:fill(white):strip_exif()/i/2000549950.jpeg?f=thumbmini)
:strip_exif()/i/2005749774.png?f=thumbmini)
:fill(white):strip_exif()/i/2001690973.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000609859.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752202.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752204.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000549946.jpeg?f=thumbmini)
:strip_exif()/i/2001630061.png?f=thumbmini)
:fill(white):strip_exif()/i/2000550046.jpeg?f=thumbmini)
:strip_exif()/i/2001729163.png?f=thumbmini)
:fill(white):strip_exif()/i/2001894267.jpeg?f=thumbmini)
:strip_exif()/i/2001602173.png?f=thumbmini)
:fill(white):strip_exif()/i/2000627608.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001033897.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001603121.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000897642.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281701.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281691.jpeg?f=thumbmini)
:strip_exif()/i/2004729478.png?f=thumbmini)
:fill(white):strip_exif()/i/2000549949.jpeg?f=thumbmini)
:strip_exif()/i/2000645685.png?f=thumbmini)
:fill(white):strip_exif()/i/2001344711.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000600066.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1395229077.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1396256832.jpeg?f=thumbmini)
:strip_exif()/i/1395224034.png?f=thumbmini)
:strip_icc():strip_exif()/u/28779/avatar.jpg?f=community){kind=avatar}
Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
:strip_exif()/u/16970/crop57cd1ef1eb0d0.gif?f=community)
Het is mij gelukt T-Mobile Glasvezel (het oude Vodafone Thuis) werkend te krijgen met een Mikrotik hEX POE, RouterOS 6.41.3. Helaas lukt het niet om TV werkend te krijgen.
Dit zijn oude instructies obv een oudere versie van RouterOS.
Mattie112 in "Vodafone Thuis via Glasvezel"
Dit is wat ik heb gedaan (na een reset) om internet werkend te krijgen:
Dit is wat ik niet begrijp:
Dat het TV boxje geen IP krijgt, is ergens logisch, want onder Addresses heb ik nu "bridge" staan, dus "bridge-tv" valt daar buiten. Maar wat moet ik dan instellen om wél een IP te krijgen voor allebei de bridges? Bij T-Mobiles eigen apparatuur krijgt het TV kastje gewoon een IP adres binnen de range van mijn gewone LAN.
Ik zit vast, in het T-Mobile forum kan helaas niemand helpen.
Dit zijn oude instructies obv een oudere versie van RouterOS.
Mattie112 in "Vodafone Thuis via Glasvezel"
Dit is wat ik heb gedaan (na een reset) om internet werkend te krijgen:
- Interface SFP1 auto negotation uitgezet, handmatig op 1gbit gezet.
- Nieuwe vlan aangemaakt: vlan-internet met interface sfp1.
- IP/DHCP client ingesteld op vlan-internet.
- De default bridge, die heet "bridge", gewijzigd om voortaan vlan-internet te gebruiken.
- Vervolgens via console: /ip firewall nat
- add action=masquerade chain=srcnat out-interface=vlan-internet
- [i] TV box zal worden aangesloten op ether1.
- Onder IP/Addresses staat by default(!) de interface op ether1. Ik heb alle opties probeerd (sfp1, vlan-internet en bridge), alleen bridge werkt want in alle andere gevallen moest ik resetten, mijn laptop (op ether3 aangesloten) raakte namelijk direct de verbinding kwijt, ook via Winbox..
- Vervolgens voeg ik bij Interfaces/VLAN een nieuwe toe: "vlan-tv".
- Vervolgens voeg ik bij Bridge een 2e bridge toe: "bridge-tv".
- Vervolgens in het Bridge/Ports scherm voeg ik een nieuwe poort toe toe: daarbij kies ik vlan-tv als interface, "bridge-tv" als bridge.
- Vervolgens wijzig ik port ether1, bridge wordt nu bridge-tv
Dit is wat ik niet begrijp:
Dat het TV boxje geen IP krijgt, is ergens logisch, want onder Addresses heb ik nu "bridge" staan, dus "bridge-tv" valt daar buiten. Maar wat moet ik dan instellen om wél een IP te krijgen voor allebei de bridges? Bij T-Mobiles eigen apparatuur krijgt het TV kastje gewoon een IP adres binnen de range van mijn gewone LAN.
Ik zit vast, in het T-Mobile forum kan helaas niemand helpen.
:strip_icc():strip_exif()/u/38791/crop5e5e67ffc8b64_cropped.jpeg?f=community)
/u/166828/gnome-foot.png?f=community)
:strip_icc():strip_exif()/u/38800/i_m_weasel-char.jpg?f=community)
:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
:strip_icc():strip_exif()/u/121816/crop5792147f015bf_cropped.jpeg?f=community)
@lier & @DutchITMaster, bedankt voor de hulp, ik ben er gisteren en vandaag nog eens mee bezig geweest en heb het een en ander bereikt. Probleem in de GRE tunnel zat hem in het source adres. Die moest ik uitzetten, ondanks alle handleidingen.
Vanuit beide routers kan ik alles pingen aan de andere kant (bijvoorbeeld NAS), echter ik kan nog niets zien vanuit mijn laptop. Er gaat dus volgens mij iets mis qua routering / firewall.
Korte beschrijving van mijn netwerk: ik gebruik 192.168.10.0/24, extern is dat 192.168.11.0/24
GRE tunnel zit op 172.16.1.1 (intern) & 172.16.1.2 (extern), beide een /30
Mikrotiks zitten op 192.168.10.11 (intern) & 192.168.11.11 (extern)
Ik gebruik beide Mikrotik routers achter een andere router. Ik ben nieuw in de Mikrotik wereld en mijn huidige router voldoet prima dus wil die niet weg doen (ook i.v.m. IPtv die nu werkt en beveiliging).
Op die router heb ik de Mikrotik als gateway aangewezen voor 192.168.10.0/24 maar voor de zekerheid ook 172.16.1.0/24 (volgens mij niet nodig).
Zou iemand hier naar onderstaande exports kunnen kijken (router op 192.168.10.0/24 netwerk)?
Zitten hier en daar wat extra regels in wegens vpn opzetje en aparte DNS voor een telefoon (na geklaag over pihole
).
Tenslotte nog een tracert vanuit mijn laptop:
Zit het 'em in de firewall/NAT?
Vanuit beide routers kan ik alles pingen aan de andere kant (bijvoorbeeld NAS), echter ik kan nog niets zien vanuit mijn laptop. Er gaat dus volgens mij iets mis qua routering / firewall.
Korte beschrijving van mijn netwerk: ik gebruik 192.168.10.0/24, extern is dat 192.168.11.0/24
GRE tunnel zit op 172.16.1.1 (intern) & 172.16.1.2 (extern), beide een /30
Mikrotiks zitten op 192.168.10.11 (intern) & 192.168.11.11 (extern)
Ik gebruik beide Mikrotik routers achter een andere router. Ik ben nieuw in de Mikrotik wereld en mijn huidige router voldoet prima dus wil die niet weg doen (ook i.v.m. IPtv die nu werkt en beveiliging).
Op die router heb ik de Mikrotik als gateway aangewezen voor 192.168.10.0/24 maar voor de zekerheid ook 172.16.1.0/24 (volgens mij niet nodig).
Zou iemand hier naar onderstaande exports kunnen kijken (router op 192.168.10.0/24 netwerk)?
