[MikroTik-apparatuur] Ervaringen & Discussie

vrijdag 12 januari 2018 21:08

Acties:

0 Henk 'm!

Lekker belangrijk!

Goed, we zijn inmiddels enkele dagen verder en krijg de VPN niet zo ingesteld dat ik hosts achter de router kan benaderen zoals de printer en mediacenter.

Situatie:
Modem in bridge mode
Router: 192.168.88.1, WAN op ether1
Netwerk: 192.168.88.0/24
VPN: L2TP /w IPsec
IP pool VPN: dhcp
If it matters: Printer en PC verbonden via Wi-Fi

Geprobeerde acties:
- Pingen van de hosts is zonder proxy-arp al mogelijk. proxy-arp ingeschakeld op de bridge, maar geen http verkeer mogelijk.
- DNS + WINS ingesteld in PPP profile. Hierna heb ik helemaal geen internet meer. VPN vanaf een W7 laptop laat zien dat zonder deze instelling ik ook al een DNS adres mee krijg. Dit lijkt het probleem dus niet te zijn.
- Firewall rules die alles accepten op basis van een acces list met het interne subnet:
add chain=forward action=accept src-address-list=InternalNetworks
add chain=forward action=accept dst-address-list=InternalNetworks
Acces list "InternalNetworks": 192.168.88.0/24
Zodra deze regels actief zijn zie ik de counters omhoog lopen, maar geen toegang tot bv. de printer.
- Route 192.168.88.0/24 0.0.0.0 1 toegevoegd in PPP secret
- NAT masquerade rule aangemaakt, maar bij alles wat ik tegenkom op internet lijkt dit specifiek voor een situatie te zijn waarin het VPN een aparte netwerkreeks binnen hetzelfde subnet toegewezen krijgt. Dit bleek ook niet te werken.
- Complete reset en alles opnieuw ingesteld.
- Diverse tutorials gevolgd maar meesttijds wordt dit niet gevolgd
- Diverse topics op het Mikrotik forum bekeken waar meeste van bovenstaande opties (behalve proxy-arp, ondanks dat die niet nodig lijkt was deze wel bekend bij mij).

Config:
L2TP server:

code:

[admin@MikroTik] > /interface l2tp-server server print
               enabled: yes
               max-mtu: 1450
               max-mru: 1450
                  mrru: disabled
        authentication: pap,chap,mschap1,mschap2
     keepalive-timeout: 30
          max-sessions: unlimited
       default-profile: default-encryption
             use-ipsec: yes
          ipsec-secret:  ipsec-secret
        caller-id-type: ip-address
  one-session-per-host: no
       allow-fast-path: no

PPP Secret:

code:

[admin@MikroTik] > /ppp secret print
Flags: X - disabled 
 #   NAME        SERVICE CALLER-ID     PASSWORD          PROFILE           
 0   naam        l2tp                  vpnwachtwoord     default-encryption

PPP Profile

code:

[admin@MikroTik] /ppp profile> print
Flags: * - default 
 0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes 
     use-upnp=default address-list="" on-up="" on-down="" 

 1 * name="default-encryption" local-address=192.168.88.1 remote-address=dhcp use-mpls=default use-compression=default 
     use-encryption=yes only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""

Interfaces

code:

[admin@MikroTik] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS      
 0  R  ether1                              ether            1500  1598       4074 4C:5E:0C:XX:XX:XX
 1   S ether2                              ether            1500  1598       4074 4C:5E:0C:XX:XX:XX
 2  RS ether3                              ether            1500  1598       4074 4C:5E:0C:XX:XX:XX
 3   S ether4                              ether            1500  1598       4074 4C:5E:0C:XX:XX:XX
 4   S ether5                              ether            1500  1598       4074 4C:5E:0C:XX:XX:XX
 5  RS wlan1                               wlan             1500  1600       2290 4C:5E:0C:XX:XX:XX
 6  R  ;;; defconf
       bridge                              bridge           1500  1598            4C:5E:0C:XX:XX:XX

Bridge ports:

code:

[admin@MikroTik] > interface bridge port print 
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE                            BRIDGE                           HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0 I H ;;; defconf
       ether2                               bridge                           yes    1     0x80         10                 10       none
 1   H ;;; defconf
       ether3                               bridge                           yes    1     0x80         10                 10       none
 2 I H ;;; defconf
       ether4                               bridge                           yes    1     0x80         10                 10       none
 3 I H ;;; defconf
       ether5                               bridge                           yes    1     0x80         10                 10       none 
 4     ;;; defconf
       wlan1                                bridge                           yes    1     0x80         10                 10       none

[ Voor 15% gewijzigd door The Executer op 13-01-2018 12:40 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 12 januari 2018 23:35

Acties:

0 Henk 'm!

Hmmbob

Je log laat niets zien?
VPN client krijgt een ip uit dezelfde reeks als de rest van je lan?
Zit de wlan1 interface ook op je bridge?

Sometimes you need to plan for coincidence

vrijdag 12 januari 2018 23:58

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Hmmbob schreef op vrijdag 12 januari 2018 @ 23:35:
Je log laat niets zien?
VPN client krijgt een ip uit dezelfde reeks als de rest van je lan?
Zit de wlan1 interface ook op je bridge?

- Afgezien van een vermelding van de succesvolle connect zie ik geen bijzonderheden. Misschien dat ik nog een bepaalde level van logging aan moet zetten?
- VPN client krijgt inderdaad IP uit dezelfde reeks als de rest van het netwerk (zie ook de config, remote adres=dhcp. Wat mij opviel was dat de VPN een 192.168.88.0/32 adres krijgt, maar later bleek dat dat normaal is.
- De Wlan zit inderdaad ook in de bridge. Heb mijn vorige post even aangepast, bridge staat er nu ook bij.

"We don't make mistakes; we just have happy accidents" - Bob Ross

zaterdag 13 januari 2018 12:28

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Voor de mensen die nog geinteresseerd zijn in de performance van Mikrotik (CRS109-8G-1S-2HnD)

Afbeeldingslocatie: https://upload.mattie-systems.nl/uploads/59228-capture.png

Afbeeldingslocatie: https://upload.mattie-systems.nl/uploads/59228-capture.png

Speedtest blijft achter maar via steam hem ik hem mooi vol kunnen trekken! En stabiel? Prima tijdens deze belasting keurig nog 3ms ping naar 8.8.8.8

Deze ruimte is te huur!

zaterdag 13 januari 2018 15:06

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

Ik lees dat die CRS109-8G-1S-2HnD normaal zo'n 500/500 doet, die gigabit performance zal wel komen door de Fasttrack functie, als de verbinding er eenmaal is dan passeert hij de firewall rules waardoor de CPU load lekker laag blijft.

Ik heb maar 100/100 dus zal mijn RB3011 nooit echt belasten

zaterdag 13 januari 2018 15:16

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Klopt dat staat aan ja als ik dat uit zet en hij moet door al mijn firewall rules heen dan haal ik die snelheid niet. Maargoed voor "normaal" gebruik zie ik geen reden om fasttrack/fastpath uit te zetten.

Deze ruimte is te huur!

zaterdag 13 januari 2018 16:04

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Bierkameel schreef op zaterdag 13 januari 2018 @ 15:06:
Ik lees dat die CRS109-8G-1S-2HnD normaal zo'n 500/500 doet,

CPU is identiek aan de 'klassieke' RB951G/RB2011, en die deed vroeger ongeveer 250/300 Mbit/s.

Thralas in "\[Ervaringen/discussie] MikroTik-apparatuur"

die gigabit performance zal wel komen door de Fasttrack functie, als de verbinding er eenmaal is dan passeert hij de firewall rules waardoor de CPU load lekker laag blijft.

Ja. En ik heb het idee dat men er recent nog het een en ander aan heeft gesleuteld. Zie enerzijds mijn benchmark hierboven (700 Mbit/s ipv. de near-gigabit die MikroTik nu zelf als benchmark aangeeft).

En daarnaast haalde ik ook op een hAP ac ook nooit echt stabiel 500/500 (eerder 400/400), alsof er toch af en toe een queue volraakt waardoor er even geen packets verzet worden (want in principe zou dat allemaal in hardware moeten gebeuren).

Nu echter (6.41):

# speedtest-cli --server 13218
Retrieving speedtest.net configuration...
Testing from KPN (x)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by XS4ALL Internet BV (Amsterdam) [4.24 km]: 8.435 ms
Testing download speed................................................................................
Download: 505.25 Mbit/s
Testing upload speed......................................................................................................
Upload: 638.23 Mbit/s

zaterdag 13 januari 2018 17:09

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Allicht omdat ze nu meer op de switch doen?

code:

Important note!!! Backup before upgrade!
RouterOS (v6.40rc36-rc40 and) v6.41rc1+ contains new bridge implementation that supports hardware offloading (hw-offload).
This update will convert all interface "master-port" configuration into new bridge configuration, and eliminate "master-port" option as such.
Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
The rest of RouterOS Switch specific configuration remains untouched in usual menus for now.
Please, note that downgrading to previous RouterOS versions will not restore "master-port" configuration, so use backups to restore configuration on downgrade.

Maargoed het tis toch mooi dat ze eigenlijk met zo "weinig" CPU power zoveel traffic kunnen doen. Pft bij die consumenten routers van tegenwoordig zie je rustig een quad core chip haha

Deze ruimte is te huur!

dinsdag 16 januari 2018 23:58

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Vanavond nog een kleine test uitgevoerd .in plaats van L2TP een PPTP opgezet. Ook hiermee kan ik router/printer etc wel pingen maar geen http verkeer tot stand krijgen richting het interne netwerk. Het modem, welke in bridge-modus voor de Mikrotik hangt, kan ik wel bereiken.
Lijkt dus toch een firewalling of routing issue te zijn.

[ Voor 10% gewijzigd door The Executer op 17-01-2018 06:32 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 17 januari 2018 07:33

Acties:

0 Henk 'm!

Hmmbob

Kan je een volledige dump van je configuratie maken?

Vergeet je wachtwoorden niet te verwijderen.

Sometimes you need to plan for coincidence

woensdag 17 januari 2018 08:18

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Hmmbob schreef op woensdag 17 januari 2018 @ 07:33:
Kan je een volledige dump van je configuratie maken?

Vergeet je wachtwoorden niet te verwijderen.

Is de export in deze post genoeg?

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 17 januari 2018 08:57

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

The Executer schreef op dinsdag 16 januari 2018 @ 23:58:
Ook hiermee kan ik router/printer etc wel pingen maar geen http verkeer tot stand krijgen richting het interne netwerk.

Je bent wat onduidelijk. 'Geen HTTP-verkeer mogelijk' is nietszeggend. Wat gaat er mis? Krijg je wel een TCP-verbinding, maar gaat er geen verkeer overheen? Wat zie je met tcpdump (of de packet sniffer van MikroTik)?

Lijkt dus toch een firewalling of routing issue te zijn.

Een routing issue lijkt me onwaarschijnlijk als je zegt wel te kunnen pingen. En de firewall had je zelf al aangepast; dat kun je verder uitsluiten door een log-actie op alle DROPs te zetten.

Enige dat er dan nog overblijft is wmb. MTU. Je zou die op 1400 kunnen zetten aan beide kanten, maar L2TP zou volgens mij moeten fragmenteren...

woensdag 17 januari 2018 11:57

Acties:

0 Henk 'm!

LiquidSmoke

The Executer schreef op dinsdag 16 januari 2018 @ 23:58:
Vanavond nog een kleine test uitgevoerd .in plaats van L2TP een PPTP opgezet. Ook hiermee kan ik router/printer etc wel pingen maar geen http verkeer tot stand krijgen richting het interne netwerk. Het modem, welke in bridge-modus voor de Mikrotik hangt, kan ik wel bereiken.
Lijkt dus toch een firewalling of routing issue te zijn.

Ik heb een vergelijkbaar issue gehad, gebruik je proxy-arp op je bridge?

nvm, niet goed gelezen op de vorige pagina....

[ Voor 5% gewijzigd door LiquidSmoke op 17-01-2018 12:00 ]

woensdag 17 januari 2018 12:16

Acties:

0 Henk 'm!

Hmmbob

The Executer schreef op woensdag 17 januari 2018 @ 08:18:
[...]

