Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

weet iemand hoe ik in mikrotik dhcp options kan aanzetten voor tftp vanaf mijn nas te draaien?

PV1 2750wp woning en PV2 2450wp garage


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
SpikeHome schreef op maandag 17 december 2018 @ 12:51:
weet iemand hoe ik in mikrotik dhcp options kan aanzetten voor tftp vanaf mijn nas te draaien?
Gewoon in Winbox bij IP -> DHCP Server -> Options een toevoeging doen van wat je wil overbrengen naar de DHCP-clients.

Vb Optie 66 (=TFTP Server Name) kan je dan aanmaken en moet je coderen met het IP van je NAS waarop de TFTP bolt.

...wel even de correct syntax respecteren...

https://wiki.mikrotik.com.../DHCP_Server#DHCP_Options

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@jvanhambelgium dank je maar ik heb daar wel al b.v. de optie 150 aan staan.
Maar de bootfile optie 67 krijg ik steeds een error

ps voor die optie 150 staat er:
name customtftp
code 150
value 0xC0A806D2 (hexadecimaal)

voor 67 zou er moeten staan:
name bootfile
code 67
value pxelinux.0

edit:
gevonden je kan bij het netwerk aangeven bootfile

SpikeHome wijzigde deze reactie 17-12-2018 13:38 (48%)

PV1 2750wp woning en PV2 2450wp garage


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
String literals horen tussen single quotes. 'pxelinux.0'.

Thralas wijzigde deze reactie 17-12-2018 18:48 (7%)


  • Dennisb1
  • Registratie: april 2007
  • Laatst online: 12-12 10:01
Ik wil toch eens jullie hulp vragen... Ik ben al enkele dagen (lees; weken) bezig om mijn Telfort Glasvezel verbinding via SFP in de Mikrotik werkend te krijgen echter zonder succes...
Ik heb vanaf de bekende netwerkje site een kant en klare config gevonden (gebaseerd op routed iptv en eth0 uplink) maar ondanks dat ik dit probeer te verbouwen krijg ik het maar niet werkend in mijn RB2011UiAS-2HnD-IN

Wie o wie kan mij hiermee op weg helpen? Ik kan mijn config wel posten maar deze deugt voor geen ene kant volgens mij.
Wie heeft er toevallig een kant en klare config liggen die ik zo kan inladen vanaf de fabrieksstand? Ik ben normaal niet zo van op deze manier een kant en klare config te vragen maar ik ben er voorlopig even klaar mee :D

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@Dennisb1 Helaas geen glas thuis maar ziggo.
Anders had ik het ook wel willen draaien.

PV1 2750wp woning en PV2 2450wp garage


  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

TF0 schreef op zaterdag 8 december 2018 @ 11:54:
Ik wil graag een mail krijgen als mensen inloggen op VPN, om zo eventueel ongeautoriseerde toegang te kunnen blokkeren.

Ik heb op dit moment in PPP / profile

code:
1
2
on up:
/tool e-mail send to="abc@def.com" subject="\[MikroTik] Iemand logde in op VPN" body="$user logde in op VPN."


Dit werkt perfect en ik zie welke gebruiker inlogt.
Ik wil echter ook zien vanaf welk ip-adres er wordt verbonden. Dat zou moeten kunnen met $caller-id, maar dat werkt niet (https://wiki.mikrotik.com/wiki/Manual:PPP_AAA). De andere opties werken ook niet, behalve interface, maar die heb ik niet nodig.
Reden dat het caller-id zou moeten zijn is dat in ssh ppp/active/print het ip-adres onder "caller-id" staat.

Waarom werkt dit niet? Moet dit met een lokale/globale variabele?
Je moet $"caller-id" gebruiken, dan krijg je het externe ip adres.

Bijvoorbeeld:


code:
1
/tool e-mail send to="abc@def.com" subject="\[MikroTik] Iemand logde in op VPN" body="$user logde in op VPN vanaf $"caller-id"."



Overigens, dit is de mijne:

code:
1
/tool e-mail send to="abc@def.com" subject="[Routernaam] Login op VPN" body="$"user" logde in vanaf IP $"caller-id" en kreeg als interne IP $"remote-address"."



Nu ik er toch mee bezig ben: voor accounting/auditing vind ik het handig om de tijd en datum toe te voegen.
Dan heb je de datum en de tijd van inlog, niet van de e-mail.

Uitbreiding op bovenstaande code

code:
1
om $[/system clock get time], $[/system clock get date]."



8)

Theone098 wijzigde deze reactie 22-12-2018 13:15 (17%)


  • mbenjamins
  • Registratie: december 2012
  • Laatst online: 15:51
Vandaag de MikroTik RB4011iGS+5HacQ2HnD-IN binnen gekregen als vervanger voor MikroTik CRS109-8G-1S-2HnD-IN

  • TF0
  • Registratie: december 2009
  • Laatst online: 00:41
Theone098 schreef op zaterdag 22 december 2018 @ 12:53:
[...]

Je moet $"caller-id" gebruiken, dan krijg je het externe ip adres.

Bijvoorbeeld:


code:
1
/tool e-mail send to="abc@def.com" subject="\[MikroTik] Iemand logde in op VPN" body="$user logde in op VPN vanaf $"caller-id"."



Overigens, dit is de mijne:

code:
1
/tool e-mail send to="abc@def.com" subject="\[Routernaam] Login op VPN" body="$"user" logde in vanaf IP $"caller-id" en kreeg als interne IP $"remote-address"."



Nu ik er toch mee bezig ben: voor accounting/auditing vind ik het handig om de tijd en datum toe te voegen.
Dan heb je de datum en de tijd van inlog, niet van de e-mail.

Uitbreiding op bovenstaande code

code:
1
om $[/system clock get time], $[/system clock get date]."



8)
Nice! Dat werkt inderdaad.
Ik had ondertussen onderstaande code geïmplementeerd:


code:
1
2
3
4
/ppp active print file=VPNUsers;
:local output [/file get VPNUsers contents];
/tool e-mail send to="abc@def.com" subject="[MikroTik] Iemand logde in op VPN" body="$user logde in op VPN. \n
$output "


Daarmee krijg je een mailtje met alle gebruikers en allerlei data (gewoon de print van de /ppp active).
Als er een gebruiker is ingelogd dit:

code:
1
2
3
4
5
6
7
USER_VPN logde in op VPN. 
# dec/22/2018 16:42:28 by RouterOS 6.43.8
# software id = NX57-1W6R
#
Flags: R - radius 
 #   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING  
 0   USER_VPN     l2tp    123.456.78.9      192.168.10.39   0s       cbc(aes...


Had nog geen tijd om dit te delen.
Ook als ik de VPN verbinding verbreekt, krijg ik een mail met hetzelfde overzicht, die moet dan leeg zijn als ik mijn verbinding verbreek.

Enige nadeel is dat ik niet weet voor hoeveel gebruikers dit werkt, ik heb het met twee getest, wat genoeg is voor mijn situatie.

  • Oortjes
  • Registratie: maart 2009
  • Laatst online: 13-12 23:52
Stoer! Wat zijn je eerste indrukken? Bouw je een nieuwe configuratie of begin je helemaal vanaf 0 met je nieuwe router?

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 17:50
Toch maar weer even een UPNP/portforwarding vraag. Ik heb UPNP maar ff met wat torrent clients getest:

uTorrent op mijn laptop (via wifi, Unifi Accesspoint verbonden met de Mikrotik router) zegt dat de poort netjes is geopend via UPNP, en hier zie ik spontaan 2 NAT regels verschijnen als ik uTorrent opstart:

Transmission op een Raspberry (via Netgear switch verbonden met de Mikrotik router) zegt dat de poort gesloten is. Ik zie echter, als ik transmission opstart, dat de volgende 2 NAT regels verschijnen in RouterOS:

Via IP/UPNP/Interfaces heb ik als external interface: vlan-internet ingevuld en als internal: bridge.

Mijn setup is simpel, glasvezel komt via SFP1 rechtstreeks in de Mikrotik router. Internet wordt door de provider via VLAN geleverd dus die is ingesteld. Het gekke is dus dat Transmission via UPNP zomaar SFP1 kiest terwijl uTorrent netjes vlan-internet kiest. Bij die laatste gaat het dus goed.

Vreemde situatie toch? Ligt dit aan de implementatie van UPNP van Transmission?

Als ik de upnp portforwards van transmission verwijder, vervolgens die van utorrent gewoon kopieer, IP en poort verander naar die van transmission, is het direct opgelost.

Jazco2nd wijzigde deze reactie 27-12-2018 20:58 (26%)


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
Jazco2nd schreef op donderdag 27 december 2018 @ 15:13:
Vreemde situatie toch? Ligt dit aan de implementatie van UPNP van Transmission?

Als ik de upnp portforwards van transmission verwijder, vervolgens die van utorrent gewoon kopieer, IP en poort verander naar die van transmission, is het direct opgelost.
Je kan natuurlijk eens snel een capture nemen en met Wireshark de SSDP packets bekijken om te zien wat de request is richting de Mikrotik vanuit de torrent-client, en vervolgens wat de Mikrotik replied etc.

Ikzelf heb die UPNP af staan op m'n Mikrotik RB3011 en heb een statische setting waar ik een (fixed) reeks poorten forward naar de specifieke Torrent-machine (Deluge)

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 17:50
jvanhambelgium schreef op donderdag 27 december 2018 @ 22:07:
[...]


Je kan natuurlijk eens snel een capture nemen en met Wireshark de SSDP packets bekijken om te zien wat de request is richting de Mikrotik vanuit de torrent-client, en vervolgens wat de Mikrotik replied etc.

Ikzelf heb die UPNP af staan op m'n Mikrotik RB3011 en heb een statische setting waar ik een (fixed) reeks poorten forward naar de specifieke Torrent-machine (Deluge)
Ik heb geen idee wat SSDP packets zijn en hoe Wireshark werkt etc. Het werkt nu door handmatig te poort te openen. Ik zal nog wel andere software op de RPi zetten om te testen of UPNP portforwarding gewoon werkt en het dus niet aan de switch en router ligt. Transmission is sowieso door eigenwijze developers gemaakt en heeft wel meer eigenaardigheden.
Als andere software hetzelfde gedrag vertoond zal ik me eens gaan verdiepen in Wireshark. Dank!

  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
Jazco2nd schreef op vrijdag 28 december 2018 @ 23:52:
[...]
Transmission is sowieso door eigenwijze developers gemaakt en heeft wel meer eigenaardigheden.
Als andere software hetzelfde gedrag vertoond zal ik me eens gaan verdiepen in Wireshark. Dank!
Klopt wel dat je wat artikels kan vinden rond "gekke" UPNP toestanden bij Transmission. Als het bij een andere client zoals µTorrent wel netjes "as expected" werkt lijkt het applicatie-specifiek...

  • Navi
  • Registratie: maart 2007
  • Laatst online: 13-12 09:15
sambaloedjek schreef op woensdag 12 december 2018 @ 20:16:
[...]


Heb enkele SFP modules geprobeerd, die goed werken met mijn CCR en Cisco switch, maar werken niet met RB4011. Een harde setting op 1gb link ipv auto werkt ook niet. Mikrotik beschrijft een workaround met harde settings maar dan aan beide kanten. Met een ISP aan de andere kant kan dit dus niet.
Ik hou mij aanbevolen voor advies welke SFP hier zou kunnen werken. Bij Mikrotik is dit ook niet bekend, behalve voor de dual LC. Deze laatste werkt niet met glas ISP hier.
Wat voor transceiver gebruik je? Een gewone multimode oid gaat namelijk niet werken. Je hebt een BiDi SFP transceiver nodig 1310nm tx/1490nm rx.

Ik zal binnenkort even mijn setup posten, ik heb xs4all glas zonder ntu, binnenkomende fiber direct in pfsense machine.

Navi wijzigde deze reactie 29-12-2018 10:15 (7%)


  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Dat is ook mijn volgende router. Ziet er een zalig bakje uit.

  • sssensss
  • Registratie: oktober 2003
  • Niet online
Ik heb hier thuis een glasvezel-aansluiting en Xs4all als provider.
Het daarbij behorende Fritzbox 7581 router presteert al de 2 jaar dat ik hem gebruik maar matig.
Ik wil nu eindelijk de "grote stap" wagen en proberen met Mikrotik een stabiel netwerk te maken.

Ik ben me al een paar dagen aan het inlezen en heb de nodige tutorials voorbij zien komen.
1 minpunt van deze tutorials is dat er vaak geen datum bij staat, en je dus ook niet kunt zijn of de gebruikte apparatuur gedateerd is of niet.


Situatie bij mij thuis:
nieuwbouwhuis (1999) van 3 verdiepingen
glasvezel komt binnen in meterkast
ongeveer 15 netwerkkabels in huis
ik wil overal AC wifi
2 Arcadyan tv-ontvangers

Welk modem van Mikrotik kan ik nu het beste aanschaffen?