Zitten hier en daar wat extra regels in wegens vpn opzetje en aparte DNS voor een telefoon (na geklaag over pihole
).code:
1
2
3
4
| /ip route add distance=1 gateway=192.168.10.1 add distance=1 dst-address=192.168.10.0/24 gateway=192.168.10.1 add distance=1 dst-address=192.168.11.0/24 gateway=172.16.1.2 |
code:
1
2
3
4
5
6
7
8
9
10
| /ip firewall filter
add action=accept chain=input comment="allow L2TP VPN (ipsec-esp)" in-interface=bridgeLocal \
protocol=ipsec-esp
add action=accept chain=input comment="allow L2TP VPN (500,1701,4500/udp)" dst-port=500,1701,4500 \
in-interface=bridgeLocal protocol=udp src-port=500,1701,4500
add action=accept chain=input connection-state=established,related dst-address=192.168.11.0/24 \
src-address=192.168.10.0/24
add action=accept chain=input connection-state=established,related dst-address=192.168.10.0/24 \
src-address=192.168.11.0/24
add action=accept chain=output dst-address=192.168.11.0/24 |
code:
1
2
3
4
5
6
7
8
9
10
11
| add action=accept chain=srcnat dst-address=192.168.11.0/24 src-address=192.168.10.0/24
add action=accept chain=srcnat dst-address=192.168.10.0/24 src-address=192.168.11.0/24
add action=accept chain=dstnat comment="Iphone Google DNS UDP" dst-address=8.8.8.8 dst-port=53 \
protocol=udp src-address=192.168.10.105 src-port=53
add action=accept chain=dstnat comment="iPhone Google DNS TCP" dst-address=8.8.8.8 dst-port=53 \
protocol=tcp src-address=192.168.10.105 src-port=53
add action=masquerade chain=srcnat dst-address=!192.168.10.200-192.168.10.219 src-address=\
192.168.10.200-192.168.10.219
add action=masquerade chain=srcnat dst-address=!192.168.10.250 src-address=192.168.10.250
add action=masquerade chain=srcnat dst-address=!172.16.1.0-172.16.1.2 src-address=\
172.16.1.0-172.16.1.2 |
Tenslotte nog een tracert vanuit mijn laptop:
code:
1
2
3
4
5
6
| Tracing route to 192.168.11.11 over a maximum of 30 hops 1 1 ms * 1 ms synology.router [192.168.10.1] 2 1 ms <1 ms <1 ms mikrotik.switch [192.168.10.11] 3 * * * Request timed out. 4 * * * Request timed out. |
Zit het 'em in de firewall/NAT?
:strip_icc():strip_exif()/u/291935/crop58e292b81413e.jpeg?f=community)
Ik wil een router aanschaffen die onder andere in staat is om zelfstandig ad-blocking voor zijn rekening te nemen. Van o.a. de pricewatch: Ubiquiti EdgeRouter X en de pricewatch: MikroTik Routerboard RB750Gr3 - hEX zijn beschrijvingen te vinden hoe je dat kunt doen.
https://community.ubnt.co...239/highlight/true#M17854
https://medium.com/@olegs...otik-adblock-6c5de15c9d06
Nou kan het misschien ook wel handig zijn om een versie met WiFi te nemen zoals de pricewatch: MikroTik Routerboard RB951G-2HnD of evt. de pricewatch: MikroTik RB962UiGS-5HacT2HnT hAP ac . Alhoewel de kans groot is dat die dat ook ondersteunen vind ik daar niet zo gauw een expliciete vermelding van. Kan men hier bevestigen dat in principe alle huidige Mikrotik Routerboards deze ad-blocking ondersteunen?
Nou zijn zowel deze Ubiquiti als Mikrotik routers wat meer 'feature-rich' dan de gemiddelde consumentenrouter naar ik begrijp en zou Mikrotik (nog) wat minder gebruiksvriendelijk zijn dan de Edgerouter X qua UI omdat de basis- en de meer geavanceerde instellingen wat minder gescheiden zouden zijn maar gezellig door elkaar staan. Ik zal er allemaal wel uitkomen maar ik zou die verschillende management UI's het liefst eens in een gesimuleerde omgeving willen bekijken maar het lijkt erop dat noch Ubiquiti noch Mikrotik zo'n testomgeving aanbieden. Klopt dat? Ik heb dat vroegen van een eerder apparaat dat ik had wel gezien en zo moeilijk lijkt het me ook niet om dat aan te bieden maar men lijkt de moeite niet te willen nemen.
Zijn er nog relevante verschillen in mogelijkheden tussen de Edgerouter X en de Routerboard(s) te melden door mensen die meerdere apparaten kennen?
Wat ik ook zag is dat OpenWrt ook beschikbaar is voor deze routers. Is dat nou omdat dat nóg meer features biedt dan ze zelf al hebben of is het vooral om een meer vertrouwde UI te bieden voor mensen die OpenWrt ook al op andere apparaten gebruikt hebben? Of omdat de UI wat handiger is? Of 'omdat het kan'?
https://community.ubnt.co...239/highlight/true#M17854
https://medium.com/@olegs...otik-adblock-6c5de15c9d06
Nou kan het misschien ook wel handig zijn om een versie met WiFi te nemen zoals de pricewatch: MikroTik Routerboard RB951G-2HnD of evt. de pricewatch: MikroTik RB962UiGS-5HacT2HnT hAP ac . Alhoewel de kans groot is dat die dat ook ondersteunen vind ik daar niet zo gauw een expliciete vermelding van. Kan men hier bevestigen dat in principe alle huidige Mikrotik Routerboards deze ad-blocking ondersteunen?
Nou zijn zowel deze Ubiquiti als Mikrotik routers wat meer 'feature-rich' dan de gemiddelde consumentenrouter naar ik begrijp en zou Mikrotik (nog) wat minder gebruiksvriendelijk zijn dan de Edgerouter X qua UI omdat de basis- en de meer geavanceerde instellingen wat minder gescheiden zouden zijn maar gezellig door elkaar staan. Ik zal er allemaal wel uitkomen maar ik zou die verschillende management UI's het liefst eens in een gesimuleerde omgeving willen bekijken maar het lijkt erop dat noch Ubiquiti noch Mikrotik zo'n testomgeving aanbieden. Klopt dat? Ik heb dat vroegen van een eerder apparaat dat ik had wel gezien en zo moeilijk lijkt het me ook niet om dat aan te bieden maar men lijkt de moeite niet te willen nemen.
Zijn er nog relevante verschillen in mogelijkheden tussen de Edgerouter X en de Routerboard(s) te melden door mensen die meerdere apparaten kennen?
Wat ik ook zag is dat OpenWrt ook beschikbaar is voor deze routers. Is dat nou omdat dat nóg meer features biedt dan ze zelf al hebben of is het vooral om een meer vertrouwde UI te bieden voor mensen die OpenWrt ook al op andere apparaten gebruikt hebben? Of omdat de UI wat handiger is? Of 'omdat het kan'?
/u/189310/crop571f5b38cbd6b_cropped.png?f=community)
Zolang je de limitaties snapt.
DNS static entries en scripts uitvoeren zitten beiden al een hele tijd in RouterOS.
Ik ga ervan uit dat er geen model is waarbij het niet kan.
Met SwOS heb ik geen ervaring maar afaik ontbreekt daar iig de DNS server functionaliteit op.
De functionaliteit van de USB port is hardwarespecifiek en kan per model verschillen.
Als storage op je netwerk gebruiken is in ieder geval tergend langzaam.
Ik gebruik ze (op locatie) eigenlijk alleen voor logfile copies en/of configuratiescripts. En een enkele keer heb ik in nood een 4G modem aan gehangen.
Wat betreft wifi: in dit topic wordt iig home/office niet zo goed beoordeeld.
Ik ken wel projecten waarbij Mikrotik's profi buiten/straal oplossingen succesvol op grote schaal zijn uitgerold.
DNS static entries en scripts uitvoeren zitten beiden al een hele tijd in RouterOS.
Ik ga ervan uit dat er geen model is waarbij het niet kan.
Met SwOS heb ik geen ervaring maar afaik ontbreekt daar iig de DNS server functionaliteit op.