Is de export in deze post genoeg?

Nee, want daarin zie ik niets wat je probleem veroorzaakt. Daarnaast verdenk je zelf ondertussen ook items die buiten deze configuratie vallen

Sometimes you need to plan for coincidence

donderdag 18 januari 2018 00:15

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Thralas schreef op woensdag 17 januari 2018 @ 08:57:
[...]

Je bent wat onduidelijk. 'Geen HTTP-verkeer mogelijk' is nietszeggend. Wat gaat er mis? Krijg je wel een TCP-verbinding, maar gaat er geen verkeer overheen? Wat zie je met tcpdump (of de packet sniffer van MikroTik)?

[...]

Een routing issue lijkt me onwaarschijnlijk als je zegt wel te kunnen pingen. En de firewall had je zelf al aangepast; dat kun je verder uitsluiten door een log-actie op alle DROPs te zetten.

Enige dat er dan nog overblijft is wmb. MTU. Je zou die op 1400 kunnen zetten aan beide kanten, maar L2TP zou volgens mij moeten fragmenteren...

Allereerst bedankt voor je reactie (net als @Hmmbob overigens!).

Wat ik wil bereiken, is dat ik vanaf mijn telefoon (Galaxy S6, 4G verbinding Vodafone) via VPN bij bijvoorbeeld de webinterface van SabNZBD, webinterface van de printer of fileshares kan komen. Zowel de printer als SabNZBD draaien beide een interface op poort 80.

Het probleem is ontstaan toen ik de upgrade naar 6.41 heb uitgevoerd. Omdat ik destijds flink in de config had zitten rommelen en enkele zaken na de upgrade niet zo stonden als verwacht heb ik een reset van de configuratie gedaan. Vervolgens L2TP server ingeschakeld, profiel aangepast (local address=ip van de router, remote address=dhcp), secret aangemaakt en de firewall regels ingesteld.

Zoals aangegeven kan ik op het moment dat ik een VPN connectie heb de hosts achter de router pingen (bijvoorbeeld de printer, of pc waarop SabNZBD draait), maar bij een poging de pagina's te bereiken via Chrome krijg ik een melding "ERR_NETWORK_CHANGED". Wat ik gelezen heb omtrent de MTU is dat deze zo in principe goed zou staan, want deze is lager dan de MTU van het netwerk (MTU VPN = 1460, LAN/WLAN=1500

Bij de packetsniffer zie ik wel pakketten van de VPN richting printer gaan, maar ik zie geen verkeer terug, wel een hoop ARP requests.:

Afbeeldingslocatie: https://tweakers.net/ext/f/HqalNf5uifXp0Zo17lIBF5yQ/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/HqalNf5uifXp0Zo17lIBF5yQ/full.png

Dit herhaalt zichzelf totdat de verbinding afgebroken wordt. Bij een ping zie ik ICMP verkeer van en naar gaan:

Afbeeldingslocatie: https://tweakers.net/ext/f/vEGNODtk2WjNuNnX87nZ07nC/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/vEGNODtk2WjNuNnX87nZ07nC/full.png

code:

Config:
# jan/17/2018 23:35:45 by RouterOS 6.41
# software id = HG2U-LNUA
#
# model = 951G-2HnD
# serial number = 46********
/interface bridge
add admin-mac=4C:5E:0C:XX:XX:XX arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=wifissid wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=wifikey wpa2-pre-shared-key=wifikey
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=gastwifikey wpa2-pre-shared-key=gastwifikey
/interface wireless
add disabled=no mac-address=4E:5E:0C:XX:XX:XX master-interface=wlan1 name=wlan2 security-profile=profile ssid="wifissid"
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.88.1 remote-address=dhcp
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=ipsecsecret use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:34:23:87:XX:XX:XX mac-address=34:23:87:XX:XX:XX server=defconf
add address=192.168.88.182 client-id=1:14:da:XX:XX:XX mac-address=14:DA:E9:XX:XX:XX server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=62.X.X.X/16 list=allow
add address=185.X.X.X list=allow
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input port=1701,500,4500 protocol=udp src-address-list=allow
add action=accept chain=input protocol=ipsec-esp src-address-list=allow
add action=accept chain=input dst-port=1723 protocol=tcp src-address-list=allow
add action=accept chain=input protocol=gre src-address-list=allow
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=wanip dst-port=3389 protocol=tcp to-addresses=192.168.88.180 to-ports=3389
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=secret password=secret profile=default-encryption
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 18 januari 2018 19:28

Acties:

0 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

Ik ben al een paar dagen aan het klooien hobbyen met de volgende casus: Ik heb enkele 'IoT' apparaten (gedwongen) in mijn netwerk hangen die ik liever in een VLAN zie, bijv. de 'slimme ethernet module' van mijn CV en de data collector van mijn zonnepanelen.

Ik heb verschillende tutorials opgezocht. VLAN Trunking lijkt me het mooist maar in principe voldoet port based VLAN ook in mijn situatie. Alle IoT apparatuur hangt namelijk op een switch die op 1 poort zit van mijn Mikrotik. Ik krijg het echter niet voor mekaar. Als ik bijvoorbeeld deze tutorial volg, wat niets anders is dan het toevoegen van een VLAN in 'Switch', dan veranderd er werkelijk niets: YouTube: MikroTik Tutorial 40 - Port Based VLAN
De IoT apparatuur kan nog steeds bij mijn 'privé' netwerk komen (pings etc).

Wie kan mij helpen een simpel port based VLAN op te zetten via Winbox of heeft een goede tutorial die wel werkt

?

Dank!

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

donderdag 18 januari 2018 21:12

Acties:

+2 Henk 'm!

Anoniem: 203842

Wat zal VLAN een meerwaarde geven dan gewoon aansluiten op DIE ene poort van de Mikrotik, ZONDER bridge dus? Maak een paar firewall rules aan, en klaar.

donderdag 18 januari 2018 21:21

Acties:

+1 Henk 'm!

Bierkameel

Alle proemn in n drek

Freekers schreef op donderdag 18 januari 2018 @ 19:28:

Wie kan mij helpen een simpel port based VLAN op te zetten via Winbox of heeft een goede tutorial die wel werkt ?

Dank!

https://www.manitonetwork...ik/2016/3/5/vlan-trunking
Ik vind dit altijd wel fijne guides.

donderdag 18 januari 2018 22:01

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

The Executer schreef op donderdag 18 januari 2018 @ 00:15:
Wat ik wil bereiken

Dat is helemaal duidelijk.

Zoals aangegeven kan ik op het moment dat ik een VPN connectie heb de hosts achter de router pingen (bijvoorbeeld de printer, of pc waarop SabNZBD draait), maar bij een poging de pagina's te bereiken via Chrome krijg ik een melding "ERR_NETWORK_CHANGED"

Die error betekent volgens mij dat er iets in je netwerkconfig is veranderd, en niet zozeer dat hij niet kan verbinden. Misschien is het nuttig om iets als nmap/zenmap te gebruiken om een portscan te doen? Of een andere browser, in de hoop dat je dan een andere melding krijgt?

MTU VPN = 1460, LAN/WLAN=1500

Ja, dat is ruim genoeg.

Bij de packetsniffer zie ik wel pakketten van de VPN richting printer gaan, maar ik zie geen verkeer terug, wel een hoop ARP requests.:

'Een hoop arp requests' zegt ook weer niet zoveel, net als het plaatje. Ik kan niet zien wat er nu werkelijl gebeurt tussen 2 hosts (bijvoorbeeld je NAS en client), dat kun je in Wireshark veel beter inzichtelijk maken.

Dit herhaalt zichzelf totdat de verbinding afgebroken wordt. Bij een ping zie ik ICMP verkeer van en naar gaan:

[afbeelding]

[code]
Config:

Ik zie nergens waar je nu addressen uitdeelt aan je VPN client. En de firewall heeft nergens een regel die dat verkeer expliciet toelaat. Gok je erop dat het verkeer het einde van de chain haalt? Dat is lelijk, maar dan zou een rule met een log action in ieder geval ieder pakketje dat je vanaf je VPN client stuurt moeten laten zien.

Voeg die log regel op FORWARD eens toe in je firewall, zet hem bovenaan (of na fasttrack, al geloof ik niet dat dat uitmaakt).

Ping dan een host vanaf je VPN, en probeer daarna te verbinden over HTTP. Beide zou je moeten kunnen terugvinden in die log.

Anoniem: 203842 schreef op donderdag 18 januari 2018 @ 21:12:
Wat zal VLAN een meerwaarde geven dan gewoon aansluiten op DIE ene poort van de Mikrotik, ZONDER bridge dus? Maak een paar firewall rules aan, en klaar.

Dit. VLANs zijn nog stééds geen magische netwerkscheiding. Als je wilt dat zaken niet gerouteerd moeten worden op een router dan gebruik je de firewall. Bonuspunten als je firewall een nette whitelist is - dan hoef je helemaal niets te doen (mits je de apparaten niet op dezelfde bridge gooit).

donderdag 18 januari 2018 22:03

Acties:

0 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

Anoniem: 203842 schreef op donderdag 18 januari 2018 @ 21:12:
Wat zal VLAN een meerwaarde geven dan gewoon aansluiten op DIE ene poort van de Mikrotik, ZONDER bridge dus? Maak een paar firewall rules aan, en klaar.

Hmm ik snap het niet helemaal. Ik ben niet zo'n netwerkguru. Ik dacht dat een VLAN er juist was om je eigen netwerk te isoleren/beschermen van een ander netwerk, bijvoorbeeld in een situatie zoals deze.

Wat voor firewall rules zou jij adviseren? Rules die internet blokkeren zijn helaas geen optie want ze moeten kunnen communiceren met externe systemen (helaas)

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

donderdag 18 januari 2018 22:24

Acties:

0 Henk 'm!

Anoniem: 203842

VLAN's zijn handig als meerdere netwerken via één kabel gaan. Bv. jij hebt drie afdelingen, verkoop, inkoop en management. Deze moeten gescheiden zijn. Maar ze zitten op één verdieping, en zitten dus op één switch. In die switch definieer jij 3 VLAN's. De "uplink" naar de server of router zal één kabel zijn. Over die ene kabel moeten dus drie gescheiden netwerken lopen.

Juist HIER komen de VLAN's bij elkaar, en zullen VLAN tags over die kabel sturen. Eenmaal bij de router aangekomen, worden de vlan's "uit elkaar gehaald", en naar de desbetreffende DHCP server geleidt etc.... En HIER moet de firewall de boel gaan dichttimmeren zodat niemand van verkoop bij het management kan komen etc.....

Maar uiteindelijk gaan ze allemaal via één modem naar buiten (want je gaat niet 3 internet lijnen aanleggen om het separaat te houden).

[ Voor 9% gewijzigd door Anoniem: 203842 op 18-01-2018 22:25 ]

vrijdag 19 januari 2018 12:42

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Freekers schreef op donderdag 18 januari 2018 @ 22:03:
Hmm ik snap het niet helemaal. Ik ben niet zo'n netwerkguru. Ik dacht dat een VLAN er juist was om je eigen netwerk te isoleren/beschermen van een ander netwerk, bijvoorbeeld in een situatie zoals deze.

Dat is een veelvoorkomende misvatting.

Wat voor firewall rules zou jij adviseren? Rules die internet blokkeren zijn helaas geen optie want ze moeten kunnen communiceren met externe systemen (helaas)

Wacht, wat probeer je nu eigenlijk te bereiken?

Het risico van dat soort IoT-apparaten is meestal dat ze data naar allerlei plekken op het internet sturen waar jij geen baat bij hebt, en andersom als je ze op de meest naiëve manier direct aan het internet hangt (geef ze ook geen toegang tot UPnP).

Als je bovenstaande voorkomt dan is het meest reële risico wel afgedicht wat mij betreft.

vrijdag 19 januari 2018 14:03

Acties:

+1 Henk 'm!