  • Oortjes
  • Registratie: maart 2009
  • Laatst online: 13-12 23:52
pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN

Eventueel aanvullen met een access point pricewatch: MikroTik wAP ac (wit) op de tweede of derde verdieping. Voor extra netwerkpoorten volstaat een eenvoudige (managed) switch.

  • lier
  • Registratie: januari 2004
  • Laatst online: 15:25
sssensss schreef op zaterdag 29 december 2018 @ 11:05:
Ik heb hier thuis een glasvezel-aansluiting en Xs4all als provider.
Het daarbij behorende Fritzbox 7581 router presteert al de 2 jaar dat ik hem gebruik maar matig.
Wat bedoel je met presteert matig? Stabiliteit/performance/WiFi?
Ik wil nu eindelijk de "grote stap" wagen en proberen met Mikrotik een stabiel netwerk te maken.
Doen! :)
Ik ben me al een paar dagen aan het inlezen en heb de nodige tutorials voorbij zien komen.
1 minpunt van deze tutorials is dat er vaak geen datum bij staat, en je dus ook niet kunt zijn of de gebruikte apparatuur gedateerd is of niet.
Over welke tutorials heb je het? Wat wil je instellen?
Situatie bij mij thuis:
nieuwbouwhuis (1999) van 3 verdiepingen
glasvezel komt binnen in meterkast
ongeveer 15 netwerkkabels in huis
ik wil overal AC wifi
2 Arcadyan tv-ontvangers
Begin inderdaad zoals hierboven door @Oortjes al aangegeven met een wireless router en extra accesspoint. Mogelijk heb je nog een extra accesspoint nodig.
Welk modem van Mikrotik kan ik nu het beste aanschaffen?
Modem?

Hoe wil je alles aansluiten? Wil je een "modem" gebruiken met fiber aansluiting?

"If a man is considered guilty for what goes on in his mind. Then give me the electric chair for all my future crimes" - Prince
ShareValue E-miel


  • sssensss
  • Registratie: oktober 2003
  • Niet online
@lier Ik bedoel welke router ik het best kan aanschaffen van Mikrotik.

De Fritzbox geeft een hele reeks aan kleine verschillende probleempjes zo de afgelopen 2 jaar.
Ik heb hiervoor in een andere woning een glasvezelaansluiting gehad met daarop een Asus RT-AC66U router met ASUS WRT firmware erop, en dat liep een stuk beter als de Fritzbox 7581 die ik nu heb.

Al ik Google naar " Xs4all / KPN eigen router Mikrotik" dan kom ik allerlei tutorials tegen hoe je zonder Experiabox/Fritzbox en met een Mikrotik/Ubiquiti router internet en IPTV kunt gebruiken.
Bijv. van netwerkje.com en strooi.nl

Ik probeer nu dus duidelijk te krijgen welke apparatuur ik nu het best kan aanschaffen en hoe ik deze moet instellen.

  • lier
  • Registratie: januari 2004
  • Laatst online: 15:25
sssensss schreef op zaterdag 29 december 2018 @ 12:03:
@lier Ik bedoel welke router ik het best kan aanschaffen van Mikrotik.
Gelukkig! :P
De Fritzbox geeft een hele reeks aan kleine verschillende probleempjes zo de afgelopen 2 jaar.
Ik heb hiervoor in een andere woning een glasvezelaansluiting gehad met daarop een Asus RT-AC66U router met ASUS WRT firmware erop, en dat liep een stuk beter als de Fritzbox 7581 die ik nu heb.
Voor jou zal "probleempjes" heel duidelijk zijn, voor mij kan dat variëren van piepgeluiden tot rook en van slechte WiFi ontvangst tot reboots.
Al ik Google naar " Xs4all / KPN eigen router Mikrotik" dan kom ik allerlei tutorials tegen hoe je zonder Experiabox/Fritzbox en met een Mikrotik/Ubiquiti router internet en IPTV kunt gebruiken.
Bijv. van netwerkje.com en strooi.nl
En waarom wil jij dat? Wat is nu exact je probleem? En wat wil je oplossen?
Ik probeer nu dus duidelijk te krijgen welke apparatuur ik nu het best kan aanschaffen en hoe ik deze moet instellen.
Hangt ervan af wat je wensen en eisen zijn.

Tip: doe net alsof de mensen op GoT je niet kennen en geen idee hebben van jouw netwerk. Beantwoord alle vragen en wellicht krijg je een goed antwoord op jouw vraag.

"If a man is considered guilty for what goes on in his mind. Then give me the electric chair for all my future crimes" - Prince
ShareValue E-miel


  • sssensss
  • Registratie: oktober 2003
  • Niet online
Het grootste probleem met de Fritzbox is het volgende.
Ik luister via een iMac altijd als ik thuis ben naar de radio. Dit doe ik door in een tabblad in Firefox de radiostream te laten lopen. Het geluid stuur ik dan als systeemgeluid via AirPlay naar een Sonos speaker.
Sinds ik het FB 7581 heb, wordt een aantal malen per dag het signaal onderbroken. De radio stream stopt dan, waardoor ik hem weer handmatig moet aanzetten.
Ik heb de Sonos speaker draadloos aangestuurd en met kabel, maar bij allebei de situaties heb ik even vaak een onderbroken signaal.

Dit probleem heb ik nooit gehad met met mijn Asus router.

Tevens komt het regelmatig voor bij de FB dat er dingen niet kloppen.
Ik kan zo niet een lijstje neerschrijven met wat ik de afgelopen 2 jaar ben tegen gekomen, maar dingen zoals dat mijn iPhone verbonden is met een bekabelde verbinding, portforwards die niet opgeslagen blijven, logs die na een rebooten verdwenen zijn, etc.

Geen wereldschokkende zaken, maar toch voor mij genoeg om eens verder te kijken, wat e nog meer allemaal is.

Zie ook hier, een topic met veel van de problemen.

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

@sssensss Als ik jou was, zou ik eens beginnen met een 2de hands Mikrotik router (bijv. de RB2011xx wordt op tweakers vaak goedkoop aangeboden en draait ook de laatste software). Kijk maar eens of het wat is. Ik kan je het persoonlijk van harte aanbevelen, maar de leercurve is steil en lang.
Met een SFP module kun je rechtstreeks glas aansluiten, al heb ik met glas geen ervaring.
10Gb backbone over koper met SFP werkt prima :9 ;) .

Ik heb zelf recentelijk de Hex S gekocht, omdat de router in de meterkast staat. Niet de meeste ideale plek voor een wifi-router. In de huiskamer staat een WAP AC.

  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 14-11 19:29
Navi schreef op zaterdag 29 december 2018 @ 10:14:
[...]


Wat voor transceiver gebruik je? Een gewone multimode oid gaat namelijk niet werken. Je hebt een BiDi SFP transceiver nodig 1310nm tx/1490nm rx.

Ik zal binnenkort even mijn setup posten, ik heb xs4all glas zonder ntu, binnenkomende fiber direct in pfsense machine.
Ik gebruik deze: https://www.ip-sa.com.pl/5335s-optic-p-1403.html
Wat prima werkt met alles behalve de RB4011.

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
sambaloedjek schreef op zondag 30 december 2018 @ 13:56:
Wat prima werkt met alles behalve de RB4011.
Zie je niet toevallig dit over het hoofd? SFP+ interface compatibility settings with SFP optical transceivers

  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 14-11 19:29
Ja het is bekend in de Mikrotik forum dat autoneg uit moet staan: aan beide kanten. Met een ISP aan de andere kant gaat dit helaas niet lukken. Waarschijnlijk ook de reden dat het niet werkt. Ben benieuwd wie dit wel werkend heeft gekregen.

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Dan laat je toch gewoon je NTU ertussen :? Het is niet dat die nu veel invloed op je snelheid heeft....

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • sssensss
  • Registratie: oktober 2003
  • Niet online
@Theone098 Dat lijkt me i.d.d. een goed idee.
Kan ik rustig aan wat dingen uitproberen.

Ik ben wel bang dat de curve net iets te steil is voor mij.
Ik ga dus in ieder geval nog eerst flink oriënteren, lezen, snuffelen.

sssensss wijzigde deze reactie 31-12-2018 13:21 (42%)


  • Videopac
  • Registratie: november 2000
  • Laatst online: 12:38
Ik heb nu een Netgear R7800 met OpenWrt, maar hier zitten wat bugs in m.b.t. latency, CPU scaling onder andere. Echt lekker en snel werkt het niet.

Nu is mijn oog gevallen op een pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN De 10x LAN poorten maakt dat ik een switch niet meer nodig heb.

Ik ben geen echte netwerkspecialist en lees dat RouterOS best complex is. Is het realistich voor mij om RouterOS te configureren? Hoe ervaren jullie de snelheid en de veiligheid? Wordt RouterOS goed bijgehouden qua patches etc,?

Opnsense (Odroid H2) DS918+ 4x8TB WD RED, SB Touch, Odroid C2, Netgear R7800


  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Videopac schreef op dinsdag 1 januari 2019 @ 10:30:
Ik heb nu een Netgear R7800 met OpenWrt, maar hier zitten wat bugs in m.b.t. latency, CPU scaling onder andere. Echt lekker en snel werkt het niet.

Nu is mijn oog gevallen op een pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN De 10x LAN poorten maakt dat ik een switch niet meer nodig heb.

Ik ben geen echte netwerkspecialist en lees dat RouterOS best complex is. Is het realistich voor mij om RouterOS te configureren? Hoe ervaren jullie de snelheid en de veiligheid? Wordt RouterOS goed bijgehouden qua patches etc,?
Ik heb een mikrotik genomen voor de 10 poorten, dus geen switch nodig, en omdat port mirroring in te stellen was.
Het is idd best complex maar niet onoverkomelijk. Daar staat tov dat je bijna alles kan wat je wil.
Bij mij is het ingesteld en buiten een update of dns instelling kom ik niet meer in de interface. Updates komen regelmatig binnen. Meestal lees ik hier op tweakers dat er een update is en dan ga ik is kijken.

  • pimlie
  • Registratie: november 2000
  • Laatst online: 13-12 22:15
@Videopac Er is een demo beschikbaar op: http://demo.mt.lv/webfig/, kan je een kijkje nemen.

Evt kan je ook een Cloud Hosted Router downloaden en uitproberen in bv Virtualbox of VMware: https://mikrotik.com/download

  • floriszz
  • Registratie: september 2003
  • Laatst online: 17:11
Videopac schreef op dinsdag 1 januari 2019 @ 10:30:
Ik heb nu een Netgear R7800 met OpenWrt, maar hier zitten wat bugs in m.b.t. latency, CPU scaling onder andere. Echt lekker en snel werkt het niet.

Nu is mijn oog gevallen op een pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN De 10x LAN poorten maakt dat ik een switch niet meer nodig heb.

Ik ben geen echte netwerkspecialist en lees dat RouterOS best complex is. Is het realistich voor mij om RouterOS te configureren? Hoe ervaren jullie de snelheid en de veiligheid? Wordt RouterOS goed bijgehouden qua patches etc,?
Zit met precies hetzelfde! (Zelfde Router en toevallig ook een DS918+). Daarbij nu 14 LAN devices. Maak nog gebruik van een Netgear 8P Gb Switch. Nu kan ik deze vervangen voor grotere of aanvullen of router vervangen.
Kan ook nog geen enkele review van de RB4011iGS+5HacQ2HnD-IN vinden. Had ooit eerder naar de CRS125-24G-1S-2HnD-IN gekeken in plaats van de Netgear, maar niet voor gekozen vanwege gebrek aan 5Ghz en matige wifi sterkte.
Hoor graag als je besloten hebt en van eventuele ervaringen!

  • Videopac
  • Registratie: november 2000
  • Laatst online: 12:38
floriszz schreef op woensdag 9 januari 2019 @ 16:35:
[...]


Zit met precies hetzelfde! (Zelfde Router en toevallig ook een DS918+). Daarbij nu 14 LAN devices. Maak nog gebruik van een Netgear 8P Gb Switch. Nu kan ik deze vervangen voor grotere of aanvullen of router vervangen.
Kan ook nog geen enkele review van de RB4011iGS+5HacQ2HnD-IN vinden. Had ooit eerder naar de CRS125-24G-1S-2HnD-IN gekeken in plaats van de Netgear, maar niet voor gekozen vanwege gebrek aan 5Ghz en matige wifi sterkte.
Hoor graag als je besloten hebt en van eventuele ervaringen!
Ik ben wat aan het lezen op het Mikrotik forum en het is niet allemaal hosanna wat ik daar lees.