De functionaliteit van de USB port is hardwarespecifiek en kan per model verschillen.
Als storage op je netwerk gebruiken is in ieder geval tergend langzaam.
Ik gebruik ze (op locatie) eigenlijk alleen voor logfile copies en/of configuratiescripts. En een enkele keer heb ik in nood een 4G modem aan gehangen.
Wat betreft wifi: in dit topic wordt iig home/office niet zo goed beoordeeld.
Ik ken wel projecten waarbij Mikrotik's profi buiten/straal oplossingen succesvol op grote schaal zijn uitgerold.
- knip -
Het is me toch niet helemaal duidelijk hoe je het nu exact probeert in te richten; gezien verder niemand reageert ben ik daar blijkbaar niet de enige in.
Ja, dat was een van de punten die ik al aanstipte.
Toen ik dat eerder even naliep ontdekte ik dat de Torch niet altijd verkeer op uitgaande interfaces lijkt te laten zien.
In dat geval zou ik de Traffic Capture icm. Wireshark gebruiken, of een PASSTHROUGH firewall-regel met logging enabled.
Met beide zou in ieder geval duidelijker moeten worden wat het probleem nu exact is.
Zie je bijvoorbeeld wél het inkomende ICMP-pakketje, maar blijkt uit de Traffic Capture/log rule dat hij de tunnel interface nooit verlaat? Mooi, dan is die router aan de andere kant vooralsnog niet heel relevant.
Dat doet vermoeden dat de routering klopt (tenzij je hele exotische routing rules hebt). Zou ik het eerder zoeken in een verschil tussen hoe je router de OUTPUT resp. de FORWARD chain behandelt.
Lijkt me van wel.
Ja, ja. En 172.16.1.x komt als het goed is alleen in je routes voor, niet in de firewall.
Dat stipte ik al eerder aan. Los van 't vreemde gedrag, heb je ze helemaal niet nodig.
In een typische thuissituatie zul je je uplink naar het internet moeten NAT'en, maar voor zo'n tunnel is dat helemaal niet nodig. Disable eens alle MASQUERADE rules, behalve eentje die specifiek de uitgaande internet-uplink matcht.
Al die (onnodige) MASQUERADE rules maken het probleem alleen maar complexer. Firewalling zou je zelfs makkelijk kunnen uitsluiten door een FORWARD ACCEPT rule voor zowel 'in interface tunnel' als 'out interface tunnel' aan te maken.
Oud model. Niet kopen.
Met de hEX v3 is niets mis (nouja, geen hardware VLANs), maar persoonlijk zou ik ook die niet meer kopen, voor iets meer dan een tientje extra heb je namelijk ook dualband WiFi:
pricewatch: MikroTik hAP ac2
Als je écht de SFP of 3x3 5 GHz kunt benutten dan is de hAP AC misschien nog interessant, maar in de meeste gevallen lijkt me de hAP AC^2 de beste keus. Is - als het goed is - ook sneller dan zowel de hAP AC als hEX v3.
Het MikroTik-platform is ontzettend uniform. Tenzij er exotische addon-packages bij komen kijken (ie. user manager) is de featureset gelijk - los van de terechte kritiek op DNS blocks hierboven.
De UI van MikroTik vind ik persoonlijk 'handiger', de rest is waarschijnlijk allemaal waar.Wat ik ook zag is dat OpenWrt ook beschikbaar is voor deze routers. Is dat nou omdat dat nóg meer features biedt dan ze zelf al hebben of is het vooral om een meer vertrouwde UI te bieden voor mensen die OpenWrt ook al op andere apparaten gebruikt hebben? Of omdat de UI wat handiger is? Of 'omdat het kan'?
Kun je ontzettend fijnmazig instellen - per data rate een andere strength in dBm. Maar als je buiten de lijntjes wilt kleuren, de country setting wordt uiteraard gerespecteerd.
Ik zie dat in dit topic eigenlijk helemaal niet terug. Performance is wmb. uitstekend voor thuisgebruik. Enige waarvan ik vermoedde dat er iets niet helemaal klopte was de radardetectie op 5 GHz.
Wat sowieso wel geldt voor Ubiquiti is dat je daar een geliktere interface krijgt (en misschien qua roaming beter werkt, al heb ik daar ook geen problemen mee op MikroTik. met 0,0 tuning).
[ Voor 8% gewijzigd door Thralas op 18-05-2018 16:49 ]
*Zelf geen ervaring mee. (disclaimer vergeten)
Voor zover ik mij herinner werd er hier een aantal keer niet superpositief over transfer speeds gesproken. Voor mij staat dat dan gelijk aan 'niet zo goed'.
Wellicht vergis ik mij en heb ik dat ergens anders gelezen, dat kan ook nog.
Voor zover ik mij herinner werd er hier een aantal keer niet superpositief over transfer speeds gesproken. Voor mij staat dat dan gelijk aan 'niet zo goed'.
Wellicht vergis ik mij en heb ik dat ergens anders gelezen, dat kan ook nog.
- knip -
@Thralas bedankt voor je reactie, blijkbaar ben ik niet duidelijk genoeg geweest. Dan probeer ik het nog een keer .
Wat ik wil is volgens mij vrij simpel: ik wil vanaf mijn netwerk de NAS op de tweede locatie kunnen benaderen.
Ik ben vandaag eens bezig geweest om het relevante deel van het netwerk in kaart te brengen (klikbaar).
Dus in het kort wil ik vanaf mijn .10 netwerk op het netwerk van de .11 en vice versa.
Extra informatie:
- Pi-hole is de DNS server.
- De Mikrotik is mijn DHCP server wegens DNS server per gebruiker wens.
- Ubiquiti draadloos netwerk met controller op 10.21 (AP op 10.2.en 10.3) maar lijkt me niet echt relevant. Potentieel (lijkt me niet) relevant zou kunnen zijn dat ik geen directe verbinding met de Mikrotik Switch heb.
- Mikrotik wil ik ook als IPSEC vpn server gebruiken wegens de goede snelheid die dit apparaat kan halen, vandaar een van de MASQUERADE regels. Dat heeft op dit moment lagere prioriteit dus die kunnen allemaal wel uit.
Ik heb geen laptop verbinding met de andere locatie, alleen via de iPad, vandaar dat de exports van de andere kant lastig zijn. Maar het zou 'symmetrisch' moeten zijn, toch?
Ik wil dus een tunnel tussen de Mikrotiks hebben.
De Synology Router heeft een verwijzing dat elk 192.168.11.x verzoek via de Mikrotik moet gaan.
Vervolgens heb ik een ip route in de Mikrotik gezet die het over de tunnel moet gooien.
De Windows tracert vanaf mijn laptop (10.100) uit mijn vorige post laat zien dat het verzoek inderdaad via de Mikrotik gaat en daar stopt het.
De tunnel werkt aangezien ik vanaf mijn Mikrotik de 192.168.11.11 Mikrotik kan pingen.
Wat betreft de Wireshark optie: ik heb het aangezet en gelogd, maar volgens mij gaat dat toch niet werken? Of wil je dat ik de de GRE tunnel spiegel naar een ethernet poort die ik uitlees op mijn laptop? Ik kon er in ieder geval niets mee.
Ik ben van begin af aan begonnen (alle andere regels uitgeschakeld of verwijderd.
Ik ben een beetje kwijt of ik nu forward of pass through moet gebruiken en hoe specifiek; uit de handleiding van Mikrotik begrijp ik dat ik forward regels moet gebruiken.
Resultaat van dit: ik kan vanaf de ene Mikrotik alleen de andere Mikrotik kan pingen (beide richtingen).
Zit er een cruciale fout in mijn redenering of zit het hem ergens in de details?
.Wat ik wil is volgens mij vrij simpel: ik wil vanaf mijn netwerk de NAS op de tweede locatie kunnen benaderen.