Bierkameel

Alle proemn in n drek

UPNP is altijd het eerste wat je uit moet zetten als je enige controle wil over je firewall

Nu is de implementatie van MikroTik minder brak dan de meeste consumentenroutertjes maar ik hou er niet van als apparaten zelf NAT rules aanmaken.

vrijdag 19 januari 2018 15:42

Acties:

0 Henk 'm!

SpikeHome

@Freekers
Ik ben ook een tijd bezig geweest met vlans te maken.
Vooral omdat ik ook een guest wifi netwerk heb en die ook op dat vlan moest.
Inmiddels draait het als een zonnetje.
Je moet elke interface zijn vlan geven en die ook weer bridgen en ook dan zijn eigen ip segment.
toen alles klaar was kwam ik er achter dat verkeer alsnog van de ene naar de andere ging en heb ik ook firewall regels toe moeten passen.

vrijdag 19 januari 2018 16:46

Acties:

0 Henk 'm!

Hmmbob

The Executer schreef op donderdag 18 januari 2018 @ 00:15:
[...]

Allereerst bedankt voor je reactie (net als @Hmmbob overigens!).

Wat ik wil bereiken, is dat ik vanaf mijn telefoon (Galaxy S6, 4G verbinding Vodafone) via VPN bij bijvoorbeeld de webinterface van SabNZBD, webinterface van de printer of fileshares kan komen. Zowel de printer als SabNZBD draaien beide een interface op poort 80.

Het probleem is ontstaan toen ik de upgrade naar 6.41 heb uitgevoerd. Omdat ik destijds flink in de config had zitten rommelen en enkele zaken na de upgrade niet zo stonden als verwacht heb ik een reset van de configuratie gedaan. Vervolgens L2TP server ingeschakeld, profiel aangepast (local address=ip van de router, remote address=dhcp), secret aangemaakt en de firewall regels ingesteld.

Zoals aangegeven kan ik op het moment dat ik een VPN connectie heb de hosts achter de router pingen (bijvoorbeeld de printer, of pc waarop SabNZBD draait), maar bij een poging de pagina's te bereiken via Chrome krijg ik een melding "ERR_NETWORK_CHANGED". Wat ik gelezen heb omtrent de MTU is dat deze zo in principe goed zou staan, want deze is lager dan de MTU van het netwerk (MTU VPN = 1460, LAN/WLAN=1500

Bij de packetsniffer zie ik wel pakketten van de VPN richting printer gaan, maar ik zie geen verkeer terug, wel een hoop ARP requests.:

[afbeelding]

Dit herhaalt zichzelf totdat de verbinding afgebroken wordt. Bij een ping zie ik ICMP verkeer van en naar gaan:

[afbeelding]

code:

Config:
# jan/17/2018 23:35:45 by RouterOS 6.41
# software id = HG2U-LNUA
#
# model = 951G-2HnD
# serial number = 46********
/interface bridge
add admin-mac=4C:5E:0C:XX:XX:XX arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=wifissid wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=wifikey wpa2-pre-shared-key=wifikey
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=gastwifikey wpa2-pre-shared-key=gastwifikey
/interface wireless
add disabled=no mac-address=4E:5E:0C:XX:XX:XX master-interface=wlan1 name=wlan2 security-profile=profile ssid="wifissid"
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.88.1 remote-address=dhcp
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=ipsecsecret use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:34:23:87:XX:XX:XX mac-address=34:23:87:XX:XX:XX server=defconf
add address=192.168.88.182 client-id=1:14:da:XX:XX:XX mac-address=14:DA:E9:XX:XX:XX server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=62.X.X.X/16 list=allow
add address=185.X.X.X list=allow
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input port=1701,500,4500 protocol=udp src-address-list=allow
add action=accept chain=input protocol=ipsec-esp src-address-list=allow
add action=accept chain=input dst-port=1723 protocol=tcp src-address-list=allow
add action=accept chain=input protocol=gre src-address-list=allow
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=wanip dst-port=3389 protocol=tcp to-addresses=192.168.88.180 to-ports=3389
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=secret password=secret profile=default-encryption
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Staat je DNS server wel goed ingesteld? Uit je configuratie lijk je geen DNS server in je DHCP mee te geven.

los daarvan: voor je WiFi wil je geen WPA meer gebruiken, enkel WPA2

Sometimes you need to plan for coincidence

zaterdag 20 januari 2018 00:17

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Thralas schreef op donderdag 18 januari 2018 @ 22:01:
[...]

Dat is helemaal duidelijk.

[...]

Die error betekent volgens mij dat er iets in je netwerkconfig is veranderd, en niet zozeer dat hij niet kan verbinden. Misschien is het nuttig om iets als nmap/zenmap te gebruiken om een portscan te doen? Of een andere browser, in de hoop dat je dan een andere melding krijgt?

[...]

Ja, dat is ruim genoeg.

[...]

'Een hoop arp requests' zegt ook weer niet zoveel, net als het plaatje. Ik kan niet zien wat er nu werkelijl gebeurt tussen 2 hosts (bijvoorbeeld je NAS en client), dat kun je in Wireshark veel beter inzichtelijk maken.

[...]

Ik zie nergens waar je nu addressen uitdeelt aan je VPN client. En de firewall heeft nergens een regel die dat verkeer expliciet toelaat. Gok je erop dat het verkeer het einde van de chain haalt? Dat is lelijk, maar dan zou een rule met een log action in ieder geval ieder pakketje dat je vanaf je VPN client stuurt moeten laten zien.

Voeg die log regel op FORWARD eens toe in je firewall, zet hem bovenaan (of na fasttrack, al geloof ik niet dat dat uitmaakt).

Ping dan een host vanaf je VPN, en probeer daarna te verbinden over HTTP. Beide zou je moeten kunnen terugvinden in die log.

Ik heb nog even met een andere browser getest, daarmee krijg ik een time-out te zien.
De poortscan, waar wil je dat ik die op los laat? Bijvoorbeeld vanaf de telefoon richting de printer wanneer ik via VPN ben verbonden? Ik krijg dan geen enkele poort te zien. Zodra ik weer op de Wi-Fi zit en een poortscan doe krijg ik gelijk weer resultaat.
In 1 van mijn vorige posts kun je zien dat in het PPP profile remote adressen op DHCP staat
Ik heb vanmiddag nog 2 firewall regels toegepast, input en output met een accept op interface PPP. Ik zie pakketten over de lijn gaan, maar wanneer ik bijvoorbeeld de printer wil bereiken zie ik de counter niet meer oplopen. Ik heb de regels ook nog even aangepast naar forward met ene regel in interface PPP, andere out interface PPP, dit maakt ook geen verschil.

Hmmbob schreef op vrijdag 19 januari 2018 @ 16:46:
[...]

Staat je DNS server wel goed ingesteld? Uit je configuratie lijk je geen DNS server in je DHCP mee te geven.

los daarvan: voor je WiFi wil je geen WPA meer gebruiken, enkel WPA2

Scherp m.b.t. de Wi-Fi

. Was nog een overblijfsel van de reset(s) die ik uit had gevoerd.

M.b.t. de DNS: hier heb ik nog aan zitten te denken, maar ik probeer de hosts op IP-adres te benaderen. Hier zou ik in principe geen DNS voor nodig hebben. Daarnaast blijkt dat, ondanks dat er geen DNS ingesteld is, deze wel meegegeven wordt. Dit heb ik getest door een Win7 laptop via Android hotspot te verbinden en de vpn daaraf te starten. Vervolgens heb ik gekeken welke adapter instellingen ik allemaal mee kreeg, waaronder DNS. Deze vlek netjes op het adres van de router te staan. Het enige wat mij daarin opvalt is dat er geen gateway meegegeven wordt, maar ik kan wel internet bereiken of de hosts pingen.

Toevallig vandaag nog aan het testen geweest:
- Remote address uit PPP profile gehaald en IP-adres in PPP secret gezet, local address in PPP profile laten staan
- Local address uit PPP profile gehaald en in PPP secret gezet, remote address in PPP profile laten staan
- Alleen remote address ingevuld, eerst alleen bij secret, later alleen bij profile.

Allen geen succes.

Eventueel ben ik ook wel bereid om een teamviewer sessie op te starten met iemand indien dat dingen makkelijker kan maken.

[ Voor 3% gewijzigd door The Executer op 20-01-2018 07:36 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

zaterdag 20 januari 2018 09:42

Acties:

0 Henk 'm!

LiquidSmoke

Ugh,

De afgelopen dagen bezig geweest om een RB2011 door een 3011 te vervangen, net dat beetje power meer.

Maar wat een drama met de switch chips!

Configuratie als volgt:
- 1 Bridge met 6 VLAN's
- De RB3011 ondersteund geen HW offloading via bridge, dus alles via switch chip (op zich geen probleem)
- Switch chips netjes geconfigureerd zoals voorheen met de RB2011

Maar dan komt het: er lijkt een bug/probleem te zitten in het koppelen van Switch CPU 1/2 wanneer er egress vlan tags gebruikt moeten worden.

Devices op switch 1 en 2 kunnen elkaar prima bereiken in alle vlan's, behalve als het device op switch 2 niet direct verbonden is. Bijvoorbeeld een switch/AP met diverse vlans.

Onderling op switch 1 of op switch 2 is er geen probleem. Via switch 1 naar een access port op switch 2 ook geen probleem.

Om dit op te lossen moet HW offloading uit op de switch 2 poort waarmee de poort effectief via de bridge op cpu 1 geknoopt word. en dan nog is het niet 100% stabiel.

Her en der lees ik meer over dit gedoe, ik hoop dat dit ooit nog gefixed word. Op dit moment twijfel ik om mijn RB2011 weer terug te zetten!

[ Voor 5% gewijzigd door LiquidSmoke op 20-01-2018 09:43 ]

zaterdag 20 januari 2018 20:01

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

En als je de VLAN per poort ipv op de bridge aanmaakt?

zaterdag 20 januari 2018 22:44

Acties:

0 Henk 'm!

mbenjamins

Ik heb mijn MikroTik router ge-update naar versie 6.41.
Nu ondervindt ik wel wat problemen met het internet, kan het te maken hebben met hw-offload? Zo ja zou iemand mij kunnen uitleggen wat ik moet veranderen.

De MikroTik router is geconfigureerd met de handleiding van http://netwerkje.com.

Ik heb een back-up gemaakt voor dat ik ging upgraden dus ik zou naar versie 6.40 terug kunnen maar wil graag wel naar de nieuwste versie toe.

zaterdag 20 januari 2018 23:15

Acties:

+2 Henk 'm!

Bierkameel

Alle proemn in n drek

Wat problemen....lekker duidelijk.

zondag 21 januari 2018 07:54

Acties:

0 Henk 'm!

LiquidSmoke

Bierkameel schreef op zaterdag 20 januari 2018 @ 20:01:
En als je de VLAN per poort ipv op de bridge aanmaakt?

Nog niet getest, en na wat inlezen denk ik niet dat dit het probleem oplost. Ik overweeg om alle trunk poorten naar switch 1 te verplaatsen (poorten 1-5) en alle acces poorten naar switc 2 (poorten 6-10), dan heb ik geen last meer van dit probleem.

Ik vermoed dat het dit probleem is: https://forum.mikrotik.com/viewtopic.php?t=122658

Hier wordt de suggestie gegeven dat het de dubbele link is die problemen geeft, zo ziet het er iig wel naar uit. Ook geeft iemand aan dat een sfp aansluiten het probleem grotendeels oplost omdat deze 1 pad overneemt van switch 2. Zie tekening: http://i.mt.lv/routerboard/files/RB3011UiAS-151124114519.png

Ik heb een 1Gbe SFP liggen, ik zal die er eens in doen om te kijken of het issue dan inderdaad verholpen is.

Overigens heb ik wat zitten meten en de RB3011 heeft zoveel CPU power dat ik HW offloading misschien niet eens meer nodig heb

In dat geval kan ik de config op de switches weghalen en alles via de nieuwe bridge manier doen. Alles word dan door de CPU afgehandeld.