O.a. nieuwe versie RouterOS verwijdert zonder waarschuwing lomp bepaalde instellingen die niet in lijn zijn met de regels in bepaalde landen. Gevolg: router onbereikbaar.
https://forum.mikrotik.com/viewtopic.php?f=21&t=143805

Meerdere klachten over zeer trage wifi-verbindingen:
https://forum.mikrotik.com/viewtopic.php?f=7&t=123299

En er was vorig jaar een misbruikzaak waarbij een reeds gepatched veiligheidsprobleem misbruikt werd op routers die niet geupgrade waren. Dit vind ik minder een probleem: je zult zelf je spullen tijdig bij moeten werken.

Kortom: ik ben nog niet overtuigd.

Opnsense (Odroid H2) DS918+ 4x8TB WD RED, SB Touch, Odroid C2, Netgear R7800


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
In crowded spectrums (oftwel, veel omliggende andere WiFi netwerken) ja. Maar dat is niet specifiek voor MIkrotik, dan gaat de snelheid van iedere router de grond in.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • Videopac
  • Registratie: november 2000
  • Laatst online: 12:38
Hmmbob schreef op donderdag 10 januari 2019 @ 16:15:
[...]

In crowded spectrums (oftwel, veel omliggende andere WiFi netwerken) ja. Maar dat is niet specifiek voor MIkrotik, dan gaat de snelheid van iedere router de grond in.
Dat snap ik, maar dat topic gaat over extreem lage snelheden (1 - 3 Mb/s) terwijl een budget TP-Link dingtje het al veel beter doet onder dezelfde omstandigheden.

Opnsense (Odroid H2) DS918+ 4x8TB WD RED, SB Touch, Odroid C2, Netgear R7800


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Videopac schreef op donderdag 10 januari 2019 @ 15:28:
O.a. nieuwe versie RouterOS verwijdert zonder waarschuwing lomp bepaalde instellingen die niet in lijn zijn met de regels in bepaalde landen. Gevolg: router onbereikbaar.
Zeer onfortuinlijk (gezien longterm branch), maar echt niets nieuws onder de zon. MikroTik moet je niet updaten daags na een release als je er niet lokaal bij kan.

Daar tegenover staat een update om de paar weken. Aan jou de keus wanneer je die installeert.
Meerdere klachten over zeer trage wifi-verbindingen:
https://forum.mikrotik.com/viewtopic.php?f=7&t=123299
Dat topic slaat als een tang op een varken. 2.4 GHz en 20/40 MHz - dat ligt aan het spectrum, niet aan de hardware. Punt.
En er was vorig jaar een misbruikzaak waarbij een reeds gepatched veiligheidsprobleem misbruikt werd op routers die niet geupgrade waren. Dit vind ik minder een probleem: je zult zelf je spullen tijdig bij moeten werken.
Dat vind ik persoonlijk nogeen aardig punt. MikroTik ging er destijds ook niet heel professioneel mee om (security advisory tikken, CVE requesten) - tegenwoordig hebben ze in ieder geval een security blog.

Maar gezien de track record wil je je managementinterfaces absoluut niet aan het internet hangen (afgezien van 't feit dat dat sowieso geen verstandig idee is).

Then again, je krijgt ook vele jaren updates. Bij veel fabrikanten krijg je die uberhaupt niet.

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

Sinds gisteren een 200mb verbinding van ziggo (was 50mb) maar merk dat de 2011 dat niet aan kan.
Bij een speedtest blijft hangen op een 130mb processor is dan 100%
Zou ik dan toch ook een 4011 moeten nemen!

Wat zijn jullie ervaringen?

PV1 2750wp woning en PV2 2450wp garage


  • dreester
  • Registratie: januari 2004
  • Niet online
SpikeHome schreef op vrijdag 18 januari 2019 @ 09:35:
Sinds gisteren een 200mb verbinding van ziggo (was 50mb) maar merk dat de 2011 dat niet aan kan.
Bij een speedtest blijft hangen op een 130mb processor is dan 100%
Zou ik dan toch ook een 4011 moeten nemen!

Wat zijn jullie ervaringen?
Mijn RB2011 heeft geen moeite met 200Mbit van Ziggo.

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@dreester gebruik je fasttrack?
Of zou ik teveel regels hebben?
En bij een speedtest wat gebruikt je cpu dan?

SpikeHome wijzigde deze reactie 18-01-2019 10:25 (26%)

PV1 2750wp woning en PV2 2450wp garage


  • dreester
  • Registratie: januari 2004
  • Niet online
SpikeHome schreef op vrijdag 18 januari 2019 @ 10:25:
@dreester gebruik je fasttrack?
Of zou ik teveel regels hebben?
En bij een speedtest wat gebruikt je cpu dan?
Dit zijn mijn firewall rules, ik heb het niet echt ingericht:


Bij een speedtest gaat de CPU naar rond de 22% bij een downloadsnelheid van 208Mbit/s.

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
sambaloedjek schreef op woensdag 12 december 2018 @ 20:16:
[...]


Heb enkele SFP modules geprobeerd, die goed werken met mijn CCR en Cisco switch, maar werken niet met RB4011. Een harde setting op 1gb link ipv auto werkt ook niet. Mikrotik beschrijft een workaround met harde settings maar dan aan beide kanten. Met een ISP aan de andere kant kan dit dus niet.
Ik hou mij aanbevolen voor advies welke SFP hier zou kunnen werken. Bij Mikrotik is dit ook niet bekend, behalve voor de dual LC. Deze laatste werkt niet met glas ISP hier.
Dit lijkt opgelost in de laatste beta:
What's new in 6.44beta61 (2019-Jan-17 13:24):

*) rb4011 - improved SFP+ interface linking to 1Gbps;
Heb het vanmiddag getest, werkt prima met een reguliere SFP mits je de juiste speed/duplex setting hebt aangegeven (ondanks auto negotiation aan/uit).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

dreester schreef op vrijdag 18 januari 2019 @ 17:34:
[...]

Dit zijn mijn firewall rules, ik heb het niet echt ingericht:
[Afbeelding: MTK_rulebase]

Bij een speedtest gaat de CPU naar rond de 22% bij een downloadsnelheid van 208Mbit/s.
Netjes.
Gebruik je vlans voor gast netwerken?
Ik zie wel dat je fasttrack gebruikt.

SpikeHome wijzigde deze reactie 21-01-2019 08:50 (4%)

PV1 2750wp woning en PV2 2450wp garage


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
@SpikeHome, zoals je ziet gebruikt dreester gewoon de default config. Deze maakt automatisch gebruik van fasttrack. Als je problemen hebt met je config, reset dan eerst eens je configuration (wel met een beetje recente versie van RouterOS). Als het dan nog niet werkt, post je config hier zodat we ernaar kunnen kijken (/export hide-sensitive). De RB2011 moet 200Mbit via IPv4 makkelijk kunnen halen.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

nescafe schreef op zaterdag 19 januari 2019 @ 20:06:
@SpikeHome, zoals je ziet gebruikt dreester gewoon de default config. Deze maakt automatisch gebruik van fasttrack. Als je problemen hebt met je config, reset dan eerst eens je configuration (wel met een beetje recente versie van RouterOS). Als het dan nog niet werkt, post je config hier zodat we ernaar kunnen kijken (/export hide-sensitive). De RB2011 moet 200Mbit via IPv4 makkelijk kunnen halen.
Dank je,
Ik heb verder geen problemen met mijn config.
Maar ik heb geen fasttrack aan staan, misschien moet ik dat wel gaan doen.
Gebruik wel vpn en vlans.
vpn is alleen om remote in te loggen op mijn netwerk dus niet tussen 2 locaties.

PV1 2750wp woning en PV2 2450wp garage


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Zonder fasttrack moet je > 200Mbit kunnen halen; met fasttrack >800Mbps (wiki). Fasttrack zou zeker verschil kunnen maken maar ik denk dat het geen kwaad kan om even de config na te lopen op (onlogische) queues en/of (l7) filtering.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@nescafe tnx.
zal het nalopen anders de config hier plaatsen of pm?

PV1 2750wp woning en PV2 2450wp garage


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Het maakt mij niet zoveel uit, maar als je het hier post kunnen meerdere users er naar kijken.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

nescafe schreef op maandag 21 januari 2019 @ 12:30:
Het maakt mij niet zoveel uit, maar als je het hier post kunnen meerdere users er naar kijken.
Heb hier mijn firewall rsc file,


code:
1
2
3
4
# jan/15/2019 16:21:50 by RouterOS 6.43.4
# software id = S62Z-5GTT
#
# model = 2011UiAS-2HnD

removed

SpikeHome wijzigde deze reactie 28-01-2019 09:42 (98%)

PV1 2750wp woning en PV2 2450wp garage


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Je L7 en queues zijn disabled, dus die zijn af :)

Al je bridge ports (ether02 t/m sfp1-uplink) staan op hw=no, is hier een reden voor? Die zou ik op hw=yes zetten.

Als dat niet kan, beperk dan je (twee) bridge filter rules tot bridge=bridge-guest, al je al poort wlan-guest wilt filteren, maar misschien is het beter om hem uit je bridge te halen en als aparte interface te behandelen. Moet je wel weer een nieuwe range aanmaken. Je zou ook een bridge horizon kunnen gebruiken en client-to-client forwarding off om verkeer tussen clients van/naar deze interface te beperken.

Je IP filter mist een ultieme drop in de forward chain. Het beste pak je de filter config van defconf (/system default-configuration print) en voegt jouw custom rules eraan toe. Dan, met een beetje fasttracking kun je er prima mee vooruit en heb je geen RB4011 nodig, althans niet voor NAT performance.

Oh, je interface list heeft een unknown interface. Beetje slordig, niet schadelijk.

Tip voor de volgende keer, met /export hide-sensitive hoef je je wachtwoorden niet apart te maskeren.

nescafe wijzigde deze reactie 21-01-2019 14:47 (5%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

nescafe schreef op maandag 21 januari 2019 @ 14:46:
Je L7 en queues zijn disabled, dus die zijn af :)

Al je bridge ports (ether02 t/m sfp1-uplink) staan op hw=no, is hier een reden voor? Die zou ik op hw=yes zetten.

Als dat niet kan, beperk dan je (twee) bridge filter rules tot bridge=bridge-guest, al je al poort wlan-guest wilt filteren, maar misschien is het beter om hem uit je bridge te halen en als aparte interface te behandelen. Moet je wel weer een nieuwe range aanmaken. Je zou ook een bridge horizon kunnen gebruiken en client-to-client forwarding off om verkeer tussen clients van/naar deze interface te beperken.

Je IP filter mist een ultieme drop in de forward chain. Het beste pak je de filter config van defconf (/system default-configuration print) en voegt jouw custom rules eraan toe. Dan, met een beetje fasttracking kun je er prima mee vooruit en heb je geen RB4011 nodig, althans niet voor NAT performance.

Oh, je interface list heeft een unknown interface. Beetje slordig, niet schadelijk.

Tip voor de volgende keer, met /export hide-sensitive hoef je je wachtwoorden niet apart te maskeren.
Super bedankt.
Ga vanavond wel even aan de gang ermee.
Ben nog niet superhandig met de mikrotik leer wel langzaam aan bij natuurlijk 8) .
Ik ben begonnen met een standaard router config en die uitgebouwd met vlans voor het gastnetwerk.
Dus waarom de poorten op hw=no staan zou ik zo niet weten (even kijken hoe ik die op yes kan krijgen)
En handig idd dat ik niet alles hoef te renamen :P dus andere export
Heb alles na veel prutsen en proberen voor elkaar gekregen (was allang er blij mee)
Maar wel superfijn dat ik niet naar een 4011 gelijk hoef de 2011's bevallen goed.
De sfp-uplink gaat naar mijn zoons kamer waar ook een 2011 staat die alleen maar als switch en wifi gebruikt word met het gastnetwerk natuurlijk.
En bezig met een 3e aHAPac2 voor in de woonkamer waar de tv, mediabox op aangesloten word plus de wifi met 5ghz band natuurlijk


edit:
@nescafe
gisteren wat tests gedaan.
eerst fastrack enabeld en de unknows verwijderd.
met fastrack aan haal ik de 200 wel en de proc is dan 60 a 80%
Nu weet ik ook waarom ik fastrack niet meer gebruikte omdat dan de queues dan niet meer werkten.
Maar dat is niet zo een groot probleem.

Vanmorgen de reserve 2011 mee genomen naar mijn werk daar een 5GBit verbinding up en down.
Met ziggo speedtest alle tests gedaan.
Met een default config haal ik down 440Mbps (CPU 50%max) en upload 840Mbps (CPU 8%max) en dan staat fastrack standaard aan.
Als ik dan fastrack uitzet met de default config dan haal ik 200Mbps down en 230Mbps Up CPU 100% dan

Daarna de thuis config erop gegooid en dan haal ik down 380Mbps (cpu 40%max) en up 500Mbps (cpu 80%max)
met de thuis config zonder fastrack kom ik dan op 200Mbps down en 240Mbps Up de proc zit dan wel op bijna 100% up en down dus zou ik het net moeten werken.