Ik ben vandaag eens bezig geweest om het relevante deel van het netwerk in kaart te brengen (klikbaar).
Dus in het kort wil ik vanaf mijn .10 netwerk op het netwerk van de .11 en vice versa.
Extra informatie:
- Pi-hole is de DNS server.
- De Mikrotik is mijn DHCP server wegens DNS server per gebruiker wens.
- Ubiquiti draadloos netwerk met controller op 10.21 (AP op 10.2.en 10.3) maar lijkt me niet echt relevant. Potentieel (lijkt me niet) relevant zou kunnen zijn dat ik geen directe verbinding met de Mikrotik Switch heb.
- Mikrotik wil ik ook als IPSEC vpn server gebruiken wegens de goede snelheid die dit apparaat kan halen, vandaar een van de MASQUERADE regels. Dat heeft op dit moment lagere prioriteit dus die kunnen allemaal wel uit.
Ik heb geen laptop verbinding met de andere locatie, alleen via de iPad, vandaar dat de exports van de andere kant lastig zijn. Maar het zou 'symmetrisch' moeten zijn, toch?
Ik wil dus een tunnel tussen de Mikrotiks hebben.
De Synology Router heeft een verwijzing dat elk 192.168.11.x verzoek via de Mikrotik moet gaan.
Vervolgens heb ik een ip route in de Mikrotik gezet die het over de tunnel moet gooien.
De Windows tracert vanaf mijn laptop (10.100) uit mijn vorige post laat zien dat het verzoek inderdaad via de Mikrotik gaat en daar stopt het.
De tunnel werkt aangezien ik vanaf mijn Mikrotik de 192.168.11.11 Mikrotik kan pingen.
Wat betreft de Wireshark optie: ik heb het aangezet en gelogd, maar volgens mij gaat dat toch niet werken? Of wil je dat ik de de GRE tunnel spiegel naar een ethernet poort die ik uitlees op mijn laptop? Ik kon er in ieder geval niets mee.
Ik ben van begin af aan begonnen (alle andere regels uitgeschakeld of verwijderd.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| /ip route
add distance=1 gateway=192.168.10.1
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.10.1
add distance=1 dst-address=192.168.11.0/24 gateway=172.16.1.2
/ip firewall filter
add action=accept chain=forward dst-address=192.168.11.0/24 in-interface=bridgeLocal out-interface=\
gre-tunnel1
add action=accept chain=forward dst-address=192.168.10.0/24 in-interface=gre-tunnel1 out-interface=\
bridgeLocal
/ip firewall nat
add action=accept chain=dstnat comment="iPhone Google DNS UDP" dst-address=8.8.8.8 dst-port=53 \
protocol=udp src-address=192.168.10.105 src-port=53
add action=accept chain=dstnat comment="iPhone Google DNS TCP" dst-address=8.8.8.8 dst-port=53 \
protocol=tcp src-address=192.168.10.105 src-port=53 |
Ik ben een beetje kwijt of ik nu forward of pass through moet gebruiken en hoe specifiek; uit de handleiding van Mikrotik begrijp ik dat ik forward regels moet gebruiken.
Resultaat van dit: ik kan vanaf de ene Mikrotik alleen de andere Mikrotik kan pingen (beide richtingen).
Zit er een cruciale fout in mijn redenering of zit het hem ergens in de details?
:strip_exif()/u/216514/sgisurf.gif?f=community)
Handig!
Ik snap nog steeds niet waarom je daar een masquerade rule bij nodig denkt te hebben.
Dat is één van de mogelijkheden, maar de 'traffic capture' onder het system-menu is nog veel makkelijker. Daarmee kun je een capture van een poort naar een IP-adres sturen. Met enkel Wireshark ben je er inderdaad niet
Ziet er niet verkeerd uit, maar de tweede rule vind ik wat discutabel. Het idee is immers dat apparaten in hetzelfde subnet elkaar direct kunnen adresseren; hiermee omzeil je dat (volgens mij zou het in theorie wel moeten werken).
Dat zijn nogal verschillende zaken. FORWARD is een chain, PASSTHROUGH is een actie die 'niets' doet, handig als je alleen wat pakketjes wilt loggen.
Vast ergens in de details.
Op basis van deze post zie ik ook niet zo 1-2-3 waar het misgaat. Die forwarding rules zouden de firewall buitenspel moeten zetten, en de routering vanaf de MikroTik klopt getuige het feit dat je vanaf de router wél kunt pingen.
Enige waar ik een beetje kriebels van krijg is dat routeren binnen hetzelfde subnet. Gooi die tweede route er eens uit, en voeg op je client eens een route voor 192.168.11.0/24 toe.
Anders is 't echt een kwestie van debuggen met de Traffic Capture. Zet 'm op de tunnel-interface en check of een ICMP echo vanaf je laptop (1) de tunnel verlaat (2) een reply oplevert. Dan zijn we al wat dichterbij het probleem.
Voor de tunnel zelf heb je wel wat rules nodig ja, maar dat lijkt te werken getuige het feit dat hij vanaf z'n router kan pingen.
Ja, alles van/naar de MikroTik is INPUT/OUTPUT. Ook het GRE-verkeer. Maar alles wat gerouteerd wordt (ie. het probleem hier, verkeer binnen de tunnel van 'andere' devices) is FORWARD.
Ja hehe, als hij geen router maar een switch is kan hij ook geen verkeer door de tunnel routeren zou ik zeggen... 
[ Voor 16% gewijzigd door Hmmbob op 23-05-2018 22:56 ]
Sometimes you need to plan for coincidence
Daar heb ik toch die ip routes voor gemaakt? Om dat te regelen? Of doen die dan helemaal niets? Waarom geeft het "IP/routes" scherm dan aan dat er een werkende tunnel beschikbaar is? Kan ik ergens nakijken (vinkje oid) of de routering het doet?
Betekent dat ik dan wél een masquerade regel moet maken? Ik had tot voor kort namelijk een werkende VPN server ingesteld (= ook een tunnel) en dat ging helemaal prima met een masquerade regel, dus ik weet niet waarom een GRE tunnel niet zou kunnen werken tussen twee van dit soort apparaten als niet-router zijne.
Maar ik ben eigenlijk al lang blij dat hier iets fundamenteels mis gaat, dit geeft me weer hoop.
Betekent dat ik dan wél een masquerade regel moet maken? Ik had tot voor kort namelijk een werkende VPN server ingesteld (= ook een tunnel) en dat ging helemaal prima met een masquerade regel, dus ik weet niet waarom een GRE tunnel niet zou kunnen werken tussen twee van dit soort apparaten als niet-router zijne.
Maar ik ben eigenlijk al lang blij dat hier iets fundamenteels mis gaat, dit geeft me weer hoop
.
/u/26285/avatar.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/457808/crop5686a95ab9c87_cropped.jpeg?f=community)
Het gaat er met name ook om dat de Mikrotik niet in router-mode staat maar in bridge-mode. Weet niet of ie per se in router mode moet staan om die DNS filtering ad-blocking in de router zelf te kunnen laten werken.
Daar kan ik geen DNS server opgeven. Alleen het adres waarop de Fritz (7360) zelf bereikbaar is. Misschien andere modellen wel? Ik heb dit:
Héél wonderlijk krijg ik hier na een copy/paste tekst te zien die ik op de pagina waarvandaan ik het copy niet zie. "The assigned IP addresses will be released after the period of validity has lapsed." Is de laatste regel die ik in dat segment zie vóór "Guest Network". Daar is geen LAN, LAN 2 en WLAN deel tussen. Die tekst is verborgen daar.
