten op mode=secure staan, heb ik maar even gechecked of traffic nog binnen kwam. Ik heb geen problemen gevonden. Het is een eenvoudige setup met verschillende untagged poorten en een uplink.

Edit: De RB750Gr2 heeft een QCA8337 chip en de RB951G-2HnD een Atheros8327.

[ Voor 94% gewijzigd door Snippo op 07-01-2018 13:16 ]

The Executer schreef op dinsdag 9 januari 2018 @ 00:37:
Ik loop alleen tegen 2 zaken aan die met de nieuwe bridge te maken hebben:
1: WOL vanaf de Mikrotik werkt niet meer, ook niet in zijn meest pure vorm.

2: het bereiken van interne hosts bijc gebruik vanL2TP met ipsec. Voorheen moest je proxy-arp inschakelen.Ik deed dit altijd op de master poort en dit werkte goed. Nu kan ik, ondanks gelijke config voor zover ik terug kan zien, helemaal niets meer bereiken.Ik kan alleen nog op internet.Ik heb nog geprobeerd de L2TP toe te voegen aan de bridge, net als de optie voor "alle ppp". Toch krijg ik het niet aan de praat.

Iemand die mij kan helpen?

quote: https://forum.mikrotik.co...35064&hilit=proxy#p635019

It is a known problem that proxy-arp on bridge do not work after upgrade, You have to set it manually again after upgrade. This problem should be already solved in v6.42rc

nescafe schreef op dinsdag 9 januari 2018 @ 09:53:
[...]


Probeer arp op de bridge even op enabled en dan weer op proxy-arp te zetten.


[...]

Bierkameel schreef op dinsdag 9 januari 2018 @ 10:05:
Iemand hier die nu WAP AC's gebruikt?
Ik heb nu een Amplifi HD mesh set maar wil mijn RB3011 eigenlijk uitbreiden met 2 WAP AC's omdat ik toch een beter gevoel heb bij bekabeld dan mesh maar een half jaar geleden waren er nogal wat probleempjes met de WAP AC, vooral de 2.4Ghz band bleek nogal onstabiel te zijn.

Als er problemen zijn dan zijn die meestal wel terug te vinden maar ben benieuwd of dat ondertussen is gefixed.

nescafe schreef op dinsdag 9 januari 2018 @ 14:46:
V.w.b. WOL, net getest op 6.41 met packet capture aan op de doelinterface. Werkt hier goed. Wat zie jij?

code:

1	/tool wol mac=6c:62:6d:7e:54:e4 interface=bridge-lan

Wireshark dissect:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Frame 167: 116 bytes on wire (928 bits), 116 bytes captured (928 bits) Ethernet II, Src: Routerbo_xx:xx:xx (64:d1:54:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff) Wake On LAN, MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) Sync stream: ffffffffffff MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4) MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)

offtopic:
Zie wel dat mijn TV lekker over het netwerk staat te roeptoeteren. Binnenkort toch maar even plat leggen, in een uurtje tijd werd er meer als 8 mb aan pakketjes verstuurd, bijna allemaal richting Samsung & RTL . Altijd fijn, een smart TV!

[ Voor 11% gewijzigd door The Executer op 09-01-2018 21:55 ]

Hmmbob schreef op dinsdag 9 januari 2018 @ 22:29:
Had je die proxy-arp oplossing al geprobeerd? Kan best zijn dat je router nu het MAC van je pc niet in de cache oid heeft, waardoor hij denkt dat de device niet op je lan zit en dus de wol pakketjes naar de uplink stuurt.

nescafe schreef op dinsdag 9 januari 2018 @ 22:43:
Hier is het als volgt:


1.

code:

1	/tool wol mac=8c:62:6d:7e:54:e4 interface=bridge-lan

resulteert in een ether-wake (Ethertype 0x0842), dus geen UDP-pakket:
[afbeelding]

2.

code:

1	/tool wol mac=8c:62:6d:7e:54:e4

resulteert in een UDP encapsulated WOL op de WAN-interface (obv default gw):
[afbeelding]

3.

code:

1	/tool wol mac=8c:62:6d:7e:54:e4 interface=ether1-wan

resulteert in een ether-wake op de WAN-interface (geen UDP).

Dit lijkt dus afhankelijk van het wel of niet opgeven van interface (wel = direct, niet = over udp). Ben benieuwd of dit is gewijzigd sinds voorgaande versies.

[ Voor 80% gewijzigd door The Executer op 10-01-2018 08:19 ]