Lijkt erop dat me config wel goed is dan toch :P


edit2:
thuis nog eens getest met en zonder fasttrack
zonder haal ik een 190Mbps down en up gewoon de max van 20Mbps CPU dan wel 100%
met fasttrack haal ik altijd 200Mbps down en CPU 50%

SpikeHome wijzigde deze reactie 23-01-2019 07:34 (22%)

PV1 2750wp woning en PV2 2450wp garage


  • WeaZuL
  • Registratie: oktober 2001
  • Laatst online: 13-12 11:07

WeaZuL

Try embedded, choose ARM!

Ik loop tegen het volgende aan. Ik heb nu een jaar of 4 een CRS125-24G-1S. In de loop van de tijd is de glasvezel aansluiting van XS4ALL verhuisd van de ether1 naar de SFP1 interface. Tevens ben ik VLANs (tagged en untaggged) gaan gebruiken (icm masterport). SInds de beruchte v6.41 update is er wat veranderd in de configuratie van RouterOS met name er geen gebruik meer wordt gemaakt van een Masterport op de switch maar dat alle VLAN's via een bridge worden geconfigureerd?!
Vanaf dat moment brak mijn configuratie, IPTV werkte niet meer. Geen idee waarom, ik heb toen de update naar 6.41 teruggedraaid en een restore van de config uitgevoerd en vanaf dat moment geen updates meer toegepast op de routerOS van die CRS.
Dit zat mij echter niet lekker dus via Polen een tweede CRS125-24G-1S laten komen om mee te testen zonder dat de rest van het huis er last van heeft. Ik heb nu de config over gezet naar bridged modus echter zit ik met de volgende vraag:

Ik heb nu twee bridges, bridgeLAN en bridgeIPTV. Ik lees overal dat ik een single bridge moet gebruiken, maar nergens zie ik configuraties icm de CRS125 en routerOS >v6.41 icm een single Bridge. Ik las ergens dat je maar 1 bridge kan hebben met HW offloading icm de CRS125. Wat is nu best practice? Twee aparte bridges voor IPTV verkeer en Lan verkeer of alle interfaces op een enkele bridge? Want ondertussen is er schijnbaar ook IGMP-snooping ondersteuning voor de CR125?!

Tevens, is er iemand die vlans's gebruikt icm de CRS125? Mikrotik zegt zelf dat vlans op de switch cpu moeten worden getagged echter lees ik hier weer dat dat juist niet moet worden gedaan en dat je vlan tagging moet configureren op de Bridge? :?

WeaZuL wijzigde deze reactie 08-02-2019 13:28 (12%)

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • Petervanakelyen
  • Registratie: december 2006
  • Laatst online: 08-12 03:10
De /interface bridge vlan feature is pas hardware offloaded vanaf de CRS3xx serie switches. Zie https://wiki.mikrotik.com...ridge_Hardware_Offloading. Voor de CRS1xx en CRS2xx gebruik je dus nog steeds het /interface ethernet switch menu om je VLANs te configureren. Best practice is één bridge.

Wie komt er allemaal naar de MUM in Wenen (7-8 maart) en Amsterdam (29 april)? Ik heb mij ingeschreven voor beide, probeer waarschijnlijk Parijs er ook nog bij te nemen maar dat hangt een beetje af van de beschikbare vrije tijd :p

Somewhere in Texas there's a village missing its idiot.


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Petervanakelyen schreef op vrijdag 8 februari 2019 @ 17:30:Voor de CRS1xx en CRS2xx gebruik je dus nog steeds het /interface ethernet switch menu om je VLANs te configureren.
Belangrijke gotcha is dat je dan volgens mij niet kunt IGMP snoopen.

Zo'n CRS3XX was ook maar 7 euro duurder dan een CRS125 trouwens..

Maar vergeet ook niet dat de welbekende glasboeren (KPN, XS4ALL, etc.) zeggen te gaan 'stoppen' met het ondersteunen van een bridged IPTV-oplossing over enkele maanden.

Snap niet helemaal hoe ze dat bedoelen, maar het enige dat ik kan bedenken is dat internet en TV dan gewoon over één (V)LAN komt. Als ze dan ook meteen even PPPoE opdoeken...

Je kunt de tijd dus beter investeren in het werkend krijgen van een routed setup.

  • REPLAY
  • Registratie: oktober 2001
  • Laatst online: 11:30

REPLAY

Tik een eitje

[an heeft. Ik heb nu de config over gezet naar bridged modus echter zit ik met de volgende vraag:

Ik heb nu twee bridges, bridgeLAN en bridgeIPTV. Ik lees overal dat ik een single bridge moet gebruiken, maar nergens zie ik configuraties icm de CRS125 en routerOS >v6.41 icm een single Bridge. Ik las ergens dat je maar 1 bridge kan hebben met HW offloading icm de CRS125. Wat is nu best practice? Twee aparte bridges voor IPTV verkeer en Lan verkeer of alle interfaces op een enkele bridge? Want ondertussen is er schijnbaar ook IGMP-snooping ondersteuning voor de CR125?!

Tevens, is er iemand die vlans's gebruikt icm de CRS125? Mikrotik zegt zelf dat vlans op de switch cpu moeten worden getagged echter lees ik hier weer dat dat juist niet moet worden gedaan en dat je vlan tagging moet configureren op de Bridge? :?
[/quote]


Ben je er al uit?

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Ik gebruik de RB2011 (wifi model) met KPN glass.
IGMP snooping en proxy werkt door een software update.. wel extra paketjes ophalen van de site van mikrotik.. de kasjes draaien hier routed. ik kreeg de V10 binnen en na wat uit zoek werk idd om dat KPN een scan gedaan heeft wie er nog ip Bridge mode draait. de RB2011 draai prima en TV doet het ook perfect..
maar de RB2011 word vervangen voor de RB4011 (2.4+5G wifi versie)

ik zou graag een draadloos netwerk willen maken voor gasten.
wat mij lukt na een paar tutorials.
- DHCP server aan maken
- Virtual SSID maken (gaste netwerk wifi)
- DHCP koppelen aan de virtual SSID wifi netwerk.

ik heb tutorials gevolgd voor de Vlan manier..
en alles werkt, Maar ! krijg het niet voor elkaar om netwerk te krijgen.

ik draai dus op een RB2011. ICM KPN glass
mijn verbinding komt via port 1 binnen. en word verwerkt in de vlan 1.6 naar een de local bridge.
waarschijnlijk zijn de meeste bekend met de set-up.. wie wil mij helpen om het laaste kleinen stukje te kunnen doen.. of wie heeft er een goede tutorial die werkt voor de KPN setup

  • BubbaNL
  • Registratie: mei 2010
  • Laatst online: 17:32
Starpc,
Hoe heb je het igmp stuk werkende gekregen? Ik krijg alles wekende maar IPTV stopt na 5sec en de mdb tabel blijft leeg.

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
@starpc en @BubbaNL Mijn config, KPN Glasvezel met Wifi+gastnetwerk. Gastnetwerk wordt niet op een apart VLAN gezet, maar in de firewall gescheiden op basis van IP-ranges.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
# feb/22/2019 21:32:37 by RouterOS 6.43.12

/interface bridge
add admin-mac=4C:5E:0C:65:49:XX arp=proxy-arp auto-mac=no fast-forward=no igmp-snooping=yes mtu=1500 name=bridge-LAN
add fast-forward=no name=bridge-Tel
add admin-mac=4C:5E:0C:65:49:XX arp=proxy-arp auto-mac=no name=bridge-WAN-vlan4_macspoof protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-WAN speed=100Mbps
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] name=ether3
set [ find default-name=ether4 ] name=ether4
set [ find default-name=ether5 ] name=ether5
set [ find default-name=ether6 ] name=ether6
set [ find default-name=ether7 ] name=ether7
set [ find default-name=ether8 ] name=ether8
set [ find default-name=ether9 ] name=ether9-Experiabox
set [ find default-name=ether10 ] name=ether10
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=4 band=2ghz-g/n channel-width=20/40mhz-eC country=netherlands disabled=no frequency=auto frequency-mode=regulatory-domain mode=ap-bridge ssid=WiFiAP wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6
add interface=ether1-WAN name=vlan1.7-Tel vlan-id=7
add interface=ether9-Experiabox name=vlan9.7-Tel vlan-id=7
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=.... wpa2-pre-shared-key=....
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=Gastnetwerk supplicant-identity=Router wpa-pre-shared-key=.... wpa2-pre-shared-key=....
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=4E:5E:0C:65:49:C4 master-interface=wlan1 multicast-buffering=disabled name=WiFi-Gastnetwerk security-profile=Gastnetwerk ssid=WiFi-Gast wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=DHCP-LAN ranges=192.168.88.70-192.168.88.150
add name=Pool-Gastnetwerk ranges=192.168.77.10-192.168.77.100
/ip dhcp-server
add address-pool=DHCP-LAN disabled=no interface=bridge-LAN lease-time=1d name=DHCP-LAN
add address-pool=Pool-Gastnetwerk disabled=no interface=WiFI-Gastnetwerk lease-time=3d name=DHCP-Gastnetwerk
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe password=kpnkpn profile=PPPoE user=28-FF-3E-XX-XX-XX@internet
/interface bridge port
add bridge=bridge-WAN-vlan4_macspoof interface=vlan1.4-TV
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN hw=no interface=ether3
add bridge=bridge-LAN hw=no interface=ether4
add bridge=bridge-LAN hw=no interface=ether5
add bridge=bridge-LAN interface=ether6
add bridge=bridge-LAN interface=wlan1
add bridge=bridge-LAN interface=ether7
add bridge=bridge-LAN interface=ether8
add bridge=bridge-LAN interface=ether10
add bridge=bridge-Tel interface=vlan9.7-Tel
add bridge=bridge-Tel interface=vlan1.7-Tel
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=bridge-LAN network=192.168.88.0
add address=192.168.77.1/24 interface=WiFi-Gastnetwerk network=192.168.77.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-WAN use-peer-dns=no use-peer-ntp=no
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass disabled=no interface=bridge-WAN-vlan4_macspoof use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1,8.8.8.8 domain=gast.domein.nl gateway=192.168.77.1 netmask=24 ntp-server=192.168.88.1,66.175.209.17
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.4,192.168.88.1,8.8.8.8 domain=domein.nl gateway=192.168.88.1 netmask=24 ntp-server=192.168.88.1,66.175.209.17
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=1024KiB query-server-timeout=1s query-total-timeout=3s servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=192.168.77.0/24 src-address=192.168.88.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=192.168.88.0/24 src-address=192.168.77.0/24
add action=fasttrack-connection chain=forward comment="use fasttrack" connection-state=established,related
add action=accept chain=forward comment="default configuration (FORWARD Established, Related)" connection-state=established,related
add action=drop chain=forward comment="default configuration (DROP other)" connection-state=invalid log-prefix="DROP "
add action=accept chain=input comment="default configuration (Input established)" connection-state=established,related
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=input comment="default configuration (DROP other)" in-interface=pppoe log-prefix=DROP
/ip firewall nat
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-vlan4_macspoof
add action=masquerade chain=srcnat comment="default configuration - NAT-ether1-gateway" out-interface=pppoe src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" out-interface=pppoe src-address=192.168.77.0/24
/routing igmp-proxy
set query-interval=30s
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 interface=bridge-WAN-vlan4_macspoof upstream=yes
add interface=bridge-LAN

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
BubbaNL schreef op vrijdag 22 februari 2019 @ 20:34:
Starpc,
Hoe heb je het igmp stuk werkende gekregen? Ik krijg alles wekende maar IPTV stopt na 5sec en de mdb tabel blijft leeg.
eerst moet je naar
Bridge > poorts.. en dan je 'Vlan1.4" uit zetten .. niet wissen.. maar uit zetten.. dat is die rode X.

ik heb de Brigde local en op de IP tv brigde de IGMP Snoop functie aan gezet.


code:
1
2
3
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp fast-forward=no igmp-snooping=yes name=bridge-local



vervolgens heb ik onder Routing de IGMP proxy gemaakt, en de bridge-local daar bij toegevoed.