Ja, dat verschil over L2 en L3 was ik ook wel tegengekomen maar dat vertelt me niet direct hoe dat zich vertaalt naar eventuele verschillen in werking/functionaliteit van het apparaat. Wat het ding bijv. wel of niet kan als het apparaat in de ene of de andere modus staat.
Ik doelde inderdaad op die optie in de quick settings. Als Mikrotik het zo noemt wie ben ik om dat dan anders te benoemen.
Ik had ook gezien dat je het ondanks die Quick Set ook per poort kan instellen. Hoe dat nuttig kan zijn ben ik nog niet achter.En in router-mode kent de MT zich ook niet direct een IP adres toe als je voor 'static' kiest maar dan staat dat op 0.0.0.0. Mag je zelf iets uitkiezen. Het noemt dat stukje van de instellingen in de Quick Set dan wat vaag 'Internet' maar het is schijnbaar niet hetzelfde als het IP adres dat ik aan de WAN kant van mijn ISP heb gekregen. Dat ga ik pas gebruiken als ik voor PPPoE kies neem ik aan en de Fritz in bridge-mode zou zetten. Als ik voor 'Automatic' kies krijgt de MT er blijkbaar een van de DHCP in de Fritz maar het is me nog niet duidelijk wat het verschil is tussen dat IP adres en die waarmee het vanaf het LAN te benaderen is ('Local Network' in de Quick Set) en die standaard op 192.168.88.1 staat en die ik heb aangepast aan mijn subnet. Is dat 'Internet' IP adres soms een speciaal IP adres voor fysieke poort 1, die als je PPPoE gebruikt voor de WAN kant is? Ik heb daar nog geen duidelijke uitleg over gevonden. Als ik dat IP adres dan in mijn browser intik gebeurt er niets. In router-mode heb ik dan ook geen verbinding met het internet. Dat werkt momenteel alleen in bridge-mode, zo achter de Fritz.
Ik ben voor een RB750Gr3 gegaan omdat de hAP ac2 maar 128MB RAM heeft (de vroege exemplaren met 256MB was niet echt meer aan te komen) en de WiFi meer 'nice to have' was. Er is dus geen WiFi interface in het apparaat zelf en voor WiFi gebruik ik de Fritz. Ik vraag me wel af of ik die toch ook via de MT zou kunnen gebruiken als ik de Fritz in bridge-mode zou zetten.
Die variant was slechts als voorbeeld. Ik heb ook mijn reserves t.a.v. dergelijke automatisch lopende zaken. Er is ook een variant waarbij je eenmalig handmatig zo'n lijst importeert. Ik vraag me af of je niet in het script een check zou kunnen opnemen die de inhoud van het te importeren bestand controleert op het daadwerkelijk zijn van een onschuldige lijst. Daarnaast vraag ik me af of evt. malware wel uitgevoerd zou worden als het behandeld wordt als een database.
Als ik mijn 7360 laat checken op updates zegt hij dat ik met v3.60 up to date ben. Misschien omdat het een XS4All versie is? Ik kan eens bij AVM kijken en evt. handmatig updaten.
Edit: Blijkt dat voor oudere versie (V1) van de 7360 dat inderdaad de laatste firmware is. Een V2 kan wel latere versies hebben. Krijg nu nieuw modem van XS.
De 7581. Nog betere manier om het op te lossen. /editDat door zo'n apparaat zelf laten checken op updates, en bij de MT zelfs ook zelf laten updaten m.b.v. die updates, vind ik eigenlijk ook iets waar ik niet helemaal happy mee ben. Je geeft de maker van de hardware daarmee toch een zekere toegang tot je device en in elk geval deel je je IP adres met ze. Je moet dan maar hopen dat daar nooit misbruik van gemaakt zal worden.
[ Voor 6% gewijzigd door CaptJackSparrow op 22-06-2018 14:15 ]
Dat verschil tussen L2 en L3 is het verschil. Staat compleet los van hoe je het apparaat verder configureert. Duidelijker kan ik het niet maken.
Als je 'n Routerboard wil die twee poorten bridged en tegelijkertijd DNS server speelt met een IP op die bridge, dan kan dat.
Als je 'n Routerboard wil die tussen twee poorten routeert, en tegelijkertijd DNS server speelt (op een of meerdere interfaces) dan kan dat.
Ik snap nu wat je bedoelt. Die optie bevindt zich onder de Quick Set-keuze 'CPE'. De andere (bv. 'HomeAP', stuk beter geschikt voor jouw use case) heb je niet omdat jouw RB geen wireless heeft.Ik doelde inderdaad op die optie in de quick settings. Als Mikrotik het zo noemt wie ben ik om dat dan anders te benoemen.
Dat is niet vaag, dat is omdat de 'CPE' mode bedoeld is voor een router die WAN en LAN kent. Veel complexer dan wat jij probeert te doen.
PPPoE of niet, dat lijkt me inderdaad voor de WAN kant. Jij hebt geen WAN. Je zit naar een Quickset optie te kijken die erg onhandig is voor je situatie.
Vergeet Quickset. Reset de router. Plug een kabel in een LAN-poort en gebruik Winbox (tabblad Neighbors) om de DHCP server uit te zetten en wijzig de IP-configuratie zodanig dat het binnen je LAN subnet valt en je Fritzbox de gateway is.
Fix dan de DNS settings (upstream servers), verwijder de DHCP client op de WAN-poort en maak de WAN-poort onderdeel van de LAN bridge.
Klaar.
Er is geen (als zodanig benoemde) CPE mode. Alleen Bridge, Router en PPPoE.
Het WAN ligt functioneel óf achter de Fritzbox, als de MT in bridge- of router-mode staat óf direct achter de MT als die in PPPoE mode staat, zij het dat dan de Fritz nog nodig is als gateway om de fysieke verbinding te maken tussen de DSL en ethernet netwerken. In Router mode is dat IP-adres ook in het LAN subnet en dus niet WAN. Pas in PPPoE mode wordt dat IP-adres een WAN adres dat ik van mijn ISP krijg neem ik aan.
Maar ik denk dat ik ondertussen snap hoe ze dat "Internet" bedoelen in Router mode. Wat ik al vermoedde. Boven poort 1 op de behuizing staat nl. geen 1 maar "Internet" zag ik. Van een 'prosumer' fabrikant verwacht ik eerder dat men de 'zachtere' terminologie minder gebruikt en consequenter de exactere terminologie gebruikt wat in dit geval bijv. "ether1" zou kunnen zijn voor poort 1, zoals men dat in RouterOS gebruikt. "Internet" vind ik zo'n algemene term dat ik die wat inaccuraat vind om die fysieke 'Poort 1' aan te duiden, ook al gebruik je die poort natuurlijk functioneel om verkeer van en naar het internet over te sturen. Noem het desnoods "Internet/port1" of "Internet/ether1" in de RouterOS interface. Vind ik persoonlijk veel explicieter en dus duidelijker.
Een router hoeft functioneel maar één ingang en één uitgang te hebben (daarachter zit de switch die hier natuurlijk al met enkele poorten geïntegreerd zit). Die zouden beide in principe hetzelfde IP adres kunnen hebben neem ik aan maar ik kan me voorstellen dat het ook voordelen kan hebben om die verschillend te maken. Ik vraag me dus ook af of je dat tweede (poort 1) IP-adres hetzelfde kunt maken in de MT als het LAN adres. Ik zie niet echt in waarom dat niet zou kunnen. Maar in router mode krijg ik met welk IP adres (in mijn subnet) op poort 1 dan ook geen verbinding meer met de Fritzbox of het internet terwijl verder alles in die Quick Config hetzelfde staat (DHCP uit, Gateway en DNS servers ingesteld). Ik ben er nog niet achter waarom dat is. Moet ik dan eerst expliciet die routering naar die poort in de MT configureren? Dat is voorlopig mijn 'werktheorie'.