[ Voor 16% gewijzigd door LiquidSmoke op 21-01-2018 07:57 ]

woensdag 24 januari 2018 08:12

Acties:

0 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

Anoniem: 203842 schreef op donderdag 18 januari 2018 @ 22:24:
VLAN's zijn handig als meerdere netwerken via één kabel gaan. Bv. jij hebt drie afdelingen, verkoop, inkoop en management. Deze moeten gescheiden zijn. Maar ze zitten op één verdieping, en zitten dus op één switch. In die switch definieer jij 3 VLAN's. De "uplink" naar de server of router zal één kabel zijn. Over die ene kabel moeten dus drie gescheiden netwerken lopen.

Juist HIER komen de VLAN's bij elkaar, en zullen VLAN tags over die kabel sturen. Eenmaal bij de router aangekomen, worden de vlan's "uit elkaar gehaald", en naar de desbetreffende DHCP server geleidt etc.... En HIER moet de firewall de boel gaan dichttimmeren zodat niemand van verkoop bij het management kan komen etc.....

Maar uiteindelijk gaan ze allemaal via één modem naar buiten (want je gaat niet 3 internet lijnen aanleggen om het separaat te houden).

Thralas schreef op vrijdag 19 januari 2018 @ 12:42:
Wacht, wat probeer je nu eigenlijk te bereiken?

Het risico van dat soort IoT-apparaten is meestal dat ze data naar allerlei plekken op het internet sturen waar jij geen baat bij hebt, en andersom als je ze op de meest naiëve manier direct aan het internet hangt (geef ze ook geen toegang tot UPnP).

Als je bovenstaande voorkomt dan is het meest reële risico wel afgedicht wat mij betreft.

Bedankt voor jullie replies!

Ik probeer te voorkomen dat als/stel een van deze IoT apparaten gehacked wordt, deze niet gebruikt kunnen worden als entrypoint voor de rest van de systemen in mijn netwerk.
Als ik je goed begrijp is een VLAN (alleen) daar niet voor geschikt en kan ik beter firewall rules instellen die zeggen 'if destination IP is 192.168.178.xxx --> DROP' ?

Bierkameel schreef op vrijdag 19 januari 2018 @ 14:03:
UPNP is altijd het eerste wat je uit moet zetten als je enige controle wil over je firewall
Nu is de implementatie van MikroTik minder brak dan de meeste consumentenroutertjes maar ik hou er niet van als apparaten zelf NAT rules aanmaken.

Da's een goeie tip. Ik ga eens kijken of ik UPnP heb uitstaan. Thanks!

SpikeHome schreef op vrijdag 19 januari 2018 @ 15:42:
@Freekers
Ik ben ook een tijd bezig geweest met vlans te maken.
Vooral omdat ik ook een guest wifi netwerk heb en die ook op dat vlan moest.
Inmiddels draait het als een zonnetje.
Je moet elke interface zijn vlan geven en die ook weer bridgen en ook dan zijn eigen ip segment.
toen alles klaar was kwam ik er achter dat verkeer alsnog van de ene naar de andere ging en heb ik ook firewall regels toe moeten passen.

Hmm dat ging me een beetje snel haha. Het aanmaken van het VLAN lukt nog wel, maar het bridgen en het eigen IP segment.. no clue. Heb je dit gedaan aan de hand van een tutorial? Thanks!

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

woensdag 24 januari 2018 08:47

Acties:

0 Henk 'm!

SpikeHome

@Freekers Ja ik heb het gedaan aan de hand van youtube van TKSJa en daarna net zolang geprutst tot ik snapte hoe het in elkaar zat.
Moet ik wel zeggen dat ik een 2e 2011 op marktplaats had gekocht om te experimenteren.
Bij mij gaat de vlan ook met een uplink naar een 2e mikrotik met ook nog een gast wifi en ethernet.
Ik heb dat thuis zo gemaakt en bij mijn vrouw op het werk.
Daarvan hier wat plaatjes:
Router 1 met WAN
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-adressen.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-adressen.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-bridge.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-dhcp.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-firewall.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-interfaces.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-networks.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-ports.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-vlan.jpg

Router 2 met uplink naar Router1
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-adressen.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-bridge.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-interfaces.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-ports.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-vlan.jpg

[ Voor 13% gewijzigd door SpikeHome op 24-01-2018 09:02 ]

woensdag 24 januari 2018 20:46

Acties:

0 Henk 'm!

mbenjamins

Bierkameel schreef op zaterdag 20 januari 2018 @ 23:15:
Wat problemen....lekker duidelijk.

De problemen die ik ondervindt zijn dat het internet trager wordt.
Ik heb een KPN glasvezel 100/100 pakket.

woensdag 24 januari 2018 20:56

Acties:

0 Henk 'm!

LiquidSmoke

LiquidSmoke schreef op zondag 21 januari 2018 @ 07:54:
[...]

Nog niet getest, en na wat inlezen denk ik niet dat dit het probleem oplost. Ik overweeg om alle trunk poorten naar switch 1 te verplaatsen (poorten 1-5) en alle acces poorten naar switc 2 (poorten 6-10), dan heb ik geen last meer van dit probleem.

Ik vermoed dat het dit probleem is: https://forum.mikrotik.com/viewtopic.php?t=122658

Hier wordt de suggestie gegeven dat het de dubbele link is die problemen geeft, zo ziet het er iig wel naar uit. Ook geeft iemand aan dat een sfp aansluiten het probleem grotendeels oplost omdat deze 1 pad overneemt van switch 2. Zie tekening: http://i.mt.lv/routerboard/files/RB3011UiAS-151124114519.png

Ik heb een 1Gbe SFP liggen, ik zal die er eens in doen om te kijken of het issue dan inderdaad verholpen is.

Overigens heb ik wat zitten meten en de RB3011 heeft zoveel CPU power dat ik HW offloading misschien niet eens meer nodig heb In dat geval kan ik de config op de switches weghalen en alles via de nieuwe bridge manier doen. Alles word dan door de CPU afgehandeld.

En ja hoor, SFP erin en geen problemen meer. Ook poorten 6-10 hebben nu de status switch group 2 / hardware offload enabled.

Flinke bug in de interne bonding van die twee paden dus.

woensdag 24 januari 2018 22:20

Acties:

0 Henk 'm!

Hmmbob

mbenjamins schreef op woensdag 24 januari 2018 @ 20:46:
[...]

De problemen die ik ondervindt zijn dat het internet trager wordt.
Ik heb een KPN glasvezel 100/100 pakket.

Je kan op geen enkele manier geholpen worden als je zo weinig info geeft.

Sometimes you need to plan for coincidence

woensdag 24 januari 2018 22:24

Acties:

0 Henk 'm!

mbenjamins

Hmmbob schreef op woensdag 24 januari 2018 @ 22:20:
[...]
Je kan op geen enkele manier geholpen worden als je zo weinig info geeft.

Welke informatie heb je allemaal nodig?

woensdag 24 januari 2018 22:28

Acties:

+1 Henk 'm!

Hmmbob

Je configuratie, een error / error log, meer dan dit in ieder geval. M'n glazen bol is stuk vandaag.

[ Voor 19% gewijzigd door Hmmbob op 24-01-2018 22:28 ]

Sometimes you need to plan for coincidence

donderdag 25 januari 2018 16:50

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

Vandaag de knoop doorgehakt en de update uitgevoerd van v6.40.5 naar Current (v6.41) op de CRS125-24G-1S, beide wAP G-5HacT2HnD's en de 962UiGS-5HacT2HnT, gelukkig zonder issues XS4all WebTV werkt niet meer. Geen idee hoe dat komt

Ik heb nu op alle systemen onder /system routerboard onder upgrade firmware: 6.41 staan. Vraag me af of dat klopt in één keer 3 major versions omhoog

Edit: toch wel, zoals wordt vermeld in de changelog:

!) routerboot - RouterBOOT version numbering system merged with RouterOS

[ Voor 26% gewijzigd door WeaZuL op 28-01-2018 15:27 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

donderdag 25 januari 2018 18:06

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Binnenkort krijg ik de RB3011 binnen. Deze zal ik als router gebruiken en ik ga tv hierover laten lopen. Tv (Caiw) is een losse aansluiting op de NTU naast de Internet aansluiting. Klopt het dat het voldoende is om een aparte bridge voor IPTV aan te maken en hierop de NTU en de ontvangers aansluiten?

Eerst het probleem, dan de oplossing

donderdag 25 januari 2018 19:38

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

Ik zit ook bij Caiway met mijn RB3011 maar weet je zeker dat je IPTV TV krijgt?
Ik heb zelf een glasvezel aansluiting maar TV gebruikt ik via de coax die binnenkomt met een Humax decoder.

Als je meerdere aansluitingen wilt splitsen maar heb je waarschijnlijk niet de bridge maar de switch optie nodig en daar voeg je bepaalde poorten aan toe.

donderdag 25 januari 2018 19:41

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Thanks @Bierkameel en ja...heel zeker dat het IPTV is (icm Entone 515). Doel is om helemaal afscheid te nemen van de coax.

Wat is ongeveer het verschil tussen de bridge en de switch?
De switch maakt gebruik van de switch chip, terwijl de bridge (functioneel hetzelfde) een software oplossing is.

[ Voor 24% gewijzigd door lier op 26-01-2018 11:34 ]

Eerst het probleem, dan de oplossing

zondag 28 januari 2018 20:25

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Is het eigenlijk mogenlijk applicaties te installeren op je Mikrotik met RouterOS?
Bijvoorbeeld SyncThing, Nextcloud, Transmission, Flexget (Python3). Dat soort dingen? Geen idee of RouterOS op een bekende distributie zoals Debian is gebaseerd..
Of zijn de 400MHz Atheros chips daar sowieso te traag voor?

[ Voor 11% gewijzigd door Jazco2nd op 28-01-2018 20:25 ]

zondag 28 januari 2018 22:19

Acties:

0 Henk 'm!

badkuip

Sinds mijn verhuizing overgestapt naar XS4ALL glasvezel in combinatie met een Mikrotik CRS112-8G-4S. De boel draait sinds maandag 22 januari en sinds die tijd lukt het mij ook niet om de live streams van de NOS/NPO te bekijken. Pagina opent wel maar de player en het rondje waarmee de stream geladen moet worden blijft eindeloos draaien.

Wanneer ik m'n iPhone van de Wifi disconnect (Ubiquity accespoint met Ubiquity switch) en het via 4G probeer, dan lukt het wel. Hetzelfde geldt voor de macbook en iPad: Wanneer ik met mijn iPhone een hotspot via 4G aanmaak, dan kan ik prima tv streamen.

Heeft er iemand een idee waar te kijken? Ik heb mijn config en firewall rules al nagekeken maar ik zie daar niets vreemds aan.