code:
1
2
3
4
/routing igmp-proxy interface
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
add interface=bridge-local



onder IP client heb ik dit gedaan.. let op mijn IP range is zit in de "10.255"


code:
1
2
3
4
5
6
 /ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"



onder IP Firewall en dan NAT.
heb ik deze NAT regel.. ik wil graag toevoegen dat ik hier op vast liep.. ik kreeg de IP tv niet aan de gang..
door het missen van deze simple NAT regel


code:
1
2
3
 /ip firewall nat
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4



in tegen stelling van www.netwerkje.nl

krijgen de kasjes een IP adress nog steeds via KPN.. iig hoef je niet te *sorry voor taal gebruik* kloten met MAC adressen. en Static IP adressen te geven aan de kasjes.
dit draaid sinds een maand prima op mijn RB2011 Wifi. ook op de niet Gigabit porten.
Hmmbob schreef op vrijdag 22 februari 2019 @ 21:54:
@starpc en @BubbaNL Mijn config, KPN Glasvezel met Wifi+gastnetwerk. Gastnetwerk wordt niet op een apart VLAN gezet, maar in de firewall gescheiden op basis van IP-ranges.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
# feb/22/2019 21:32:37 by RouterOS 6.43.12

/interface bridge
add admin-mac=4C:5E:0C:65:49:XX arp=proxy-arp auto-mac=no fast-forward=no igmp-snooping=yes mtu=1500 name=bridge-LAN
add fast-forward=no name=bridge-Tel
add admin-mac=4C:5E:0C:65:49:XX arp=proxy-arp auto-mac=no name=bridge-WAN-vlan4_macspoof protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-WAN speed=100Mbps
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] name=ether3
set [ find default-name=ether4 ] name=ether4
set [ find default-name=ether5 ] name=ether5
set [ find default-name=ether6 ] name=ether6
set [ find default-name=ether7 ] name=ether7
set [ find default-name=ether8 ] name=ether8
set [ find default-name=ether9 ] name=ether9-Experiabox
set [ find default-name=ether10 ] name=ether10
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=4 band=2ghz-g/n channel-width=20/40mhz-eC country=netherlands disabled=no frequency=auto frequency-mode=regulatory-domain mode=ap-bridge ssid=WiFiAP wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6
add interface=ether1-WAN name=vlan1.7-Tel vlan-id=7
add interface=ether9-Experiabox name=vlan9.7-Tel vlan-id=7
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=.... wpa2-pre-shared-key=....
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=Gastnetwerk supplicant-identity=Router wpa-pre-shared-key=.... wpa2-pre-shared-key=....
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=4E:5E:0C:65:49:C4 master-interface=wlan1 multicast-buffering=disabled name=WiFi-Gastnetwerk security-profile=Gastnetwerk ssid=WiFi-Gast wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=DHCP-LAN ranges=192.168.88.70-192.168.88.150
add name=Pool-Gastnetwerk ranges=192.168.77.10-192.168.77.100
/ip dhcp-server
add address-pool=DHCP-LAN disabled=no interface=bridge-LAN lease-time=1d name=DHCP-LAN
add address-pool=Pool-Gastnetwerk disabled=no interface=WiFI-Gastnetwerk lease-time=3d name=DHCP-Gastnetwerk
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe password=kpnkpn profile=PPPoE user=28-FF-3E-XX-XX-XX@internet
/interface bridge port
add bridge=bridge-WAN-vlan4_macspoof interface=vlan1.4-TV
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN hw=no interface=ether3
add bridge=bridge-LAN hw=no interface=ether4
add bridge=bridge-LAN hw=no interface=ether5
add bridge=bridge-LAN interface=ether6
add bridge=bridge-LAN interface=wlan1
add bridge=bridge-LAN interface=ether7
add bridge=bridge-LAN interface=ether8
add bridge=bridge-LAN interface=ether10
add bridge=bridge-Tel interface=vlan9.7-Tel
add bridge=bridge-Tel interface=vlan1.7-Tel
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=bridge-LAN network=192.168.88.0
add address=192.168.77.1/24 interface=WiFi-Gastnetwerk network=192.168.77.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-WAN use-peer-dns=no use-peer-ntp=no
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass disabled=no interface=bridge-WAN-vlan4_macspoof use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1,8.8.8.8 domain=gast.domein.nl gateway=192.168.77.1 netmask=24 ntp-server=192.168.88.1,66.175.209.17
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.4,192.168.88.1,8.8.8.8 domain=domein.nl gateway=192.168.88.1 netmask=24 ntp-server=192.168.88.1,66.175.209.17
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=1024KiB query-server-timeout=1s query-total-timeout=3s servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=192.168.77.0/24 src-address=192.168.88.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=192.168.88.0/24 src-address=192.168.77.0/24
add action=fasttrack-connection chain=forward comment="use fasttrack" connection-state=established,related
add action=accept chain=forward comment="default configuration (FORWARD Established, Related)" connection-state=established,related
add action=drop chain=forward comment="default configuration (DROP other)" connection-state=invalid log-prefix="DROP "
add action=accept chain=input comment="default configuration (Input established)" connection-state=established,related
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=input comment="default configuration (DROP other)" in-interface=pppoe log-prefix=DROP
/ip firewall nat
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-vlan4_macspoof
add action=masquerade chain=srcnat comment="default configuration - NAT-ether1-gateway" out-interface=pppoe src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" out-interface=pppoe src-address=192.168.77.0/24
/routing igmp-proxy
set query-interval=30s
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 interface=bridge-WAN-vlan4_macspoof upstream=yes
add interface=bridge-LAN

ik ga er is in duiken,
;) ik had liever de losse onder delen gezien zo als ik gemaakt heb voor BubbaNL

maar denk dat ik er wel uit ga komen.. ik laat weten of het mij gelukt is.. bedankt alvast

EDIT:
sorry werkt niet..
graag de losse onder delen. dit is niet echt werk baar. ik krijg geen internet op gaste netwerk op deze manier

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
@BubbaNL @starpc Ik denk dat we hier best kunnen helpen, maar dan is het handig als je een export van je config post ipv. enkel om een stappenplan vraagt.

Vergeet in ieder geval niet om IGMP toe te staan op je INPUT chain op de IPTV interface. Dat is impliciet in @Hmmbob's config (geen firewall op de interface, niet ideaal).

Voor wat betreft de regels van hierboven: DHCP option 60 is alleen nodig op de client richting de ISP, alle andere options kunnen weg (helemaal die broadcast opt).

Verder, die NAT-regel zou ik dst-address weghalen. Dat slaat nergens op en maakt het enkel foutgevoeliger.

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Thralas schreef op maandag 25 februari 2019 @ 18:22:
Vergeet in ieder geval niet om IGMP toe te staan op je INPUT chain op de IPTV interface. Dat is impliciet in @Hmmbob's config (geen firewall op de interface, niet ideaal).
Tx. Welke regels mis ik?

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
INPUT en FORWARD:


code:
1
2
3
4
/ip firewall filter
add action=accept chain=forward comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan-iptv protocol=udp
add action=accept chain=forward comment="LAN -> IPTV" in-interface=br-lan out-interface=vlan-iptv
add action=accept chain=input comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan-iptv protocol=igmp



Je hebt op zowel je FORWARD als INPUT chain voor je IPTV-interface nu geen firewall, vandaar dat je ze tot dusver nog niet nodig had.

FORWARD udp voor multicast is nodig vanwege de streams, heel veel netter kan die regel niet. IGMP allow op INPUT, want daar draait igmpproxy..

FORWARD eindig je wel met een DROP maar alleen op PPPoE, niet op het IPTV-vlan. Ik zou je firewall omschrijven totdat het werkt met een onvoorwaardelijke DROP aan het einde.

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Thanks, daar kan ik mee aan de slag (zodra mw Hmmbob geen tv meer kijkt :') )

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • The Executer
  • Registratie: juli 2005
  • Laatst online: 11:13
Even een vraagje: Ik had mijzelf buitengesloten van mijn MikroTik. Misschien dat sommigen het gelezen hebben in het GKMT: Ik was bezig om mijn MikroTik met SSL te beveiligen (self signed). Ik had netjes certificaten aangemaakt, deze toegekend aan WWW-SSL, WWW disabled, Winbox disabled etc. Ik zag een klein foutje in de certificaten en heb besloten alle certificaten weg te gooien... Tjah, dan kom je natuurlijk niet meer in je router :+ 8)7.

Nu heb ik gisteravond alsnog via Winbox verbinding kunnen maken, ondanks dat de service disabled was. Verschil was dat ik via Windows via Neighbourhood ben gegaan en op MAC-adres heb verbonden i.p.v. regulier via IP-adres. Ik wist überhaupt niet dat dit mogelijk was. Ik neem aan dat dit via internet niet te misbruiken is?

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Dat kun je in de default configuration nazien (let op: deze is wel afhankelijk van de gekozen router mode in quickset of caps mode)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[admin@MikroTik] > /system default-configuration print 
    script: #| RouterMode:
            #|  * WAN port is protected by firewall and enabled DHCP client
            #|  * Ethernet interfaces (except WAN port ether1) are part of LAN bridge

             [...]

             /interface list add name=WAN comment="defconf"
             /interface list add name=LAN comment="defconf"

             [...]

             /interface list member add list=LAN interface=bridge comment="defconf"
             /interface list member add list=WAN interface=ether1 comment="defconf"

             [...]

               /ip neighbor discovery-settings set discover-interface-list=LAN
               /tool mac-server set allowed-interface-list=LAN
               /tool mac-server mac-winbox set allowed-interface-list=LAN


By-default is mac access alleen toegestaan vanaf je LAN-bridge, alle poorten behalve ether1.

Zaak dus om even te controleren of je running config goed is afgeschermd :)

En anders is het probleem beperkt, niet het hele internet heeft L2-access naar jouw router. Hooguit de provider en/of bedrijven op een (niet zo strak afgestelde) access switch, wat helaas nog wel eens voorkomt.

nescafe wijzigde deze reactie 27-02-2019 10:34 (7%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • joenevd
  • Registratie: januari 2007
  • Laatst online: 12:54
Iemand hier ervaring met het gebruik van passive poe?

Ik ben geïnteresseerd in de Mikrotik Hex S (RB760iGS).
Deze heeft een poort met Passive PoE.

Nu zou ik ook graag een Ubiquiti AP-AC Lite willen aanschaffen die door de Mikrotik gevoed wordt.

Nu zag ik al dat de Ubiquiti 24 volt nodig heeft en er een 24 volt adapter meegeleverd wordt met de Mikrotik. Daarnaast kan de Mikrotik tot 57volt leveren via Passive PoE.

Betekend dit dat het gewoon gaat werken?
Moet er een sterkere stroomadapter aangeschaft worden?
Kan je het voltage op de PoE poort instellen?

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@joenevd geen ervaring mee.
Maar ik zie bij de mikrotik apparatuur allemaal staan voeding input van 8-30V dus 24v zou geen probleem moeten zijn, en moet het gewoon werken.

SpikeHome wijzigde deze reactie 28-02-2019 10:19 (8%)

PV1 2750wp woning en PV2 2450wp garage


  • The Executer
  • Registratie: juli 2005
  • Laatst online: 11:13
nescafe schreef op woensdag 27 februari 2019 @ 10:33:
Dat kun je in de default configuration nazien (let op: deze is wel afhankelijk van de gekozen router mode in quickset of caps mode)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[admin@MikroTik] > /system default-configuration print 
    script: #| RouterMode:
            #|  * WAN port is protected by firewall and enabled DHCP client
            #|  * Ethernet interfaces (except WAN port ether1) are part of LAN bridge

             [...]

             /interface list add name=WAN comment="defconf"
             /interface list add name=LAN comment="defconf"

             [...]

             /interface list member add list=LAN interface=bridge comment="defconf"
             /interface list member add list=WAN interface=ether1 comment="defconf"

             [...]

               /ip neighbor discovery-settings set discover-interface-list=LAN
               /tool mac-server set allowed-interface-list=LAN
               /tool mac-server mac-winbox set allowed-interface-list=LAN


By-default is mac access alleen toegestaan vanaf je LAN-bridge, alle poorten behalve ether1.

Zaak dus om even te controleren of je running config goed is afgeschermd :)

En anders is het probleem beperkt, niet het hele internet heeft L2-access naar jouw router. Hooguit de provider en/of bedrijven op een (niet zo strak afgestelde) access switch, wat helaas nog wel eens voorkomt.
Bedankt voor je hele snelle reactie! Ik wist niet precies waar ik dit zo snel kon vinden, mijn Google skills waren beetje FFFFFUUUU. Ik heb het nagekeken en deze staat inderdaad op default, oftewel LAN.

Heb direct ook overige wijzigingen doorgevoerd, door de WWW-service en Winbox alleen van binnenuit toe te staan. Ik heb nu alleen de WWW-SSL naar buiten open staan, met daarbovenop nog weer een acceslist. Geloof dat ik aardig veilig ben :).

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
Ik heb een (in mijn ogen) vreemd probleem met een Mikrotik Router (RB750Gr3):

Een keukenapparaat wil via wifi een ip adres verkrijgen en gebruikt daarvoor DHCP, dit werkt prima met mijn Fritzbox router en ook met mijn Ubiquiti Edgerouter Lite.