Allemaal uitzoekwerk nog.Ja, natuurlijk. Had ik even niet bij stilgestaan. Het zou dan ook handig zijn om dat ook in de QSG te vermelden. Daar gaat men er van uit dat de computer een IP van de DHCP in de MT krijgt wat ik bij een fabrikant van prosumer spul niet verwacht. Bij hun klanten is de kans best groot dat mensen een andere manier gebruiken en bijv., net als ik, vaste IP adressen hebben toegekend. Als ze expliciet melden dat het in die gevallen wellicht makkelijker is om via Winbox contact te maken en zo de MT naar het eigen subnet te configureren dan had ik dat wellicht gedaan i.p.v. het ding op een andere machine aansluiten die wél (nog) op automatisch staat. Dan héb je wat aan zo'n QSG. Nu had ik er eigenlijk zeer weinig aan. Alleen het default IP adres was relevante informatie.
Inline? Vergeleken met? Daar ben ik ook nog niet helemaal uit. Het is nu:
ISP---WAN---[Fritz]---LAN---[MT]===PC's en ik weet nog niet goed of het voor die DNS ad-blocking evt. ook zo kan. Bedoel je dit als alternatief op in-line?:
ISP---WAN---[Fritz] ≡≡LAN≡≡PC's+[MT] (niets aan MT poort 1).
DNS requests dan dus niet dóór de MT heen maar van PC naar MT op 'doodlopend zijpad', Geblokkeerde requests naar het zwarte gat en doorgelaten DNS requests van MT terug naar Fritz en door naar WAN, resulterende binnenkomende data terug direct van Fritz naar PC (toch niet weer via MT?).
Over gebruik van bijv. een Raspberry Pi met Pi hole lees ik altijd dat die wel twee netwerkaansluitingen moet hebben dan wel VLANs gebruiken. Dat suggereert dat het (zonder VLAN's) aan zo'n enkele draad niet zou kunnen werken. Maar ik heb er nog geen ervaring mee en ben ook nog niet zo'n beschrijving/uitleg als hierboven tegengekomen. 'Uitleg'/instructies zijn gewoonlijk in de vorm van "Doe dit en dan werkt het" waarbij je niets hoeft te begrijpen zolang je het maar als een gedresseerde aap nadoet. Échte uitleg geeft men gewoonlijk niet. Niet mijn favoriete manier van werken.
Bedankt. Hoef ik het niet op te zoeken.
Was ik nog niet aan toegekomen. Ik weet nog niet of ik daar iets aan heb. Ik denk dat ik eerst even aan mijn ISP wil vragen of zij daar aan hun kant evt. ook ondersteuning voor bieden. Ik doe liever geen aannames. Dan zie ik wel verder.Nu ook eerst weer even een ander klusje voordat ik hier verder mee kan.
Zoals? Worden andere instellingen daardoor soms verwijderd en naar defaults gezet? En daar wordt dan niet voor gewaarschuwd als dat het geval mocht zijn?
Ik ben niet bekend met wat er allemaal aan verschillende mogelijkheden bestaat op dat gebied. Hoef ik ook niet te weten. Ik weet dat ik van mijn ISP een WAN IP-adres heb dat ik zal moeten gebruiken als ik de MT een PPPoE verbinding laat maken verwacht ik. Al het andere is voor mij weinig relevant.
Ik spreek natuurlijk vanuit het thuisgebruikerperspectief want daar gaat het hier over. Dat routers in de enterprise wereld heel anders en veel complexer gebruikt worden snap ik ook wel maar ik zit hier nu eenmaal in mijn bescheiden thuisnetwerkje. Het is dus ook handiger om er niet teveel zaken bij te halen die in die enterprise omgeving spelen maar in een thuisnetwerkje niet. Dat maakt het alleen maar onoverzichtelijker. En als hier modem, router en switch drie aparte apparaten zouden zijn dan zouden dat modem en die switch niet van elkaar 'weten' dat ze op eenzelfde IP adres met hun eigen, maar verschillende, poort op de router communiceren. Die router handelt het dan verder intern wel af en die houdt die twee poorten wel uit elkaar.
Ik heb nog geen tijd gehad om uit te zoeken waarom ik in router mode geen contact meer heb met de Fritz en het internet. Blijkbaar moet ik nog iets instellen waarvoor de defaults niet voldoende zijn. Een eventuele hint is welkom.
Er staat: Flags: I - Invalid. Dit betekent dat indien er een I achter het nummer staat, deze niet geldig is.
Documentatie:
In dit geval is hij dus niet invalid, omdat er geen I achter de 0 staat.
Documentatie, via [google=mikrotik import]:
Duidelijk toch?
Documentatie:
Het script ( https://www.micu.eu/adblock-script/ ) is niet aangeboden of onderhouden door MikroTik-staff; ik denk dat de maker met zijn beste bedoelingen zijn proof-of-concept heeft gedeeld maar ik denk dat het irreëel is om te verwachten dat 'ie er een halve MikroTik-cursus bij gaat geven.
Daarnaast, het script downloadt de file adblock steeds opnieuw, dus het is geen probleem dat de file wordt opgeslagen op een non-persistent disk.
Heb de stoute schoenen aangetrokken en het script ook eens gedraaid; werkt perfect, dus vraag me af wat er bij jou dan misgaat?
(De router gaat wel onderuit met deze lijst, maar dat komt doordat dit model te weinig geheugen heeft..)
Voor de volledigheid de inhoud van het script adblock:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| :log warning "starting adblock update";
:delay 20;
:log warning "downloading adblock";
:local hostScriptUrl "https://www.micu.eu/adblock/adblock.php";
:local scriptName "adblock";
do {
/tool fetch mode=http url=$hostScriptUrl dst-path=("./".$scriptName);
:delay 20;
:if ([:len [/file find name=$scriptName]] > 0) do={
:log warning "removing old adblock list";
/ip dns static remove [/ip dns static find address=127.0.0.1];
:log warning "importing new adblock list";
/import file-name=$scriptName;
/file remove $scriptName;
:log warning "adblock list imported";
} else={
:log warning "adblock list not downloaded, script stopped";
}
} on-error={
:log warning "adblock list download FAILED";
}; |
.. en van de file adblock, want volgens mij verwar je e.e.a. met elkaar.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| ## Script generated 06/30/2018 at 23:19:21 (20607 entries) for 5.607 sec. ## ## Hosts list sources: ## > https://cdn.rawgit.com/tarampampam/static/master/hosts/block_shit.txt ## > https://adaway.org/hosts.txt ## > http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext ## > http://someonewhocares.org/hosts/hosts ## > http://getadhell.com/standard-package.txt ## > https://www.micu.eu/adblock/youtube_complete.txt ## > https://www.micu.eu/adblock/ad_list.txt ## ## mikrotik script location: https://www.micu.eu/adblock/adblock_script.txt ## other mikrotik stuff: https://www.micu.eu/category/mikrotik/ ## ## email: contact@micu.eu ## ## Exception hosts: ## > analytics.google.com ## > s.youtube.com ## > localhost /ip dns static add address=127.0.0.1 name=localhost add address=127.0.0.1 name=s1.2mdn.net add address=127.0.0.1 name=s0.2mdn.net ## [knip] add address=127.0.0.1 name=profitsmart.ro add address=127.0.0.1 name=profitshare.ro |
Je zit, tijdens je zoektocht en waarschijnlijk enigszins geïrriteerd, nogal af te geven op de documentatie van MikroTik, terwijl zoals getoond alles wat je zoekt er instaat. Dit is het systeem, dit is hoe het is opgezet en hoe het werkt voor vele users. Het is niet perfect maar werkt goed genoeg en heeft zich inmiddels wel bewezen. Er tegenaan schoppen zal in ieder geval niet helpen.