Config

code:

# jan/28/2018 22:03:15 by RouterOS 6.41
# software id = 9D1A-E9U0
#
# model = CRS112-8G-4S
# serial number = 84C807136336
/interface bridge
add arp=proxy-arp comment=defconf name=bridge-local
/interface ethernet
set [ find default-name=sfp9 ] arp=disabled auto-negotiation=no l2mtu=1598 \
    name=sfp9-gateway
set [ find default-name=sfp10 ] advertise=1000M-full
set [ find default-name=sfp12 ] auto-negotiation=no
/interface vlan
add arp=disabled interface=sfp9-gateway mtu=1594 name=vlan6-xs4all-internet \
    vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=\
    vlan6-xs4all-internet keepalive-timeout=disabled max-mru=1500 max-mtu=\
    1500 name=pppoe-xs4all-inet password=mikrotik user=mikrotik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.33.100-192.168.33.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=defconf
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether1
add bridge=bridge-local comment=defconf interface=ether2
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=ether4
add bridge=bridge-local comment=defconf interface=ether5
add bridge=bridge-local comment=defconf interface=ether6
add bridge=bridge-local comment=defconf interface=ether7
add bridge=bridge-local comment=defconf interface=ether8
add bridge=bridge-local comment=defconf interface=sfp10
add bridge=bridge-local comment=defconf interface=sfp11
add bridge=bridge-local comment=defconf interface=sfp12
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.33.1/24 comment=defconf interface=bridge-local network=\
    192.168.33.0
/ip dhcp-server lease
add address=192.168.33.2 client-id=1:78:8a:20:42:2d:40 comment=\
    "Ubiquity switch" mac-address=78:8A:20:42:2D:40 server=defconf
add address=192.168.33.3 client-id=1:b8:27:eb:5d:52:9d mac-address=\
    B8:27:EB:5D:52:9D server=defconf
add address=192.168.33.4 client-id=1:0:11:32:74:d3:9f mac-address=\
    00:11:32:74:D3:9F server=defconf
/ip dhcp-server network
add address=192.168.33.0/24 comment=defconf gateway=192.168.33.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,4.4.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-xs4all-inet
add action=drop chain=input in-interface=vlan6-xs4all-internet
add action=drop chain=input in-interface=sfp9-gateway
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-limit=100,32 \
    connection-nat-state=!dstnat connection-state=new in-interface=\
    pppoe-xs4all-inet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=pppoe-xs4all-inet
/ipv6 address
add address=::66d1:54ff:feb0:3baa eui-64=yes from-pool=xs4all-v6prefix \
    interface=bridge-local
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-xs4all-inet pool-name=\
    xs4all-v6prefix pool-prefix-length=62 request=prefix use-peer-dns=no
/ipv6 firewall filter
add chain=input protocol=icmpv6
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment=ntp-service dst-port=123 limit=10,5:packet protocol=\
    udp
add action=accept chain=input comment="DHCPv6-prefix ontvangen van XS4ALL" \
    dst-port=546 protocol=udp src-address=fe80::/10
add action=drop chain=input in-interface=pppoe-xs4all-inet
add action=drop chain=input in-interface=vlan6-xs4all-internet
add action=drop chain=input in-interface=sfp9-gateway
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
/system clock
set time-zone-name=Europe/Amsterdam
/tool sniffer
set filter-ip-address=!192.168.33.189/32

IPv4 firewall

code:

# jan/28/2018 22:03:26 by RouterOS 6.41
# software id = 9D1A-E9U0
#
# model = CRS112-8G-4S
# serial number = 84C807136336
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-xs4all-inet
add action=drop chain=input in-interface=vlan6-xs4all-internet
add action=drop chain=input in-interface=sfp9-gateway
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-limit=100,32 \
    connection-nat-state=!dstnat connection-state=new in-interface=\
    pppoe-xs4all-inet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=pppoe-xs4all-inet

IPv6 firewall

code:

# jan/28/2018 22:10:19 by RouterOS 6.41
# software id = 9D1A-E9U0
#
# model = CRS112-8G-4S
# serial number = 84C807136336
/ipv6 firewall filter
add chain=input protocol=icmpv6
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment=ntp-service dst-port=123 limit=10,5:packet protocol=\
    udp
add action=accept chain=input comment="DHCPv6-prefix ontvangen van XS4ALL" \
    dst-port=546 protocol=udp src-address=fe80::/10
add action=drop chain=input in-interface=pppoe-xs4all-inet
add action=drop chain=input in-interface=vlan6-xs4all-internet
add action=drop chain=input in-interface=sfp9-gateway
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid

Ik zoek het een beetje in de hoek van de firewall omdat de rest van het internetten wel goed gaat.
Wat mij opvalt is de ipv6 regel "DHCPv6-prefix ontvangen van XS4ALL", vraag me af of dat met dit hardcoded ipv6 adres wel goed staat.
Daarnaast vraag ik me af of de regel "drop all from WAN not DSTNATed" bij de ipv4 config mij in de weg zit.
Ik heb geprobeerd door de rules te disablen en dan opnieuw de stream te laden maar daardoor is het probleem niet opeens verholpen.
Daarnaast al even gekeken naar Torch en naar de Packet sniffer maar ik kan nog niet goed mee uit de voeten.
Het enige wat ik nog niet geprobeerd heb is de laptop meteen op de Mikrotik aan te sluiten om uit te sluiten of het aan de Ubiquity-spullen ligt.

[ Voor 6% gewijzigd door badkuip op 28-01-2018 22:20 ]

zondag 28 januari 2018 22:43

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op zondag 28 januari 2018 @ 20:25:
Is het eigenlijk mogenlijk applicaties te installeren op je Mikrotik met RouterOS?

Nope.

Er is/was wel metarouter om bijvoorbeeld een 'virtuele' OpenWRT image te draaien, maar dat wordt helemaal niet meer onderhouden. Helaas.

Geen idee of RouterOS op een bekende distributie zoals Debian is gebaseerd..

Het enige dat er 'bekend' aan is is de Linuxkernel.

Of zijn de 400MHz Atheros chips daar sowieso te traag voor?

Niet te traag. Wel is er veel te weinig flash/geheugen aan boord voor dat soort grappen.

badkuip schreef op zondag 28 januari 2018 @ 22:19:
Daarnaast al even gekeken naar Torch en naar de Packet sniffer maar ik kan nog niet goed mee uit de voeten.

Ben bang dat dat toch de 'way to go is'. Eerst uitzoeken wát er niet werkt (browser developer console, network tab of Wireshark), dan kun je daarna gerichter debuggen.

Je v6 firewall is zo op 't oog compleet bogus, alles dan er aan het einde af valt wordt geaccepteerd. Het enige dat je weggooit is invalid, dus inkomende nieuwe connecties zijn geen enkel probleem. Waarschijnlijk is dat niet wat je bedoelde..

maandag 29 januari 2018 04:58

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

badkuip schreef op zondag 28 januari 2018 @ 22:19:

Heeft er iemand een idee waar te kijken? Ik heb mijn config en firewall rules al nagekeken maar ik zie daar niets vreemds aan.

Je gebruikt 4.4.4.4 als DNS server en die bestaat niet

Dat moet 8.8.8.8 en 8.8.4.4 zijn als je google wilt gebruikten.

maandag 29 januari 2018 07:22

Acties:

0 Henk 'm!

Hmmbob

Hmmm, alleen als secundaire DNS dus ik vraag me af of dat het gaat zijn.

Sometimes you need to plan for coincidence

maandag 29 januari 2018 07:53

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

Nee dat zal zijn probleem niet veroorzaken maar een DNS server die niet bestaat is nooit handig

maandag 29 januari 2018 21:53

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

Naar aanleiding van de v6.41 en een niet functionerende XS4ALL WebTV wilde ik weer downgraden naar 6.40.5. Echter had ik geen complete backup maar een /export compact. Mooi kak dus want daarmee mis ik een deel van de config en kregen mijn draadloze clients geen connectie meer met mijn AP's om één of andere vage reden.

Om de CRS125 toch weer running te krijgen ben ik

mij stuk aan het bijten op de nieuwe bridge configuratie in v6.41. Ik kom niet uit het volgende: ik heb verschillende vlans, tagged en untagged zowel access poorten als trunk poorten. Kan ik met v6.41 icm de CRS125 nog steeds gebruik maken van

/interface ethernet switch egress-vlan-tag / egress-vlan-translation / ingress-vlan-translation

of moet ik nu sinds v6.41 alle vlan's via

/interface bridge

configureren?

Edit: volgens de mikrotik wiki beide, pfff hoe is het mogelijk

Vanwege het uitblijven van succes m.b.t vlans/IP-tv icm v6.41 heb ik de downgrade nog een keer uitgevoerd naar 6.40.5. Ditmaal na de downgrade gelijk een /system reset-configuration uitgevoerd en na herstart gestart met een kale config. Vervolgens mijn oude export compact terug gezet en ik ben weer terug op de oude, maar werkende IP-tv/WEB-tv config.

TL-DR, ik blijf met de CRS125 voorlopig nog even op v6.40.5 totdat het duidelijk is hoe IP-tv te scheiden van het overige netwerk verkeer ivm multicast flooding icm het juist configureren van de IGMP snooping functionaliteit. De wAPac's en de hAPac daarentegen draaien gewoon goed op v6.41.

[ Voor 34% gewijzigd door WeaZuL op 31-01-2018 21:07 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

woensdag 31 januari 2018 21:46

Acties:

0 Henk 'm!

Zaffo

Er is weer een nieuwe nieuwsbrief, o.a. met de CRS112-8P-4S-IN en cAP ac. Twee apparaten waar ik naar uitkeek.

woensdag 31 januari 2018 22:25

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

Zaffo schreef op woensdag 31 januari 2018 @ 21:46:
Er is weer een nieuwe nieuwsbrief, o.a. met de CRS112-8P-4S-IN en cAP ac. Twee apparaten waar ik naar uitkeek.

Interessant, de prijzen alleen al van de hAP ac2 en de cAP ac. Die CRS112-8P-4S-IN, ik ben wel benieuwd naar de performance. waar zou je die switch toepassen? Ik bedoel, eindelijk een POE switch, maar erg krachtig is hij niet?

Apart ook dat die cAP ac met twee behuizingen komt

[ Voor 16% gewijzigd door WeaZuL op 31-01-2018 22:40 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

donderdag 1 februari 2018 10:10

Acties:

0 Henk 'm!

SpikeHome

net een aantal van mijn 2011 firmware geupdated.
allemaal gingen ze goed op 1 na.
als ik via winbox kijk bij system/routerboard is alles leeg!
ook de commanda system routerboard print geeft de volgende foutmelding:
error - contact MikroTik support and send a supout file (2)

en die melding krijg ik bij alles.
zelfs bij system reboot
Dus de firmare is niet goed gegaan.
Hoe kan ik die fixen?
bij files staat de juiste firmware
En zit er gewoon op en lijkt allemaal ook te werken nog.

donderdag 1 februari 2018 12:31

Acties:

0 Henk 'm!

Zaffo

WeaZuL schreef op woensdag 31 januari 2018 @ 22:25:
[...]

Interessant, de prijzen alleen al van de hAP ac2 en de cAP ac. Die CRS112-8P-4S-IN, ik ben wel benieuwd naar de performance. waar zou je die switch toepassen? Ik bedoel, eindelijk een POE switch, maar erg krachtig is hij niet?

Apart ook dat die cAP ac met twee behuizingen komt

Als PoE switch met 2x het aantal PoE poorten als de hEX PoE (en verschillende voltages tegelijk), al moet ik nog kijken of het prijstechnisch ook goed zit.

SpikeHome schreef op donderdag 1 februari 2018 @ 10:10:
(...)
ook de commanda system routerboard print geeft de volgende foutmelding:
error - contact MikroTik support and send a supout file (2)
(...)
Hoe kan ik die fixen?
(...)

contact MikroTik support and send a supout file

En als je de supout heb gestuurd kan je Netinstall proberen.

[ Voor 8% gewijzigd door Zaffo op 01-02-2018 12:31 ]

donderdag 1 februari 2018 12:36

Acties:

0 Henk 'm!

SpikeHome

@Zaffo Helaas zelfs die supout file kan die niet maken.
En krijg dan dezelfde foutmelding.
vanavond maar eens met netinstall aan de gang

donderdag 1 februari 2018 12:56

Acties:

0 Henk 'm!

iMars

Full time prutser

Ik heb een vraagje waar ik niet 1-2-3 uit kom mbv Google e.d.:
Ik heb een Mikrotik Router (951G-2HnD met RouterOS 6.41) met een vrij standaard config erop. Port 1 is WAN port, port 2-5 staan in bridge. Aantal regels in de /ip firewall nat en een aantal regels in /ip dns static. Een standaard dhcp pool, afwijkend ip-adres (10.x.x.x reeks) en de WiFi uit (maak gebruik van Unifi).

Nu wil ik eigenlijk of:
Alle poorten uit de bridge gooien en dat bijvoorbeeld poort 2 een standaard poort voor mijn LAN is en de ovrige poorten vrij om mee te spelen.
Of 1 poort (bijvoorbeeld 5) uit de bridge gooien zodat ik een vrije poort heb om mee te spelen.

Mijn reden/motivatie om dit te doen is dat ik met VLANS wil gaan spelen, zonder dat mijn internet weg valt op mijn LAN voor het geval ik een vlan foutje maak.

Hoe kan ik dit het beste realiseren? Wenselijk is dat de bestaande firewall en dns instellingen blijven voor het "gewone LAN". Mijn netwerkkennis is redelijk, maar qua RouterOS minder.