Probeer ik het echter met de RB750Gr3 dan ontstaat er een constante DHCP handshake loop:
- Keukenapparaat stuurt een discover (zichtbaar in routeros log)
- RB750Gr3 stuurt een offer (zichtbaar in routeros log)
- Keukenapparaat stuurt een request (ook zichtbaar)
- RB750Gr3 stuurt een ack (ook zichtbaar)

En dan begint het riedeltje weer opnieuw, dus dat keukenapparaat stuurt wederom een discover.

Nou zou je op basis hiervan denken dat het aan het keukenapparaat ligt, echter snap ik er dan niets meer van dat het wel werkt met de Fritzbox en de Edgerouter Lite.

Snapt iemand hier iets van?

I love it when a plan comes together!


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

daansan schreef op vrijdag 1 maart 2019 @ 21:17:
Ik heb een (in mijn ogen) vreemd probleem met een Mikrotik Router (RB750Gr3):

Een keukenapparaat wil via wifi een ip adres verkrijgen en gebruikt daarvoor DHCP, dit werkt prima met mijn Fritzbox router en ook met mijn Ubiquiti Edgerouter Lite.

Probeer ik het echter met de RB750Gr3 dan ontstaat er een constante DHCP handshake loop:
- Keukenapparaat stuurt een discover (zichtbaar in routeros log)
- RB750Gr3 stuurt een offer (zichtbaar in routeros log)
- Keukenapparaat stuurt een request (ook zichtbaar)
- RB750Gr3 stuurt een ack (ook zichtbaar)

En dan begint het riedeltje weer opnieuw, dus dat keukenapparaat stuurt wederom een discover.

Nou zou je op basis hiervan denken dat het aan het keukenapparaat ligt, echter snap ik er dan niets meer van dat het wel werkt met de Fritzbox en de Edgerouter Lite.

Snapt iemand hier iets van?
Heb je hier wat aan?

https://forum.mikrotik.com/viewtopic.php?t=7822

Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
daansan schreef op vrijdag 1 maart 2019 @ 21:17:
Nou zou je op basis hiervan denken dat het aan het keukenapparaat ligt, echter snap ik er dan niets meer van dat het wel werkt met de Fritzbox en de Edgerouter Lite.

Snapt iemand hier iets van?
Niet zonder glazen bol.

Even een pcap maken van de Edgerouter en MikroTik, en dan vergelijken maar.

  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
Thralas schreef op vrijdag 1 maart 2019 @ 22:16:
[...]


Niet zonder glazen bol.

Even een pcap maken van de Edgerouter en MikroTik, en dan vergelijken maar.
Ik begin hier inderdaad ook al aan te denken, ga er mee aan de slag!

I love it when a plan comes together!


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
Al iemand de sprong genomen en 6.44 "Stable" uitgerold ?
Ik ben een beetje terughouden om mijn RB3011 te gaan upgraden, in de changelog een héél lange lijst met opgeloste zaken en dat is mooi, maar kan altijd een hoop nieuwe instabiliteit brengen...
Je leest alvast wel wat gekke dingen op de fora vandaar...

Op de moment draai ik 6.43.12

  • XoReP
  • Registratie: oktober 2002
  • Laatst online: 17:17
jvanhambelgium schreef op zaterdag 2 maart 2019 @ 13:46:
Al iemand de sprong genomen en 6.44 "Stable" uitgerold ?
Ik ben een beetje terughouden om mijn RB3011 te gaan upgraden, in de changelog een héél lange lijst met opgeloste zaken en dat is mooi, maar kan altijd een hoop nieuwe instabiliteit brengen...
Je leest alvast wel wat gekke dingen op de fora vandaar...

Op de moment draai ik 6.43.12
Succesvol draaiende inmiddels op:
-RB3011
-hEX S
-wAP AC
-RB751G
-RB952G
-hAP AC Lite
-CHR op ESXi
-hAP AC²

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
XoReP schreef op zaterdag 2 maart 2019 @ 19:44:
[...]


Succesvol draaiende inmiddels op:
-RB3011
-hEX S
-wAP AC
-RB751G
-RB952G
-hAP AC Lite
-CHR op ESXi
-hAP AC²
jeetje, wat voor setup heb jij in hemelsnaam :+

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • 0Henk 'm!

  • XoReP
  • Registratie: oktober 2002
  • Laatst online: 17:17
Hmmbob schreef op zaterdag 2 maart 2019 @ 20:38:
[...]
jeetje, wat voor setup heb jij in hemelsnaam :+
Onderhoud privé ook de routers/ap's van familieleden.
Mooie proeftuin zo 😉
De RB3011/wAP AC/hAP AC²/CHR zijn onderdeel van mijn home lab.
Daarnaast zakelijk ook steeds meer tikkies in omloop maar worden niet zo frequent geüpdate als mijn prive spul.

Acties:
  • 0Henk 'm!

  • Bierkameel
  • Registratie: december 2000
  • Niet online

Bierkameel

Alle proemn in n drek

jvanhambelgium schreef op zaterdag 2 maart 2019 @ 13:46:
Al iemand de sprong genomen en 6.44 "Stable" uitgerold ?
Ik ben een beetje terughouden om mijn RB3011 te gaan upgraden, in de changelog een héél lange lijst met opgeloste zaken en dat is mooi, maar kan altijd een hoop nieuwe instabiliteit brengen...
Je leest alvast wel wat gekke dingen op de fora vandaar...

Op de moment draai ik 6.43.12
Geen probleem op mijn RB3011, het zijn vooral grote ipsec changes en dat gebruik ik niet.
Ik VPN naar mn synology via port forwards maar nu hardware encryptie eindeljk in de stable zit in 6.44 ga ik dat maar eens omzetten.

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Thralas schreef op maandag 25 februari 2019 @ 18:22:
@BubbaNL @starpc Ik denk dat we hier best kunnen helpen, maar dan is het handig als je een export van je config post ipv. enkel om een stappenplan vraagt.

Vergeet in ieder geval niet om IGMP toe te staan op je INPUT chain op de IPTV interface. Dat is impliciet in @Hmmbob's config (geen firewall op de interface, niet ideaal).

Voor wat betreft de regels van hierboven: DHCP option 60 is alleen nodig op de client richting de ISP, alle andere options kunnen weg (helemaal die broadcast opt).

Verder, die NAT-regel zou ik dst-address weghalen. Dat slaat nergens op en maakt het enkel foutgevoeliger.
mijn config is

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
# mar/04/2019 09:56:37 by RouterOS 6.43.8
# software id = 
#
# model = 2011UiAS-2HnD
# serial number = 
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp fast-forward=no igmp-snooping=yes name=bridge-local
add fast-forward=no name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-gateway
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-a/g=6Mbps,54Mbps \
    disabled=no frequency=2437 mode=ap-bridge ssid="KPN 300N" \
    wireless-protocol=802.11
/interface vlan
add name="VLAN10(gast)" vlan-id=10
add interface=ether1-gateway mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway name=vlan1.6 vlan-id=6
add interface=ether1-gateway name=vlan1.7 vlan-id=7
add comment=IPTV disabled=yes interface=ether10 name=vlan10.4 vlan-id=4
add comment=internet interface=ether10 name=vlan10.6 vlan-id=6
add comment=Telefoon interface=ether10 name=vlan10.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe password=kpn \
    user=***************@internet
/interface list
add exclude=dynamic name=discover
add name=vlan
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=--------- \
    wpa2-pre-shared-key=
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=guest ranges=192.168.100.100-192.168.100.254
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1h30m \
    name=dhcp-thuis
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# no interface
add action=drop chain=forward in-interface=*24
# no interface
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local hw=no interface=ether4
add bridge=bridge-local hw=no interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local hw=no interface=ether6
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
add bridge=bridge-iptv hw=no interface=ether7
add bridge=bridge-iptv hw=no interface=ether8
add bridge=bridge-iptv hw=no interface=ether9
add bridge=bridge-iptv disabled=yes interface=*16
add bridge=bridge-local disabled=yes interface=*1A
add bridge=bridge-local disabled=yes interface=*18
add bridge=bridge-tel disabled=yes interface=*17
add bridge=bridge-local interface=ether10
add bridge=bridge-local interface=vlan10.6
add bridge=bridge-iptv interface=vlan10.4
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
add interface=vlan1.4 list=discover
add interface=vlan1.7 list=discover
add interface=vlan10.7 list=discover
add interface=bridge-iptv list=discover
add interface=bridge-tel list=discover
add list=discover
add interface=vlan10.6 list=discover
/interface wireless access-list
add ap-tx-limit=8
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1-gateway network=192.168.88.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
add add-default-route=special-classless dhcp-options=optie28 interface=\
    bridge-local use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.47 client-id=1:0:8:9b:c9:5:45 mac-address=\
    00:08:9B:C9:05:45 server=dhcp-thuis
/ip dhcp-server network
add address=1.88.192.0/24 dns-server=8.8.8.8 gateway=1.88.192.1
add address=192.168.10.0/24 dns-server=192.168.10.250 domain=thuis.local \
    gateway=192.168.10.250
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip dns static
add address=127.0.0.1 name=oneplus-shop.nl
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=udp
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=tcp
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=udp src-port=137-139
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=tcp src-port=137-139
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    --------- dst-port=80 protocol=tcp to-addresses=192.168.10.47
add action=dst-nat chain=dstnat comment=torrent dst-address=---------- \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.47
add action=dst-nat chain=dstnat comment=server dst-address==---------- \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.47
add action=masquerade chain=srcnat comment=hairpin dst-address=\
    192.168.10.0/24 src-address=192.168.10.0/24
add action=src-nat chain=srcnat comment=harpin src-address=192.168.10.47 \
    to-addresses=----------
add action=masquerade chain=srcnat comment="ROUTED IPTV" out-interface=\
    vlan1.4
/ip route
add distance=1 gateway=10.0.0.0
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add interface=ether1-gateway type=external
/lcd
set backlight-timeout=5m enabled=no touch-screen=disabled
/lcd interface pages
set 0 interfaces=sfp1,ether1-gateway,ether2,ether3,ether4,ether5
/routing igmp-proxy interface
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
add interface=bridge-local
/system clock
set time-zone-autodetect=no
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set vlan10.7 disabled=yes display-time=5s
set vlan10.6 disabled=yes display-time=5s
set vlan10.4 disabled=yes display-time=5s
set vlan1.7 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set sfp1 disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
set ether6 disabled=yes display-time=5s
set ether7 disabled=yes display-time=5s
set ether8 disabled=yes display-time=5s
set ether9 disabled=yes display-time=5s
set vlan1.6 disabled=yes display-time=5s
set ether10 disabled=yes display-time=5s
set vlan1.4 disabled=yes display-time=5s
set "VLAN10(gast)" disabled=yes display-time=5s
set pppoe disabled=yes display-time=5s
set bridge-local disabled=yes display-time=5s
set bridge-iptv disabled=yes display-time=5s
set bridge-tel disabled=yes display-time=5s
/tool user-manager database
set db-path=user-manager



ik ga over op een RB4011 wifi model. maar daar zit een gelijke config in..

ik zou een gaste net willen hebben maar ben op zit moment een betje onzeker geworden. want ik ben laast dus ook buiten geloten door de router. en kon gelukkig . via een laptop die ook in netwerk draaid.. nog wel de config terug zetten.

en heb ook een heel klein ding..
als ik iets download ( ja wat niet mag) dan gaat de ITV stotteren

starpc wijzigde deze reactie 14-03-2019 22:36 (3%)


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
Ik heb een 962UiGS-5HacT2HnT gekocht en dankzij de config op netwerkje.com IPv4 heb ik onderstaande config gemaakt welke werkt met KPN Glasvezel, IPTV en Telefonie gebruik ik niet.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
# mar/05/2019 12:52:19 by RouterOS 6.42.7
# software id = LX9S-J89A
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7709E2221B
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp loop-protect=off
set [ find default-name=ether2 ] speed=1Gbps
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=4 band=2ghz-g/n channel-width=20/40mhz-eC country=netherlands disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik2.4Ghz \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=4 band=5ghz-a/n/ac country=netherlands disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik5Ghz tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client password=1234 user=mac@internet
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=--------- wpa2-pre-shared-key=key
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=thuisnetwerk ranges=192.168.1.10-192.168.1.99
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=1h30m name=dhcp-thuis
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan2
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=thuis.local gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
# no interface
add action=accept chain=input in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
# no interface
add action=reject chain=input in-interface=pppoe-client protocol=tcp reject-with=icmp-port-unreachable
# no interface
add action=reject chain=input in-interface=pppoe-client protocol=udp reject-with=icmp-port-unreachable
/ip firewall nat
# no interface
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-client src-address=192.168.0.0/16
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe-client type=external
/system clock
set time-zone-name=Europe/Amsterdam
/system routerboard settings
set silent-boot=no


Hebben jullie nog aan/opmerkingen hierop, mis ik mogelijk nog security instellingen?