Indien je hiaten ziet, beschrijf deze dan goed (hetgeen je constateert, hetgeen je verwacht) en mail dit naar support@mikrotik.com. MikroTik reageert snel, bondig en behoorlijk adequaat op inhoudelijke vragen zodat we het systeem langzaam stukje bij beter kunnen verbeteren. Dit is een mentaliteit die die je bij de concurrent niet snel ziet.
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Ah.. dat had ik inderdaad gemist. Met dit script heb je iets meer controle over wat je doet. Resultaat:
Afgezien van wat quotejes die rechtgebogen moeten worden, werkt het prima volgens de stappen die zijn beschreven. Ik ben met je eens dat de scheduler-entry overbodig is, om meerdere redenen:
Afgezien van wat quotejes die rechtgebogen moeten worden, werkt het prima volgens de stappen die zijn beschreven. Ik ben met je eens dat de scheduler-entry overbodig is, om meerdere redenen:
- De file adblock.rsc moet handmatig worden geupload; dan importeer je toch ook handmatig ipv te wachten op een automatisch import
- De file verdwijnt bij reboot op devices zonder persistent storage (ook het geval bij de RB750Gr3)
- De scheduler lacks een flush dus verdwenen entries worden niet verwijderd (op te lossen door /ip dns static remove [/ip dns static find address=127.0.0.1] bovenin het script te plaatsen)
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Je kunt (S)FTP gebruiken om een bestand in een map te uploaden. Met WinBox / WebFig kan dat vziw niet.
Geen idee waarom je log vol staat met "static dns entry added" na het runnen van een script met duizenden static dns entry's?
[ Voor 68% gewijzigd door nescafe op 01-07-2018 16:10 ]
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Achtergrond
Ik heb de MikroTik site-to-site vpn opgegeven na nog enkele pogingen (en resets), dus heb nu de site-to-site via twee Synology routers (RT1900AC) lopen met ~40/40 Mbit, dat gaat prima en was letterlijk binnen 5 minuten ingesteld
. Ik denk niet dat ik met mijn MikroTik starterskennis het ga redden, ook omdat het niet de 'standaardopstelling' is waarbij de MikroTik de hoofdrouter is.
Probleem
Ik kan alle apparaten aan de andere kant bereiken, behalve de MikroTik (192.168.11.11) (via browser, WinBox & SSH).
Wat heb ik geprobeerd
Ik heb gekeken in de Firewall van de MikroTik en ben ook met Torch bezig geweest met de volgende resultaten:
Firewall:
C | 192.168.10.101:49520 | 192.168.11.11:80 | 6 (tcp) | | 00:00:03 | syn sent | 512 bps/0 bps | 512 B / 0 B
Torch:
800 (ip) | | 192.168.10.101 | 192.168.11.11 | rest niets en 0'en.
Ik heb gekeken wat syn sent kan beteken, maar word er niet bepaald wijs uit: kwam bij DDOS protectie uit van de MikroTik.
Het gekke is echter dat ik via VPN uit een compleet andere reeks er wel op kom (zie hieronder), dus er gaat iets mis.
Ik heb al een firewallregel toegevoegd aan de 192.168.11.11 MikroTik om alles te accepteren vanuit 192.168.10.0/24 op de bridge, maar dat helpt dus blijkbaar niet.
Vraag
Waar moet ik dit probleem zoeken?
In de MikroTik of in de Synology routers? Ik kan namelijk wel een Raspberry Pi, Synology NAS in het 192.168.11.0/24 subnet bereiken. Ik heb niets aangepast in die apparaten.
Iemand enig idee of ik nog iets (poort, protocol, iets anders?) open moet zetten?
Netwerkinformatie
iPad: 192.168.10.101 (onderdeel van een /24 subnet)
Mijn MikroTik: 192.168.10.11 (onderdeel van een /24 subnet)
Andere MikroTik: 192.168.11.11 (onderdeel van een /24 subnet)
VPN op laptop: 10.11.0.6 (5 adressen in totaal of zo, niet relevant)
Relevantie
Met het antwoord op deze vraag hoop ik het geheel naar een hoger niveau te kunnen tillen:
- Ik wil de MikroTik (192.168.11.11) kunnen beheren vanuit mijn huis
- Ik wil de NAS (192.168.11.50) laten verwijzen naar mijn MikroTik (192.168.10.11) alszijnde gateway, om zo te kunnen downloaden via mijn internetverbinding (wil in parallel kijken of de Synology router het niet meteen kan accepteren vanuit het andere subnet, maar die kun je minder tweaken dan de MikroTiks, dus ben er bang voor dat het niet gaat lukken)
Eerste stap daarvoor is om de MikroTiks inkomende verbindingen van het andere subnet te laten accepteren.
Ik heb de MikroTik site-to-site vpn opgegeven na nog enkele pogingen (en resets), dus heb nu de site-to-site via twee Synology routers (RT1900AC) lopen met ~40/40 Mbit, dat gaat prima en was letterlijk binnen 5 minuten ingesteld
. Ik denk niet dat ik met mijn MikroTik starterskennis het ga redden, ook omdat het niet de 'standaardopstelling' is waarbij de MikroTik de hoofdrouter is.Probleem
Ik kan alle apparaten aan de andere kant bereiken, behalve de MikroTik (192.168.11.11) (via browser, WinBox & SSH).
Wat heb ik geprobeerd
Ik heb gekeken in de Firewall van de MikroTik en ben ook met Torch bezig geweest met de volgende resultaten:
Firewall:
C | 192.168.10.101:49520 | 192.168.11.11:80 | 6 (tcp) | | 00:00:03 | syn sent | 512 bps/0 bps | 512 B / 0 B
Torch:
800 (ip) | | 192.168.10.101 | 192.168.11.11 | rest niets en 0'en.
Ik heb gekeken wat syn sent kan beteken, maar word er niet bepaald wijs uit: kwam bij DDOS protectie uit van de MikroTik.
Het gekke is echter dat ik via VPN uit een compleet andere reeks er wel op kom (zie hieronder), dus er gaat iets mis.
Ik heb al een firewallregel toegevoegd aan de 192.168.11.11 MikroTik om alles te accepteren vanuit 192.168.10.0/24 op de bridge, maar dat helpt dus blijkbaar niet.
Vraag
Waar moet ik dit probleem zoeken?
In de MikroTik of in de Synology routers? Ik kan namelijk wel een Raspberry Pi, Synology NAS in het 192.168.11.0/24 subnet bereiken. Ik heb niets aangepast in die apparaten.
Iemand enig idee of ik nog iets (poort, protocol, iets anders?) open moet zetten?
Netwerkinformatie
iPad: 192.168.10.101 (onderdeel van een /24 subnet)
Mijn MikroTik: 192.168.10.11 (onderdeel van een /24 subnet)
Andere MikroTik: 192.168.11.11 (onderdeel van een /24 subnet)
VPN op laptop: 10.11.0.6 (5 adressen in totaal of zo, niet relevant)
Relevantie
Met het antwoord op deze vraag hoop ik het geheel naar een hoger niveau te kunnen tillen:
- Ik wil de MikroTik (192.168.11.11) kunnen beheren vanuit mijn huis
- Ik wil de NAS (192.168.11.50) laten verwijzen naar mijn MikroTik (192.168.10.11) alszijnde gateway, om zo te kunnen downloaden via mijn internetverbinding (wil in parallel kijken of de Synology router het niet meteen kan accepteren vanuit het andere subnet, maar die kun je minder tweaken dan de MikroTiks, dus ben er bang voor dat het niet gaat lukken)
Eerste stap daarvoor is om de MikroTiks inkomende verbindingen van het andere subnet te laten accepteren.
Alleen geeft 'ie aan z'n MikroTik VPN setup overboord te hebben gegooid, en loopt dat nu via een Synology router (ergens te begrijpen, IPsec blijft nodeloos complex)...