[ Voor 4% gewijzigd door iMars op 01-02-2018 12:58 ]

Koop hier mijn P1 reader :)

donderdag 1 februari 2018 13:11

Acties:

0 Henk 'm!

nescafe

Wifi

Je hebt het over /ip firewall nat dus waarschijnlijk ben je via SSH ingelogd; je kunt met beperkte kennis beter Winbox (via) gebruiken daarmee is bovenstaande zo geregeld:

Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/4842da3f-51ae-48bd-a3be-2f842349cae3/02.01.2018-13.08.png

Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/4842da3f-51ae-48bd-a3be-2f842349cae3/02.01.2018-13.08.png

Je kunt via Bridge > Ports de poort uit je bridge gooien, dan wordt het een zelfstandige interface (geen "slave" meer). Het is daarnaast altijd aan te raden om "Safe Mode" in te schakelen. Mocht je de verbinding met de router verliezen dan worden alle wijzigingen die je gedurende safe mode hebt toegepast, teruggedraaid.

Hierna kun je relevante stukken uit de default config pakken om een tweede segment aan te maken, bijv.

code:

/ip pool add name="lan2" ranges=192.168.89.10-192.168.89.254
/ip dhcp-server add name=defconf address-pool="lan2" interface=ether5 disabled=no
/ip dhcp-server network add address=192.168.89.0/24 gateway=192.168.89.1
/ip address add address=192.168.89.1/24 interface=ether5
/interface list member add list=LAN interface=ether5

[ Voor 22% gewijzigd door nescafe op 01-02-2018 13:29 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 1 februari 2018 13:48

Acties:

0 Henk 'm!

iMars

Full time prutser

nescafe schreef op donderdag 1 februari 2018 @ 13:11:
Je hebt het over /ip firewall nat dus waarschijnlijk ben je via SSH ingelogd; je kunt met beperkte kennis beter Winbox (via) gebruiken daarmee is bovenstaande zo geregeld:

[afbeelding]

Je kunt via Bridge > Ports de poort uit je bridge gooien, dan wordt het een zelfstandige interface (geen "slave" meer). Het is daarnaast altijd aan te raden om "Safe Mode" in te schakelen. Mocht je de verbinding met de router verliezen dan worden alle wijzigingen die je gedurende safe mode hebt toegepast, teruggedraaid.

Hierna kun je relevante stukken uit de default config pakken om een tweede segment aan te maken, bijv.
code:
1
2
3
4
5
/ip pool add name="lan2" ranges=192.168.89.10-192.168.89.254
/ip dhcp-server add name=defconf address-pool="lan2" interface=ether5 disabled=no
/ip dhcp-server network add address=192.168.89.0/24 gateway=192.168.89.1
/ip address add address=192.168.89.1/24 interface=ether5
/interface list member add list=LAN interface=ether5

Inderdaad... Ik werk op een Mac, en doe de configuratie of via browser, of idd via ssh

Winbox is voor Windows, maar ik heb zojuist een Mac variant gevonden, zal dit vanavond maar eens proberen

Edit: zie je wijziging. Maar ik wil ook met VLANS werken, dus het lieft (lijkt mij het beste) om met een vrije poort te werken. Dus zal poort 5 vrij maken en daarmee gaan experimenteren.

[ Voor 5% gewijzigd door iMars op 01-02-2018 13:50 ]

Koop hier mijn P1 reader :)

donderdag 1 februari 2018 16:33

Acties:

+1 Henk 'm!

SpikeHome

SpikeHome schreef op donderdag 1 februari 2018 @ 10:10:
net een aantal van mijn 2011 firmware geupdated.
allemaal gingen ze goed op 1 na.
als ik via winbox kijk bij system/routerboard is alles leeg!
ook de commanda system routerboard print geeft de volgende foutmelding:
error - contact MikroTik support and send a supout file (2)

en die melding krijg ik bij alles.
zelfs bij system reboot
Dus de firmare is niet goed gegaan.
Hoe kan ik die fixen?
bij files staat de juiste firmware
En zit er gewoon op en lijkt allemaal ook te werken nog.

opgelost via netinstall nieuwe firmware erop.
nu is alles weer normaal.
volgende keer niet remote firmwares updaten

vrijdag 2 februari 2018 08:43

Acties:

0 Henk 'm!

iMars

Full time prutser

@nescafe Thnx voor de tip, met Winbox (voor Mac) is het inderdaad gelukt om de poort vrij te spelen (easypiecy).

Wat is nou best practice voor Mikrotik/RouterOS om VLANS aan te maken. Ik lees heel veel tutorials en setups dat deze aan de bridge wordt gekoppeld. Maar ik wil juist experimenteren op 1 specifieke poort (5 in mijn geval). Dan hang ik toch de VLANS direct aan deze poort?

Koop hier mijn P1 reader :)

vrijdag 2 februari 2018 09:59

Acties:

0 Henk 'm!

nescafe

Wifi

Hier ben je helemaal vrij in

Vlan aan fysieke poort is gebruikelijk bij KPN / XS4ALL (wan). Vlan aan bridge indien je je vlans over meerdere poorten wilt spreiden. Geen vlan als je alleen port isolation wilt toepassen (mijn voorbeeld). Vlan via switch-config als je de cpu wilt ontlasten.

Het voordeel van MT is dat je wijzigingen direct worden toegepast, dus je kunt het makkelijk 5x over doen in de tijd dat je wacht op een enkele reboot van een *wrt-device

Ik had overigens niet in de gaten dat je MacOS draait, maar webfig werkt toch ongeveer even prettig als Winbox? Behalve de multiple-window-functionaliteit dan?

[ Voor 4% gewijzigd door nescafe op 02-02-2018 10:03 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 2 februari 2018 10:24

Acties:

0 Henk 'm!

Bierkameel

Alle proemn in n drek

Gisteren mijn RB3011 uitgebreid met 2 WAP AC's als vervanging van een Amplifi HD mesh set.
Nu maar ff prutsen om capsman goed in te richten, ik had het gisteren half aan de praat maar er zit zo'n gigantische bak opties in

vrijdag 2 februari 2018 11:47

Acties:

0 Henk 'm!

iMars

Full time prutser

nescafe schreef op vrijdag 2 februari 2018 @ 09:59:
Hier ben je helemaal vrij in Vlan aan fysieke poort is gebruikelijk bij KPN / XS4ALL (wan). Vlan aan bridge indien je je vlans over meerdere poorten wilt spreiden. Geen vlan als je alleen port isolation wilt toepassen (mijn voorbeeld). Vlan via switch-config als je de cpu wilt ontlasten.

Het voordeel van MT is dat je wijzigingen direct worden toegepast, dus je kunt het makkelijk 5x over doen in de tijd dat je wacht op een enkele reboot van een *wrt-device

Ik had overigens niet in de gaten dat je MacOS draait, maar webfig werkt toch ongeveer even prettig als Winbox? Behalve de multiple-window-functionaliteit dan?

Mijn doel is om mijn ""simpele" lan om te zetten naar lan met vlan's.
Nu is het: [Ziggo]--[Mikrotik]--[Switch-1]--[Switch-2]

De switches zijn managed switches, maar vlan nog niet ingericht.
Ik wil poort 5 van de Mikrotik in een poort van de switch doen (in trunk) en dan op andere vlans testen of het werkt.

Zodra dat werkt, kan ik alles volledig overzetten

Koop hier mijn P1 reader :)

zondag 11 februari 2018 19:54

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Zaffo schreef op woensdag 31 januari 2018 @ 21:46:
Er is weer een nieuwe nieuwsbrief, o.a. met de CRS112-8P-4S-IN en cAP ac. Twee apparaten waar ik naar uitkeek.

Ha eindelijk concurrentie voor de Unifi AC Walls! Ben erg benieuwd hoe ze ten opzichte van elkaar presteren.

En fijn dat die router eindelijk uit is, daar had ik ook al paar keer over gelezen en was een optie, maar duur. Wanneer heb je eigenlijk 4 SFP poorten nodig? Voor een supersnel glasvezel intranet?

De hEX PoE voldoet voor thuis (1x SFP), is sneller (800Mhz vs 400Mhz) en is goedkoper. Zelfs net iets goedkoper dan de Ubiquiti Edgerouter X SFP, die is mogelijk wel sneller, sowieso stuk kleiner en wat sjieker maar heeft alleen passive POE.

[ Voor 5% gewijzigd door Jazco2nd op 11-02-2018 19:55 ]

maandag 12 februari 2018 20:09

Acties:

+1 Henk 'm!

The Executer

Lekker belangrijk!

In navolging van mijn vele posts over mijn probleem met L2TP en het bereiken van interne hosts heb ik goed nieuws. Met de laatste updates vanaf 6.41 (welke van de 2 weet ik niet) is mijn probleem grotendeels opgelost. Ik kan nu in ieder geval bijvoorbeeld de printer of pc's via de browser bereiken zonder problemen. Wat er veranderd is weet ik niet, maar ben er wel blij mee. Enige wat nog niet lukt is RDP over VPN.

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 14 februari 2018 22:11

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Heb de Mikrotik HEX PoE binnen.. blij dat ie kleiner is dan ik had verwacht.

Volgens de handleiding die erbij zit zou je direct in de webconfig moeten kunnen via 192.168.88.1, maar mijn Mikrotik geeft geen IP adres. DHCP zou standaard aan moeten staan volgens de handleiding.

Heb uiteindelijk zelf een ip, subnetmask en gateway ingevuld maar dan nog bereik ik niks.

Mijn Mikrotik piept tikkend (snel pulserend naar traag pulserend) de eerste paar seconden als ik de adapter aansluit. Daarna 1 piep en 10 tellen later nog een korte dubbele piep. Is dat normaal?

Heb ook reset geprobeerd, maar ik kom er niet in. Groene lampje van poort 1 brand wel..

Moet dus op poort 2 beginnen!

donderdag 15 februari 2018 09:52

Acties:

0 Henk 'm!

Lesilhouette

Iemand bekend met de makkelijkste/beste/snelste manier om VPN (bij voorkeur met radius) op een MikroTik in te stellen? Ik heb OpenVPN geprobeerd, dat is op de MT ingesteld, maar ik begrijp niets van de client config m.b.t. certificaten. Ik heb een wildcard certificaat op de MT ingesteld, maar wat moet ik in de config op de client nu veranderen?

De config ziet er nu als volgt uit:

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

Gecertificeerd prutser!

donderdag 15 februari 2018 10:43

Acties:

0 Henk 'm!

Raymond P

Lesilhouette schreef op donderdag 15 februari 2018 @ 09:52:
Iemand bekend met de makkelijkste/beste/snelste manier om VPN (bij voorkeur met radius) op een MikroTik in te stellen?

[...]

Ben bang dat je wel zal moeten kiezen.

Voor zover ik weet is de makkelijkste manier gewoon een vinkje zetten voor een automagische pptp en l2tp/ipsec setup.
RADIUS is gewoon mogelijk.

Afbeeldingslocatie: https://i.imgur.com/pEO8gP9.png

Afbeeldingslocatie: https://i.imgur.com/pEO8gP9.png

Zelf gebruik ik ipsec (ike). Je auth/verificatie kan je dan ook via radius doen.

Openvpn ben ik verder niet bekend mee.

- knip -

donderdag 15 februari 2018 14:01

Acties:

0 Henk 'm!

Lesilhouette

Raymond P schreef op donderdag 15 februari 2018 @ 10:43:
[...]

Ben bang dat je wel zal moeten kiezen.

Voor zover ik weet is de makkelijkste manier gewoon een vinkje zetten voor een automagische pptp en l2tp/ipsec setup.
RADIUS is gewoon mogelijk.

Zelf gebruik ik ipsec (ike). Je auth/verificatie kan je dan ook via radius doen.

Openvpn ben ik verder niet bekend mee.

Tnx. Vanaf werk net dat vinkje gezet zonder safe mode. Plop, verbinding weg. Oeps.

Vanavond nog maar even mee stoeien.

Gecertificeerd prutser!

donderdag 15 februari 2018 17:05

Acties:

0 Henk 'm!

Raymond P

Ik heb hem in het verleden wel eens op afstand getoggled, maar dan was er een reboot nodig voordat het ook werkte.
Wellicht hebben ze dat stukje geautomatiseerd nu?

- knip -

zaterdag 24 februari 2018 18:26

Acties:

0 Henk 'm!

Vorkie

Ik zit eens te spelen met RouterOS (PoC), maar dan de CHR variant draaiende op ESX.6.5.

Wat ik steeds voorbij zie komen in PFSense is dat er vanaf de CHR gecommuniceerd wordt met 169.254.169.254:80, zo'n mooi Link-Local adres. Dit zie ik dan ook terug in de active connections van RouterOS.

Ik vond dat vreemd gedrag... dus ben eens verder gaan kijken, wat blijkt...sinds 2015 heeft (iig de CHR) deze "functie".

https://forum.mikrotik.com/viewtopic.php?t=101989
Everyone who is noticing unusual traffic on your router - we have managed to reproduce this issue and we will fix it as soon as possible. The router is checking the ssh key for amazon cloud installation environments, a feature coming later.

As a temporary workaround you can use this solution:
/ip route add distance=1 dst-address=169.254.0.0/16 type=blackhole

Ik vindt het verder een mooi product, maar of ik het waard vindt om deze virtueel te gaan draaien en daarvoor dus een licentie moet gaan afnemen (37 euro is niet veel) of bij PFSense blijft weet ik nog niet. Tenzij iemand mij kan overtuigen

vrijdag 9 maart 2018 20:27

Acties:

0 Henk 'm!

Hmmbob

quote: https://www.security.nl/p...+MikroTik-routers+ontdekt
Spionageaanval via gehackte MikroTik-routers ontdekt

Anti-virusbedrijf Kaspersky Lab heeft een spionageaanval via gehackte MikroTik-routers ontdekt die vooral in Afrika en het Midden-Oosten slachtoffers heeft gemaakt. Volgens de virusbestrijder gaat het om een aanval die qua complexiteit vergelijkbaar is met twee eerder ontdekte spionageaanvallen die bekendstaan als Regin en Sauron.

Sometimes you need to plan for coincidence

vrijdag 9 maart 2018 22:15

Acties:

0 Henk 'm!

roans

Goedeavond,

vraagje;

huidige setup is een RB2011UiAS met een SPF module rechtstreeks op mijn xs4all glasvezel verbinding.
dit is een model zonder wifi en nu merk ik graag in de ruimte waar dit staat wifi creeren.

nu heb ik 2 opties:

-CAP ac accespoint / hAP ac lite tower
https://mikrotik.com/product/cap_ac
en deze aansluiten op mijn huidige RB2011

-HAP AC, en deze inzetten als vervanging van de rb2011
https://mikrotik.com/product/RB962UiGS-5HacT2HnT

deze heeft ac wifi gigabit poorten en spf module.

graag jullie advies ?

vrijdag 9 maart 2018 22:23

Acties:

0 Henk 'm!

DJSmiley

roans schreef op vrijdag 9 maart 2018 @ 22:15:
Goedeavond,

vraagje;

huidige setup is een RB2011UiAS met een SPF module rechtstreeks op mijn xs4all glasvezel verbinding.
dit is een model zonder wifi en nu merk ik graag in de ruimte waar dit staat wifi creeren.

nu heb ik 2 opties:

-CAP ac accespoint / hAP ac lite tower
https://mikrotik.com/product/cap_ac
en deze aansluiten op mijn huidige RB2011

-HAP AC, en deze inzetten als vervanging van de rb2011
https://mikrotik.com/product/RB962UiGS-5HacT2HnT

deze heeft ac wifi gigabit poorten en spf module.

graag jullie advies ?

Los accesspoint.

De HAP AC als vervanging: Alleen als je glasvezel in je woonkamer zit. In de meeste gevallen zit het glas in je meterkast en dat is de plek waar je vooral NIET je accesspoint wilt hebben (dan heb je de meeste kans op brak signaal, zeker op de 5Ghz, op de verder gelegen plekken)

AP centraal ophangen

vrijdag 9 maart 2018 22:30

Acties:

0 Henk 'm!

roans

DJSmiley schreef op vrijdag 9 maart 2018 @ 22:23:
[...]

Los accesspoint.

De HAP AC als vervanging: Alleen als je glasvezel in je woonkamer zit. In de meeste gevallen zit het glas in je meterkast en dat is de plek waar je vooral NIET je accesspoint wilt hebben (dan heb je de meeste kans op brak signaal, zeker op de 5Ghz, op de verder gelegen plekken)

AP centraal ophangen

bedankt voor je reactie! misschien is het handig om te melden dat ik mijn glasvezel heb doorgetrokken naar mijn trap kast die midden in de woning zit.

kan een hap ac het qua peform aan tegenover een rb2011? en wat is het verschil tussen level 4 en 5 licentie ?

vrijdag 9 maart 2018 22:50

Acties:

0 Henk 'm!

Anoniem: 203842

Wat verwacht je van de performance? Hoeveel "Mbps" op je mobiele device wil je halen? En wat door device is het? En heeft die device dat ook echt nodig?

Let op: voor "effe surfen", Facebooken, en nieuws lezen: Genoeg aan 2 Mbps.
Youtube: 2-15 Mbps.

Level 4 en 5 geen verschil. In ieder geval niet van toepassing voor huis tuin keuken omgeving.

https://wiki.mikrotik.com/wiki/Manual:License

Scroll klein beetje naar beneden.

Dus als jij meer dan 200 tunnels gaat maken, dan moet je een L5 hebben. Maar dat trekt die RB2011 niet.

zondag 11 maart 2018 22:09

Acties:

0 Henk 'm!

BubbaNL

Iemand hier die de igmp snooping op de bridge gebruikt icm kpn iptv? Ben benieuwd of het werkt.

Ik heb een poging gedaan, connectie werkt maar tv freezed na 3 sec ongeveer.

zondag 11 maart 2018 22:23

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

BubbaNL schreef op zondag 11 maart 2018 @ 22:09:
Iemand hier die de igmp snooping op de bridge gebruikt icm kpn iptv? Ben benieuwd of het werkt.

Ja.

Ik heb een poging gedaan, connectie werkt maar tv freezed na 3 sec ongeveer.

De eerste paar seconden gaan niet over multicast.

Werkt het wel met snooping uit? Hoe ziet je config eruit?

maandag 12 maart 2018 07:02

Acties:

0 Henk 'm!

BubbaNL

Thralas schreef op zondag 11 maart 2018 @ 22:23:
[...]

Ja.

[...]

De eerste paar seconden gaan niet over multicast.

Werkt het wel met snooping uit? Hoe ziet je config eruit?

Als ik de snooping uit zet doen de iptv kastjes niets.

Grofweg is mn config 1 bridge met de twee vlans 6 en 4 op de gateway,. Dhcp en nat met de opties van netwerkje.com Voor de relay.
Ik weet niet zeker of ik die moest hebben maar zonder werkt er niets met iptv.

Ik kan vanavond wel een export draaien.

maandag 12 maart 2018 09:52

Acties:

+1 Henk 'm!

Hmmbob

Mijn werkende configuratie staat in het KPN topic: Hmmbob in "[KPN Glasvezel] Ervaringen & Discussie - Deel 2"

Sometimes you need to plan for coincidence

maandag 12 maart 2018 10:11

Acties:

0 Henk 'm!

BubbaNL

Hmmbob schreef op maandag 12 maart 2018 @ 09:52:
Mijn werkende configuratie staat in het KPN topic: Hmmbob in "[KPN Glasvezel] Ervaringen & Discussie - Deel 2"

lees ik dan verkeerd dat jij het daar hebt over de IGMP Proxy en niet IGMP Snooping?
in je config zie ik IGMP Snooping= NO op de bridge LAN en IGMP Proxy aan in Routing. ik wil juist snooping gebruiken en niet de proxy

maandag 12 maart 2018 10:31

Acties:

0 Henk 'm!

Hmmbob

Ik gebruik inderdaad de proxy. Ik heb begrepen dat als je meer dan 1 ontvanger aan wil sluiten, je de proxy moet gebruiken.

Sometimes you need to plan for coincidence

maandag 12 maart 2018 11:59

Acties:

0 Henk 'm!

BubbaNL

ik heb maar 1 ontvanger (op het moment) maar wat ik lees over snooping is juist dat die ook meer meerdere moet om kunnen gaan en snooping zou dynamischer en efficienter zijn met in en afschakelen van iptv streams.

maandag 12 maart 2018 20:48

Acties:

0 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

SpikeHome schreef op woensdag 24 januari 2018 @ 08:47:
@Freekers Ja ik heb het gedaan aan de hand van youtube van TKSJa en daarna net zolang geprutst tot ik snapte hoe het in elkaar zat.
Moet ik wel zeggen dat ik een 2e 2011 op marktplaats had gekocht om te experimenteren.
Bij mij gaat de vlan ook met een uplink naar een 2e mikrotik met ook nog een gast wifi en ethernet.
Ik heb dat thuis zo gemaakt en bij mijn vrouw op het werk.
Daarvan hier wat plaatjes:

Blast from the past maar ik ben hier (nog steeds) mee bezig. Ik ben inderdaad tot de conclusie gekomen dat een VLAN overkill is voor wat ik probeer te bereiken. Mijn doel is namelijk heel simpel: Voorkomen dat IoT devices als entrypoint kunnen dienen voor de rest van mijn netwerk indien ze gehackt worden. Dit wil ik bereiken door te voorkomen dat deze devices toegang hebben tot de rest van mijn netwerk en alleen mogen communiceren met internet.

Ik heb geprobeerd dit via de volgende Firewall Rule:

Echter, deze firewall rule triggert/werkt niet; Er wordt niks gedropped. Nu lees ik dat dit komt doordat de data niet via de Bridge verloopt omdat het intern is. Het aanzetten van de 'IP Firewall' functie op de bridge zou dit moeten oplossen maar helaas; ook dit werkt niet.

Wat doe ik fout/wat gaat er mis?

Vriendelijk bedankt!

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

maandag 12 maart 2018 21:00

Acties:

0 Henk 'm!

Hmmbob

Probeer je dan ook wel vanaf dat device een apparaat op je netwerk te benaderen? Of praat dat apparaat enkel 'gewoon' met het internet?

Sometimes you need to plan for coincidence

maandag 12 maart 2018 21:12

Acties:

0 Henk 'm!

nescafe

Wifi

@Freekers, heb je ook gedacht aan:
- non IPv4-traffic (IPv6-clients kunnen zelfstandig communiceren)
- andere switches (bridge filters zijn hierop niet van toepassing)
- wlan client-to-client traffic (binnen eenzelfde wlan-interface)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 12 maart 2018 21:20

Acties:

0 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

Hmmbob schreef op maandag 12 maart 2018 @ 21:00:
Probeer je dan ook wel vanaf dat device een apparaat op je netwerk te benaderen? Of praat dat apparaat enkel 'gewoon' met het internet?

Dat apparaat praat inderdaad enkel alleen met 'het internet'. Het heeft wel een webinterface waarin de systeem status staat maar waar je voor de rest niets mee kunt.

nescafe schreef op maandag 12 maart 2018 @ 21:12:
@Freekers, heb je ook gedacht aan:
- non IPv4-traffic (IPv6-clients kunnen zelfstandig communiceren)
- andere switches (bridge filters zijn hierop niet van toepassing)
- wlan client-to-client traffic (binnen eenzelfde wlan-interface)

Nee, niet aan gedacht

Hmm, terug naar de tekentafel dan maar? Ik denk dat meerdere zaken die ik al heb ingesteld beter/makkelijker kunnen. Een soort van (betaalde) auditing service zou volgens mij een gat in de markt zijn

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

maandag 12 maart 2018 21:23

Acties:

0 Henk 'm!

Hmmbob

Freekers schreef op maandag 12 maart 2018 @ 21:20:
[...]

Dat apparaat praat inderdaad enkel alleen met 'het internet'. Het heeft wel een webinterface waarin de systeem status staat maar waar je voor de rest niets mee kunt.

Maar dan triggert de regel ook niet natuurlijk

die triggert pas als de device je lan wil benaderen.

Sometimes you need to plan for coincidence

dinsdag 13 maart 2018 07:14

Acties:

0 Henk 'm!

SpikeHome

@Freekers waarom is vlan overkill?
toch handig om netwerken gescheiden te houden.
en ik ben ook een aantal dagen aan het prutsen geweest.
maar werkt top gewoon.

Heb op marktplaats een 2011 gekocht om mee te experimenteren.
dan heb je voor weinig geld een hobby router waar je lekker mee kan experimenteren zonder je eigen netwerk plat ligt steeds en je boze huisbewoners hebt

woensdag 14 maart 2018 16:02

Acties:

+1 Henk 'm!

Freekers

⭐⭐⭐⭐⭐

Hmmbob schreef op maandag 12 maart 2018 @ 21:23:
[...]

Maar dan triggert de regel ook niet natuurlijk die triggert pas als de device je lan wil benaderen.

True, ik had voor het gemak even aangenomen dat die rule twee kanten op zou werken.

SpikeHome schreef op dinsdag 13 maart 2018 @ 07:14:
@Freekers waarom is vlan overkill?
toch handig om netwerken gescheiden te houden.
en ik ben ook een aantal dagen aan het prutsen geweest.
maar werkt top gewoon.

Heb op marktplaats een 2011 gekocht om mee te experimenteren.
dan heb je voor weinig geld een hobby router waar je lekker mee kan experimenteren zonder je eigen netwerk plat ligt steeds en je boze huisbewoners hebt

Omdat ik in essentie alleen wat wil blokkeren

Maar ik zal me maar eens gaan verdiepen in jouw tutorial en kijken of ik het aan de praat krijg. Thanks!

🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp

dinsdag 20 maart 2018 17:56

Acties:

0 Henk 'm!

daansan

Ik heb je configuratie geheel over genomen behalve de bridge voor iptv met spoofed mac address, mijn rb750gr3 heeft internet op eth1 en een lan connectie naar mijn switch (met igmp snooping op de switch) op eth2.

Eigenlijk werkt alles maar krijg ik af en toe “zender niet beschikbaar” op de tv, soms gebeurt dat na 10 minuten tv kijken; wel krijg ik deze melding frequent maar nooit binnen 3 seconden.

De igmp proxy lijkt zijn werk dus wel te doen maar toch gaat er iets mis.

Gebruik ik mijn fritzbox (van xs4all) ipv de mikrotik dan werkt alles goed; de topologie blijft dan hetzelfde.

Heeft een van jullie een idee wat dit zou kunnen zijn?

Hmmbob schreef op maandag 12 maart 2018 @ 09:52:
Mijn werkende configuratie staat in het KPN topic: Hmmbob in "[KPN Glasvezel] Ervaringen & Discussie - Deel 2"

I love it when a plan comes together!

dinsdag 20 maart 2018 18:21

Acties:

0 Henk 'm!

zzattack

Freekers schreef op maandag 12 maart 2018 @ 20:48:
[...]VLAN overkill
...
Firewall Rule...

Klinkt mij alsof VLANs vrij geschikt zijn voor wat je wilt bereiken. Zeker als je een switch met hw offloading kan inzetten zou ik hiervoor kiezen. Firewall rules gaan altijd over de cpu en juist dat zou ik overkill noemen.

zaterdag 24 maart 2018 18:08

Acties:

0 Henk 'm!

TF0

Ben nieuw in de MikroTik-wereld en wil graag een radius server installeren op mijn RB750Gr3.

Heb het/een user-manager package al gedownload van de MikroTik site (user-manager-6.41.3-mipsbe.npk).
De router zit ook op 6.41.3.
*.npk bestand in de file explorer slepen via WinBox en opnieuw opstarten doet niet wat het zou moeten doen. Bestand verdwijnt wel, maar ik zie geen nieuw package verschijnen in het package menu.

Je kunt blijkbaar 2 *.zip bestanden downloaden voor deze router als je zoekt op de MikroTik website op "RB7", je moet de bovenste pakken om de user-manager te krijgen, de andere heeft het niet.

De RB750Gr3 heeft echter een MMIPS processor en niet een MIPSBE (https://mikrotik.com/product/RB750Gr3#fndtn-specifications).

Ook hier lijken ze hetzelfde te ondervinden:
https://forum.mikrotik.com/viewtopic.php?t=115196

Lijkt me dus (nog) niet mogelijk en er zit dus een fout in de MikroTik website door "RB7xx" te vermelden bij de MIPSBE. MIPSBE is niet compatible met MMIPS.

Kan iemand dat bevestigen? Ik kan een Radius server ook niet in een ander package vinden?

Bronnen:
https://mikrotik.com/download
http://systemzone.net/mik...lation-and-configuration/
YouTube: Tutorial Mikrotik : Install Userman di Mikrotik RB750 Hex Lite

zondag 25 maart 2018 10:54

Acties:

+2 Henk 'm!

Zaffo

De RB750Gr3 staat onder MMIPS op de download pagina. Ik heb geen idee of ze de user-manager eindelijk hebben toegevoegd aan de extra packages voor MMIPS.

Edit:
https://wiki.mikrotik.com/wiki/User_Manager/Introduction

Package zou er voor v6.42 en later moeten zijn.

[ Voor 27% gewijzigd door Zaffo op 25-03-2018 10:58 ]

zondag 25 maart 2018 11:35

Acties:

0 Henk 'm!

TF0

Bedankt!
In de experimental package zit de user-manager inderdaad. Nog even wachten dus

.

zondag 1 april 2018 21:13

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

Heeft er al iemand een werkende config icm de CRS125 en 2x IPtv setop boxjes plus verschillende vlans in een routed config middels >v6.40.5? Ik maak momenteel nog gebruik van 6.40.5 versie icm seperate bridges voor IPtv verkeer / IPtv icm een IGMP proxy config en heb het wel geprobeerd om IPTV werkend te krijgen maar krijg het uiteindelijk niet voor elkaar.
Ik zou graag current willen blijven met de updates v an routeros maar het niet werkende kunnen krijgen van de IPtv setop boxen houd mij tegen om te updaten naar nieuwere versies.

[ Voor 3% gewijzigd door WeaZuL op 01-04-2018 21:14 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

dinsdag 3 april 2018 20:13

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Jazco2nd schreef op woensdag 14 februari 2018 @ 22:11:
Heb de Mikrotik HEX PoE binnen.. blij dat ie kleiner is dan ik had verwacht.

Volgens de handleiding die erbij zit zou je direct in de webconfig moeten kunnen via 192.168.88.1, maar mijn Mikrotik geeft geen IP adres. DHCP zou standaard aan moeten staan volgens de handleiding.

Heb uiteindelijk zelf een ip, subnetmask en gateway ingevuld maar dan nog bereik ik niks.

Mijn Mikrotik piept tikkend (snel pulserend naar traag pulserend) de eerste paar seconden als ik de adapter aansluit. Daarna 1 piep en 10 tellen later nog een korte dubbele piep. Is dat normaal?

Heb ook reset geprobeerd, maar ik kom er niet in. Groene lampje van poort 1 brand wel..

Moet dus op poort 2 beginnen!

Ik heb na een reset precies dit probleem weer! Op poort 2 of 3 of 4 of 5 geen IP, Windows zegt "Unidentified network*. Kan daardoor helemaal niks doen, kom niet meer in de webconfig. Op de hEX Poe brand het ledje van de verbonden poort constant en wordt elke 2 seconden onderbroken

iemand enig idee?

[ Voor 8% gewijzigd door Jazco2nd op 03-04-2018 20:20 ]

dinsdag 3 april 2018 20:34

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op dinsdag 3 april 2018 @ 20:13:
Ik heb na een reset precies dit probleem weer! Op poort 2 of 3 of 4 of 5 geen IP, Windows zegt "Unidentified network*. Kan daardoor helemaal niks doen, kom niet meer in de webconfig.

Pak Winbox er eens bij en kijk eens op het 'Neighbours' tabblad.

Via het mac-protocol moet je er gewoon bij kunnen om de handel te debuggen, tenzij je dat expliciet hebt uitgezet. Ook als je geen IP hebt.

[ Voor 4% gewijzigd door Thralas op 03-04-2018 20:35 ]

dinsdag 3 april 2018 20:42

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Thralas schreef op dinsdag 3 april 2018 @ 20:34:
[...]

Pak Winbox er eens bij en kijk eens op het 'Neighbours' tabblad.

Via het mac-protocol moet je er gewoon bij kunnen om de handel te debuggen, tenzij je dat expliciet hebt uitgezet. Ook als je geen IP hebt.

Ik was Winbox helemaal vergeten.. kom er nu in. Gelijk ff een update gedaan en reboot, nu heb ik ook gewoon een IP adres. Thanks!

woensdag 11 april 2018 21:52

Acties:

0 Henk 'm!

sebastiaanf

Ik wil graag de hardcoded DNS servers van google in de chromecast omzeilen. Hiervoor wil ik dst-nat gebruiken waarbij ik het tcp en udp verkeer naar de dns servers van google verwijs naar mijn eigen router (ik heb opendns geconfigureerd op de router). Om te controleren of dit werkt ping ik naar 8.8.8.8 en 8.8.8.4 en zou op beide een time out moeten krijgen. Ik krijg echter alleen op 8.8.8.4 een time out, maar op 8.8.8.8 niet. Wat doe ik fout? Hieronder mijn firewall config:

MANGLE
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough

NAT
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=10.0.0.1 to-ports=53
protocol=udp dst-address=8.8.8.8 dst-port=53 log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=10.0.0.1 to-ports=53
protocol=udp dst-address=8.8.8.4 dst-port=53 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=10.0.0.1 to-ports=53
protocol=tcp dst-address=8.8.8.8 dst-port=53 log=no log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=10.0.0.1 to-ports=53
protocol=tcp dst-address=8.8.8.4 dst-port=53 log=no log-prefix=""

FILTER
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; Allow access to the router from the LAN using address list
chain=input action=accept src-address-list=OurLocalLAN log=no
log-prefix=""

2 chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""

3 chain=forward action=accept connection-state=established,related log=no
log-prefix=""

4 ;;; Drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""

5 ;;; Allow connections from the LAN
chain=forward action=accept connection-state=new in-interface=bridge1
log=no log-prefix=""

6 ;;; Allow established connections
chain=forward action=accept connection-state=established log=no
log-prefix=""

7 ;;; Allow related connections
chain=forward action=accept connection-state=related log=no
log-prefix=""

8 ;;; Allow established connections to the router
chain=input action=accept connection-state=established log=no
log-prefix=""

9 ;;; Allow related connections to the router
chain=input action=accept connection-state=related log=no log-prefix=""

10 ;;; drop ftp brute forcers
chain=input action=drop protocol=tcp src-address-list=ftp_blacklist
dst-port=21 log=no log-prefix=""

11 chain=output action=accept protocol=tcp content=530 Login incorrect
dst-limit=1/1m,9,dst-address/1m log=no log-prefix=""

12 chain=output action=add-dst-to-address-list protocol=tcp
address-list=ftp_blacklist address-list-timeout=3h
content=530 Login incorrect log=no log-prefix=""

13 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist
dst-port=22 log=no log-prefix=""

14 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist
address-list-timeout=1w3d dst-port=22 log=no log-prefix=""

15 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3
address-list-timeout=1m dst-port=22 log=no log-prefix=""

16 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2
address-list-timeout=1m dst-port=22 log=no log-prefix=""

17 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m
dst-port=22 log=no log-prefix=""

18 ;;; Drop all other traffic through the router
chain=forward action=drop log=no log-prefix=""

19 ;;; Drop all other traffic to the router
chain=input action=drop log=no log-prefix=""

RAW
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

woensdag 11 april 2018 22:14

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

sebastiaanf schreef op woensdag 11 april 2018 @ 21:52:
Wat doe ik fout?

Een drietal zaken:

Dat is geen leesbare config. Gebruik in het vervolg de 'export'-functionaliteit en zet het tussen [code][/code] tags, dan is het nog leesbaar ook.
ICMP is een ander IP protcol dan TCP/UDP. De laatste twee NAT'en heeft dus geen invloed op je pings.
8.8.8.8 is een Google DNS-server, 8.8.8.4 niet, dus niet heel vreemd dat hij geen ICMP echo terugstuurt. Je bedoelt 8.8.4.4

Onderwerpen