Verder valt de wifi tegen, op de begaande grond is nog wel oke, maar zodra ik de trap op ga gaat het behoorlijk naar beneden. Op de 2e verdieping valt het signaal helemaal weg.

Zijn daar mogelijk nog instellingen voor zodat ik beter bereik heb of moet ik er maar aan denken om nog een MikroTik te plaatsen, bijvoorbeeld op de tweede verdieping waar al een UTP kabel ligt en welke dan?
Nog een tweede 962UiGS-5HacT2HnT of MikroTik hAP ac2 of iets anders, over de hAP ac2 lees ik tegenvallende wifi berichten?

Om een idee te geven als ik een scan doe over hoeveel access points er hier zijn kom ik afhankelijk waar ik precies sta rond de 25 stuks. Heb al gelezen dat een scan doen en dan het beste kanaal kiezen kan werken, maar dat zie ik niet geregeld krijgen :p

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Je kunt hem in ieder geval nog een keer updaten en ik zou nog een keer terug naar de default config.

Waarom? Al die optimalisaties op wireless zijn in den beginne niet nodig, zeker als je problemen hebt doe je er verstandig aan naar de basis te gaan (alleen country).

De nieuwe config maakt gebruik van een degelijke firewall met interface lists, het is dan alleen nog een kwestie van je interne range instellen via quickset (als dat werkt), vlan + pppoe-client toevoegen aan WAN en je kunt gaan (of dat moet ook met quickset kunnen..).

Op dit moment heb je maar enkele selectieve input drop rules en geen forward chain firewalling.

Routing en hotspot package kun je disablen/uninstallen wegens niet nodig.

Proxy-arp op bridge-local kan nodig zijn om ppp-clients in hetzelfde subnet toegang te geven tot je interne netwerk maar proxy-arp op ether1 lijkt onnodig en onwenselijk.

Tip: met /export hide-sensitive kun je automatisch secrets filteren uit je script.

Oh, zet ook even een administrative mac op je bridge. Dat mag de huidige waarde zijn, maar zorgt ervoor dat hij niet wijzigt tussen reboots.

nescafe wijzigde deze reactie 05-03-2019 13:39 (7%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
@nescafe Zojuist een update gedaan naar v6.44 ga straks eens een nieuwe config maken, gewoon de config pakken die ook op netwerkje.com staat die is heel basic volgens mij en voeg ik alleen nog mijn wlan1 & 2 toe zonder de optimalisaties?

Verder hoe zet ik een administrative mac op mijn bridge?

Ondertussen ben ik de MikroTik een beetje door het huis aan het verplaatsen om te kijken wat een goede plek ik voor eventueel een tweede. Hoe dan ook als met één blijf werken heb ik op de 2e verdieping geen signaal meer, dus dat wordt er nog één extra plaatsen op de 1e of 2e verdieping.

Ook zijn de speedtest die ik doe op https://kpn-itns.speedtestcustom.com/ raar, de downlaod snelheid valt 9 van 10x een stuk lager uit dan ik zou verwachten, namelijk rond de 70Mbps de upload zit telkens tussen de 200 en 250Mbps. Ik heb een 200/200 glasvezel verbinding, de test doe ik trouwens via de utp kabel dus niet via wifi ;)

FabiandJ wijzigde deze reactie 05-03-2019 15:03 (22%)


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Excuses, ik had het niet duidelijk verwoord. Met basis config bedoel ik uitdrukkelijk de default configuration. Dus de configuratie die je na een reset configuration krijgt.

De config op netwerkje.com is gebaseerd op oudere default configs en daar ontbreken de genoemde zaken in, dus ik zou deze niet opnieuw als basis pakken, alleen de zaken eruit pikken die op KPN van toepassing zijn.

Voor wat betreft de administrative mac; je bent vrij om daarop te Googlen en/of rond te klikken in WinBox (Bridge > bridge-local).

Twee verdiepingen lijkt overigens wat opportunistisch (voor elke wireless router), kun je de router niet op de 1e verdieping plaatsen?

Edit: ook de snelheid zal met de nieuwe default config hoger uitvallen door het standaard ingeschakeld zijn van fasttrack.

nescafe wijzigde deze reactie 05-03-2019 15:09 (7%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
@nescafe Ah oke, zal er straks even mee verder gaan.

De router kan helaas niet op de 1e verdieping staan, op de begaande grond staat ook wat apparatuur wat ik met utp verbonden heb, als de router op de 1e verdieping staat kom ik niet meer beneden :p

Denk dat er eigenlijk niks anders op zit dan een tweede MikroTik erbij te plaatsen, ben er alleen nog niet uit welke dit dan gaat worden.

  • WeaZuL
  • Registratie: oktober 2001
  • Laatst online: 13-12 11:07

WeaZuL

Try embedded, choose ARM!

FabiandJ schreef op dinsdag 5 maart 2019 @ 15:40:
@nescafe Ah oke, zal er straks even mee verder gaan.

De router kan helaas niet op de 1e verdieping staan, op de begaande grond staat ook wat apparatuur wat ik met utp verbonden heb, als de router op de 1e verdieping staat kom ik niet meer beneden :p

Denk dat er eigenlijk niks anders op zit dan een tweede MikroTik erbij te plaatsen, ben er alleen nog niet uit welke dit dan gaat worden.
Ik heb op de begane grond en eerste verdieping een RBwAPG-5HacT2HnD hangen. Werkt aardig, plaatsing van de APs is hierbij wel van belang, Ik heb op zolder een RB962UiGS-5HacT2HnT liggen, werkt op zich goed maar blinkt niet uit in wifi. Ik heb het idee dat dat ook te maken heeft met de plaatsing, hij ligt momenteel op een bureau, met 5 CAT6 kabels aangesloten is het nog niet zo makkelijk om deze aan de muur te hangen.

Vooralsnog zijn mijn bevindingen dat losse AP's icm een aparte switch/router beter resultaat geven als een switch/router met ingebouwde wifi. Maakt het geheel wel wat duurder en configuratie benodigd wat aandacht/voorbereiding, echter bevalt het hier goed en zijn er geen klachten.
Ik las op het MT forum dat men issues had met roaming tussen de AP's maar heb hier geen problemen mee. De wireless clients schakelen zelf tussen de AP's en blijven niet "plakken" is hier de ervaring.

WeaZuL wijzigde deze reactie 05-03-2019 17:00 (3%)

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
Is hier eigenlijk niemand die problemen heeft met een "lage" upload bij PPPoE ??? (+- 50% van capaciteit)
Mijn RB3011, gisteren naar de laatste 6.44 gebracht heeft al langer dit fenomeen, ik had het opgelost (alhoewel ik niet meer weet hoe) en m'n upload WAN redelijk stabiel 28Mbps
D
e laatste dagen niet meer hoger te krijgen als 13Mbps !!

Download is geen probleem, ik haal zowat de max dat m'n xDSL kan leveren, zo'n 92Mbps en daarbij beweegt de CPU van de RB3011 niet eens (1%)

Meting via verschillende "speedtest" websites.

En het gekke is, als ik op de Mikrotik zelf bij tool -> ping speed een testje doe naar 1.1.1.1 of 8.8.8.8 haal ik wel 30-33Mbps. Dus het "ligt" ook niet bij de ISP.
Ik zie ook netjes tijdens de PPPoE negotiatie dat een MTU van 1480 afgesproken worden.

Op de fora zijn héél veel postings rond "PPPoE slow upload" of "PPPoE half speed" etc,etc te vinden maar eigenlijk geen consistente oplossing...erg bizar.

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Probeer eens een udp speedtest naar een test server met verschillende packetgroottes (binnen 2 minuten ivm autoban).

Mocht dit het probleem zijn, dan kan een expliciete mtu-clamping rule helpen. MT heeft deze een tijd geleden standaard ingebouwd maar het werkt niet altijd lekker.


code:
1
2
3
4
5
/ip firewall mangle
add action=change-mss chain=forward in-interface=all-ppp new-mss=clamp-to-pmtu \
    passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=all-ppp \
    passthrough=yes protocol=tcp tcp-flags=syn

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
@nescafe Ik heb nu de default config gepakt en hier voor zo ver ik weet de settings ingezet voor de KPN Glasvezel. Als ik nu in de terminal een ping google.nl doe krijg ik een response, maar op de laptop welke op ether2 zit niet. Denk dat er ergens iets fout zit in het bridge/DHCP deel, maar ik kan het niet vinden. Misschien jij of iemand anders wel?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
# mar/05/2019 19:40:52 by RouterOS 6.44
# software id = LX9S-J89A
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7709E2221B
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 loop-protect=off
set 1 arp=enabled auto-negotiation=yes disabled=no full-duplex=yes l2mtu=1598 mtu=1500 name=ether2 speed=1Gbps
/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/ppp profile
set *0 only-one=yes use-compression=yes use-upnp=no use-ipv6=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no use-ipv6=yes
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client password=1234 profile=default user=xxxxxxxxx@internet
/interface bridge
add name=bridge arp=proxy-arp
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-354795 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-354794 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 disable=no comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=2048KiB max-udp-packet-size=4096 servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input disabled=no in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
add action=reject chain=input in-interface=pppoe-client protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp reject-with=icmp-port-unreachable
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Acties:
  • +1Henk 'm!

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
nescafe schreef op dinsdag 5 maart 2019 @ 13:27:
De nieuwe config maakt gebruik van een degelijke firewall met interface lists, het is dan alleen nog een kwestie van je interne range instellen via quickset (als dat werkt), vlan + pppoe-client toevoegen aan WAN en je kunt gaan (of dat moet ook met quickset kunnen..).
Met het vetgedrukte bedoel ik: voeg de twee interfaces toe aan je WAN-lijst:

code:
1
2
3
/interface list member
add comment=defconf interface=name=vlan1.6 list=WAN
add comment=defconf interface=name=pppoe-client list=WAN


Hierdoor zal je masquerade rule weer in werking treden en heb je je firewalling meteen op orde.
Dan zou je in principe verbinding moeten hebben.

code:
1
2
3
4
5
6
/ip firewall filter
add action=accept chain=input disabled=no in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
add action=reject chain=input in-interface=pppoe-client protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp reject-with=icmp-port-unreachable


Deze regels voegen niks toe aan de default config en kunnen weg.
Proxy-arp op bridge-local kan nodig zijn om ppp-clients in hetzelfde subnet toegang te geven tot je interne netwerk maar proxy-arp op ether1 lijkt onnodig en onwenselijk.
Je hebt wederom proxy-arp op ether1 en bridge ingeschakeld.. waarom?
Tip: met /export hide-sensitive kun je automatisch secrets filteren uit je script.
Deze heb je zo te zien gemist..
Oh, zet ook even een administrative mac op je bridge. Dat mag de huidige waarde zijn, maar zorgt ervoor dat hij niet wijzigt tussen reboots.
Deze heb je ook gemist.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
nescafe schreef op dinsdag 5 maart 2019 @ 18:42:
Probeer eens een udp speedtest naar een test server met verschillende packetgroottes (binnen 2 minuten ivm autoban).

Mocht dit het probleem zijn, dan kan een expliciete mtu-clamping rule helpen. MT heeft deze een tijd geleden standaard ingebouwd maar het werkt niet altijd lekker.


code:
1
2
3
4
5
/ip firewall mangle
add action=change-mss chain=forward in-interface=all-ppp new-mss=clamp-to-pmtu \
    passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=all-ppp \
    passthrough=yes protocol=tcp tcp-flags=syn

Had ondertussen voor IPv4 terug wat mss-clamping rules actief gezet zoals je hierboven aanhaalt, aan de counters te zien zijn er wel hits. Maar het "verschijnsel" is niet weg hoor. Ondertussen met de btest-servers getest en idd hij blijft gewoon "steken" en ik verwacht om sneller te kunnen...
Heb zowel wat UDP als TCP getest, dus tja.






Ik ga alsnog proberen om een PC aan de modem/router van de provider te hangen om de RB3011 effe te bypassen en zien wat dat doet...

** EDIT **
Net direct een andere PC rechtstreeks op de ISP modem/router gehangen en klassieke Speedtest gedaan ... verdorie ook maar 13Mbps upload ...
Dan moet het toch ergens ISP zijn. Nu ik weet dat de Vectoring/DLM dynamisch is en m'n lijn heeft er 4 uur uitgelegen na spanningswerking in de wijk ... mischien zit ik nog niet op het goede profiel ... ik ga even afwachten...

jvanhambelgium wijzigde deze reactie 05-03-2019 20:43 (11%)


Acties:
  • +1Henk 'm!

  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
nescafe schreef op dinsdag 5 maart 2019 @ 19:58:
[...]

Met het vetgedrukte bedoel ik: voeg de twee interfaces toe aan je WAN-lijst:

code:
1
2
3
/interface list member
add comment=defconf interface=name=vlan1.6 list=WAN
add comment=defconf interface=name=pppoe-client list=WAN


Hierdoor zal je masquerade rule weer in werking treden en heb je je firewalling meteen op orde.
Dan zou je in principe verbinding moeten hebben.

code:
1
2
3
4
5
6
/ip firewall filter
add action=accept chain=input disabled=no in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
add action=reject chain=input in-interface=pppoe-client protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp reject-with=icmp-port-unreachable


Deze regels voegen niks toe aan de default config en kunnen weg.


[...]

Je hebt wederom proxy-arp op ether1 en bridge ingeschakeld.. waarom?

[...]

Deze heb je zo te zien gemist..

[...]

Deze heb je ook gemist.
Thanks, dat was het, bij jou /interface list member moest wel de name= eruit :)
Door te bouwen vanaf deze default config klopt de wifi ook weer, als ik nu naar de 2.4Ghz connect geeft die 150Mbps aan, en pak ik de 5Ghz geeft die 433Mbps aan, dit was veel lager.

Deze heb ik er ook ingezet, zoals je voorstelde:

code:
1
2
/interface bridge
add admin-mac=B8:69:F4:35:47:8F auto-mac=no comment=defconf name=bridge

FabiandJ wijzigde deze reactie 05-03-2019 20:27 (5%)


  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
Thralas schreef op vrijdag 1 maart 2019 @ 22:16:
[...]


Niet zonder glazen bol.

Even een pcap maken van de Edgerouter en MikroTik, en dan vergelijken maar.
@Thralas ik heb gevonden waar het aan lag, maar snap er nog niet veel van.
Mijn edge router had ik geconfigureerd om Google's 8.8.8.8 DNS server mee te sturen naar de DHCP clients, daar werkt het prima mee.

Mijn Mikrotik had ik geconfigureerd om zijn eigen interne IP adres mee te sturen naar de DHCP clients, en DNS forwarding te gebruiken naar de DNS servers van XS4ALL - dus niet die van Google... Hier werkt het dus niet mee.

Nu in de mikrotik een DHCP Option Set gemaakt met een Option op Code 6 (DNS Server) en die option set toegepast op een static lease voor het betreffende apparaat... En voila, het werkt weer.

In de packet capture is vooral een verschil te zien dat het antwoord op een name resolve anders is, de setup op de edge router had hostnames in hoofdletters, de Mikrotik gaf hostnames in kleine letters... Voor de rest deden beide name resolves het gewoon wel goed.

Dus of het nou case sensitivity is, of dat het ligt aan het feit dat ik DNS forwarding toepaste, ik vind het werkelijk vreemd :?

I love it when a plan comes together!


  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
Dat bleek al gefixt te zijn in mijn firmware lijkt het... heb het probleem wel weten te lokaliseren, zie mijn post hierboven. Thanks!

I love it when a plan comes together!


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
WeaZuL schreef op dinsdag 5 maart 2019 @ 16:57:
[...]


Ik heb op de begane grond en eerste verdieping een RBwAPG-5HacT2HnD hangen. Werkt aardig, plaatsing van de APs is hierbij wel van belang, Ik heb op zolder een RB962UiGS-5HacT2HnT liggen, werkt op zich goed maar blinkt niet uit in wifi. Ik heb het idee dat dat ook te maken heeft met de plaatsing, hij ligt momenteel op een bureau, met 5 CAT6 kabels aangesloten is het nog niet zo makkelijk om deze aan de muur te hangen.

Vooralsnog zijn mijn bevindingen dat losse AP's icm een aparte switch/router beter resultaat geven als een switch/router met ingebouwde wifi. Maakt het geheel wel wat duurder en configuratie benodigd wat aandacht/voorbereiding, echter bevalt het hier goed en zijn er geen klachten.
Ik las op het MT forum dat men issues had met roaming tussen de AP's maar heb hier geen problemen mee. De wireless clients schakelen zelf tussen de AP's en blijven niet "plakken" is hier de ervaring.
Ik heb mijn RB962UiGS-5HacT2HnT nu in de meterkast liggen, in vergelijking met de ExperiaBox v9 van KPN is het bereik een stuk beter. Helaas net niet voldoende om ook op de 2e verdieping overal bereik te hebben. Daarom een extra RB962UiGS-5HacT2HnT besteld om daar te plaatsen en aan te sluiten op de utp kabel die er al ligt. Geen idee alleen nog hoe ik dit precies moet configureren :)

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Wow, had je extra poorten nodig? :) Een cAP ac had prima gekund (en heeft 1 doorluspoort).

Het configureren kun je al voorbereiden door CAPsMAN te configureren op je huidige router. Bij alle volgende MikroTiks die je in huis haalt, houd je de resetknop even 10 seconden ingedrukt en voila, hij neemt de settings zo over.

https://wiki.mikrotik.com/wiki/Manual:CAPsMAN


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=MySecurity passphrase=Password123
/caps-man configuration
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig security=\
    MySecurity ssid=MySSID
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=MyConfig
# Koppelen eigen wlan aan CAPsMAN
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
nescafe schreef op woensdag 6 maart 2019 @ 12:24:
Wow, had je extra poorten nodig? :) Een cAP ac had prima gekund (en heeft 1 doorluspoort).

Het configureren kun je al voorbereiden door CAPsMAN te configureren op je huidige router. Bij alle volgende MikroTiks die je in huis haalt, houd je de resetknop even 10 seconden ingedrukt en voila, hij neemt de settings zo over.

https://wiki.mikrotik.com/wiki/Manual:CAPsMAN


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=MySecurity passphrase=Password123
/caps-man configuration
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig security=\
    MySecurity ssid=MySSID
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=MyConfig
# Koppelen eigen wlan aan CAPsMAN
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2

Er bestaat een kans dat ik de 2e MikroTik eventueel eerst op de 1e verdieping zet, dan moet ik de LAN porten meteen gebruiken voor 2 PC's en eventueel 2 Laptop's die in deze ruimte komen en dan zijn de porten alweer vol :+

Ik kon bovenstaande config zo overnemen en in de MikroTik laden? De passphrase=Password123 moet ik natuurlijk veranderen in iets anders. Hoe zit het met de ssid ik heb namelijk nu een 2.4G en 5G en beide hebben een eigen naam, die neemt die door de config hierboven meteen over?

Acties:
  • +2Henk 'm!

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Voor 2.4G/5G zou het er als volgt uit kunnen zien:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=MySecurity passphrase=Password123
/caps-man configuration
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-2G security=\
    MySecurity ssid=MySSID-2G
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-5G security=\
    MySecurity ssid=MySSID-5G
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    MyConfig-2G name-format=prefix-identity name-prefix=2G
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    MyConfig-5G name-format=prefix-identity name-prefix=5G
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2



(Onderscheid radio's d.m.v. hw-supported-modes)


Edit:

Ik zie overigens dat je ether1 voor wan gebruikt, dus op beide devices de SFP-poort vrij hebt. Prachtige mogelijkheid om beide devices te trunken met twee SFP's en een glasvezelkabel die je voor een prikkie bij fs.com kunt kopen. Heb je weer twee UTP-poorten vrij :)

nescafe wijzigde deze reactie 06-03-2019 15:25 (11%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • bundit
  • Registratie: september 2014
  • Laatst online: 13-12 19:45
Heeft hier toevallig iemand ervaring met de RB4011iGS+RM en IPv6 (Tweak als provider, dus dit is een 6rd tunnel opzet, DHCPv6 Rapid Commit)?

De RB4011iGS+RM heeft volgens de specs geen problemen voor 1 Gigabit throughput, ik verwacht wel dat bij de testen fastpath gebruikt is. Echter is er voor IPv6 geen fastpath beschikbaar, dus ik heb geen idee of 1 Gigabit throughput realistisch is voor IPv6 gezien dit dan compleet door de CPU gaat.

Het zou fijn zijn als iemand hier iets nuttigs over kan zeggen, of is dit überhaupt geen probleem voor de RB4011iGS+RM?

Ik heb nog een gele S-53LC20D transceiver (rx:1310, tx:1550) liggen welke ik hiervoor wil gebruiken. Dit lijkt me geen probleem gezien fritzbox de volgende output geeft én een tx van 1550nm dus zou moeten werken...:
Wavelength sent 1310 nm
Wavelength received 1490 / 1550 nm

Mocht de RB4011iGS+RM hiervoor ongeschikt zijn, dan verneem ik graag jullie advies voor een andere Mikrotik. ;)

  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
@bundit, mag geen probleem zijn. Hangt natuurlijk van je config af, maar hier zie test-results :

https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults

Zelfs met 25 IP-filtering rules, geen fastpath en 512byte packetsize toch nog 2.5Gbits/sec
Ga je continue erg kleine 64bytes packets versturen met 25 IP-filter rules haal je nog maar 289Mbits

Bovengenoemde is voor IPv4 blijkbaar, maar ik merk vb geen verschil hier IPv4/IPv6 (geen RB4011 maar de RB3011)

jvanhambelgium wijzigde deze reactie 06-03-2019 20:08 (13%)


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
nescafe schreef op woensdag 6 maart 2019 @ 15:22:
Voor 2.4G/5G zou het er als volgt uit kunnen zien:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=MySecurity passphrase=Password123
/caps-man configuration
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-2G security=\
    MySecurity ssid=MySSID-2G
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-5G security=\
    MySecurity ssid=MySSID-5G
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    MyConfig-2G name-format=prefix-identity name-prefix=2G
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    MyConfig-5G name-format=prefix-identity name-prefix=5G
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2



(Onderscheid radio's d.m.v. hw-supported-modes)


Edit:

Ik zie overigens dat je ether1 voor wan gebruikt, dus op beide devices de SFP-poort vrij hebt. Prachtige mogelijkheid om beide devices te trunken met twee SFP's en een glasvezelkabel die je voor een prikkie bij fs.com kunt kopen. Heb je weer twee UTP-poorten vrij :)
Krijg je met deze settings wel dat de Mikrotik clients richting de 5GHz pusht waar mogelijk? OMdat het 2 verschillende SSIDs zijn?

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Nope, MT ondersteunt geen band steering. Je kunt hooguit je zendvermogen op 2.4 Ghz wat terugschroeven.

Ik gebruik zelf verschillende SSID's zodat ik de clients kan laten kiezen (domotica op 2.4 Ghz, mobiele apparaten op 5 Ghz).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • FabiandJ
  • Registratie: oktober 2001
  • Niet online
nescafe schreef op woensdag 6 maart 2019 @ 15:22:
Voor 2.4G/5G zou het er als volgt uit kunnen zien:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=MySecurity passphrase=Password123
/caps-man configuration
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-2G security=\
    MySecurity ssid=MySSID-2G
add country=netherlands datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes mode=ap name=MyConfig-5G security=\
    MySecurity ssid=MySSID-5G
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    MyConfig-2G name-format=prefix-identity name-prefix=2G
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    MyConfig-5G name-format=prefix-identity name-prefix=5G
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2



(Onderscheid radio's d.m.v. hw-supported-modes)


Edit:

Ik zie overigens dat je ether1 voor wan gebruikt, dus op beide devices de SFP-poort vrij hebt. Prachtige mogelijkheid om beide devices te trunken met twee SFP's en een glasvezelkabel die je voor een prikkie bij fs.com kunt kopen. Heb je weer twee UTP-poorten vrij :)
Klopt inderdaad dat ik de SFP porten op beide niet gebruik, je bedoeld dan neem ik aan beide MikroTik's met elkaar verbinden over glasvezel?

Ik heb bovenstaande config erin gezet en inderdaad met het indrukken van de reset knop voor 10 seconden nam die het over. Maar er zit geen wachtwoord op het 2G en 5G kanaal welke toegevoegd zijn :?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
[admin@MikroTik] > export hide-sensitive
# mar/07/2019 10:41:01 by RouterOS 6.44
# software id = LX9S-J89A
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7709E2221B
/caps-man configuration
add country=no_country_set datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap name=MyConfig-2G ssid=MikroTik-2G
add country=no_country_set datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap name=MyConfig-5G ssid=MikroTik-5G
/interface bridge
add admin-mac=B8:69:F4:35:47:8F auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp loop-protect=off
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-5G wireless-protocol=802.11
/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=xxxxxxxxx@internet
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=MySecurity
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=MyConfig-2G name-format=prefix-identity name-prefix=2G
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=MyConfig-5G name-format=prefix-identity name-prefix=5G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=vlan1.6 list=WAN
add comment=defconf interface=pppoe-client list=WAN
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=thuis.local gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Pagina: 1 ... 19 20 21 Laatste


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische voertuigen

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True