Uitgebreide post, waarvoor dank. Tekeningetje is in het vervolg wel handig, dan is je netwerksetup sneller duidelijk - nu heb je het hieronder opeens over een MikroTik, maar mag ik zelf destilleren waar 'ie staat ten opzichte van de rest van het spul en het verkeer dat je probeert werkend te krijgen.
SYN-SENT is een state binnen het TCP-protocol. Sla Wikipedia er maar op na
Omdat de firewall connection tracking doet houdt hij de state van alle TCP-connecties bij. Hij heeft dus alleen de éérste SYN van 192.168.10.101 gezien, maar nooit een antwoord (SYN-ACK of RST) van de andere kant.
Dat duidt op een firewalling of routing issue, want een TCP stack geeft altijd antwoord.
Het is me niet duidelijk op welke MikroTik je deze conntrack entry nu ziet. Is dit op 192.168.11.11?
Heb je in de services config van de MikroTik ook verkeer vanaf 192.168.10.0/24 naar de webinterface toegestaan?
Ik weet niet hoe MikroTik de service allow list implementeert (eigenlijk had ik dan gewoon een RST verwacht), maar dat lijkt me momenteel de meest voordehandliggende optie.
Is dat het niet, maak dan even een netwerktekening en post wat configs.
@Thralas & @nescafe
Bedankt voor de snelle reacties.
Ik vond in mijn oude post nog een plaatje van mijn setup:
De Synology router maakt wel gebruik van IPSEC (https://www.synology.com/.../vpnplus_server_site2site), ik neem aan dat dat niet uitmaakt in dit geval?
Ik heb SYN-SENT inderdaad gevonden (https://en.wikipedia.org/wiki/Transmission_Control_Protocol) met een beknopte uitleg :):
"(client) represents waiting for a matching connection request after having sent a connection request."
Er komen pakketjes blijkbaar niet aan, maar je weet nog niet waar het mis gaat.
De entries die ik heb laten zien komen inderdaad van de 192.168.11.11.
Dit zijn de services instellingen van de 192.168.11.11 (ip service print), die heb ik even geüpdatet :
192.168.11.11 ip route print:
192.168.11.11 ip firewall filter print:
Even voor de duidelijkheid: ik heb wel een IPSEC vpn server ingesteld op de MikroTik, want dat ding is gewoon bliksemsnel, vandaar. Dat is voor als ik op zakenreis of vakantie ben.
Tenslotte nog ip firewall connection print:
Hierin zie ik de laptop op 10.11.0.6 via Winbox en onderaan de iPad.
Bedankt voor de snelle reacties.
Ik vond in mijn oude post nog een plaatje van mijn setup:
De Synology router maakt wel gebruik van IPSEC (https://www.synology.com/.../vpnplus_server_site2site), ik neem aan dat dat niet uitmaakt in dit geval?
Ik heb SYN-SENT inderdaad gevonden (https://en.wikipedia.org/wiki/Transmission_Control_Protocol) met een beknopte uitleg :):
"(client) represents waiting for a matching connection request after having sent a connection request."
Er komen pakketjes blijkbaar niet aan, maar je weet nog niet waar het mis gaat.
De entries die ik heb laten zien komen inderdaad van de 192.168.11.11.
Dit zijn de services instellingen van de 192.168.11.11 (ip service print), die heb ik even geüpdatet
:code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 80 192.168.10.0/24
192.168.11.0/24
10.11.0.0/24
3 ssh 22
4 XI www-ssl 443 none
5 api 8728
6 winbox 8291 192.168.10.0/24
192.168.11.0/24
10.11.0.0/24
7 api-ssl 8729 none |
192.168.11.11 ip route print:
code:
1
2
3
4
5
| Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.11.1 1 2 ADC 192.168.11.0/24 192.168.11.11 bridge1 0 |
192.168.11.11 ip firewall filter print:
code:
1
2
3
4
5
6
7
8
9
10
11
12
| Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 chain=input action=accept src-address=192.168.10.0/24 dst-address=192.168.11.0/24 in-interface=bridge1 log=no log-prefix=""
2 ;;; ipsec-ike-natt
chain=input protocol=udp in-interface=all-ethernet dst-port=4500
3 ;;; vpn01
chain=forward action=accept src-address=192.168.10.0/24 dst-address=192.168.11.0/24 in-interface=all-ethernet log=no log-prefix=""
ipsec-policy=in,ipsec |
Even voor de duidelijkheid: ik heb wel een IPSEC vpn server ingesteld op de MikroTik, want dat ding is gewoon bliksemsnel, vandaar. Dat is voor als ik op zakenreis of vakantie ben.
Tenslotte nog ip firewall connection print:
code:
1
2
3
4
5
6
7
8
9
10
| Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F - fasttrack, s - srcnat, d - dstnat # PR.. SRC-ADDRESS DST-ADDRESS TCP-STATE TIMEOUT ORIG-RATE REPL-RATE ORIG-PACKETS REPL-PACKETS ORIG-BYTES 0 C tcp 192.168.11.11:80 10.11.0.6:12732 established 23h39m22s 0bps 0bps 1 0 40 1 SAC tcp 10.11.0.6:13682 192.168.11.11:8291 established 23h59m59s 640bps 14.4kbps 1 466 1 466 78 176 2 C tcp 192.168.11.11:80 10.11.0.6:12726 established 23h39m22s 0bps 0bps 1 0 40 3 SAC tcp 10.11.0.6:13397 192.168.11.11:22 established 23h59m58s 2.6kbps 23.6kbps 264 246 17 824 4 C tcp 192.168.11.11:80 10.11.0.6:12724 established 23h39m22s 0bps 0bps 1 0 40 5 C tcp 192.168.11.11:80 10.11.0.6:12734 established 23h39m22s 0bps 0bps 1 0 40 6 C tcp 192.168.11.11:80 10.11.0.6:12733 established 23h39m22s 0bps 0bps 1 0 40 7 C tcp 192.168.10.101:49997 192.168.11.11:80 syn-sent 2s 0bps 0bps 7 0 448 |
Hierin zie ik de laptop op 10.11.0.6 via Winbox en onderaan de iPad.
Ik heb een CRS125, een hAP ac en een tweetal wAP ac's draaien. Sinds ik eergisteren een software update heb uitgevoerd naar versie 6.42.7 is mijn wifi een behoorlijk stuk snappier/ betere responsiveness geworden . Ik hoef maar een browser op te starten en bam pagina staat direct op mijn scherm. Dit was voorheen niet het geval.
Ik had het changelog doorgelezen maar ik kan niet zo 123 duidelijk krijgen welke change hier nu de oorzaak van is. In eerste instantie dacht ik aan de large ethernet package handeling fix op ARM devices, maar aangezien al mijn apparaten MIPS arch bevatten lijkt dat niet de oorzaak te zijn.
Zijn er meer mensen die hetzelfde ervaren met de laatste update, zo ja, welke change kan hiertoe geleid hebben?
Edit: of mss ligt de oorzaak bij een van de security fixes?
. Ik hoef maar een browser op te starten en bam pagina staat direct op mijn scherm. Dit was voorheen niet het geval.Ik had het changelog doorgelezen maar ik kan niet zo 123 duidelijk krijgen welke change hier nu de oorzaak van is. In eerste instantie dacht ik aan de large ethernet package handeling fix op ARM devices, maar aangezien al mijn apparaten MIPS arch bevatten lijkt dat niet de oorzaak te zijn.
Zijn er meer mensen die hetzelfde ervaren met de laatste update, zo ja, welke change kan hiertoe geleid hebben?
Edit: of mss ligt de oorzaak bij een van de security fixes?
[ Voor 8% gewijzigd door WeaZuL op 23-08-2018 14:07 ]
NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict