Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Er staat geen security=MySecurity in je capsman configuration, je kunt CAPS ook activeren op je CAPsMAN controller (scheelt de dubbele configuratie, /interface wireless en /capsman) en je hebt nog steeds proxy-arp ingeschakeld op ether1..?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Jona1990
  • Registratie: november 2016
  • Laatst online: 24-10 21:55
Mijn oude Sonicwall TZ 215 heeft het begeven en ik wil graag overstappen naar MikroTik. We hebben een lange geschiedenis van problemen met VoIP en onze VoIP-provider is groot fan van MikroTik. Ik twijfel echter tussen twee modellen, namelijk:

https://mikrotik.com/product/rb4011igs_rm
https://mikrotik.com/product/CCR1016-12G

Reden dat deze mijn voorkeur hebben is de rack mount en dat ik dankzij de hoeveelheid poorten het aantal switches tussen VoIP-telefoons en router minimaal kan houden. Ik twijfel echter alleen nog over de power die ik nodig heb.

Het gaan om een netwerk waar we met ~17 man op zitten, dus 17 computers, 17 VoIP-telefoons, de nodige printers, een pinapparaat, een paar Raspberry's en een drietal IP-camerasystemen. Belangrijk is dat telefoonie key is: sales/support is onze kernbusinness en op elk gegeven moment zijn er minstens 5 mensen aan het telefoneren. QoS (ik denk via mangle en simple queues?) gaat dan ook zeker aan.

Mijn Sonicwall was dual core met 512 MB RAM. Ik ga er met quad core 1,4 GHz 1 GB RAM of 16 core 1,2 GHz dus sowieso op vooruit. Maar ik vraag me af of die laatste wellicht niet gewoon overkill is en ik beter het geld kan besparen, al heb ik geen zin om tegen problemen aan te lopen als ons netwerk groeit. Maar ik heb erg weinig feeling met welke specs nou precies nodig zijn.

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@Jona1990 waarom zou je niet gelijk met wifi de 4011 nemen
https://mikrotik.com/product/rb4011igs_5hacq2hnd_in

PV1 2750wp woning en PV2 2450wp garage


Acties:
  • +1Henk 'm!

  • Jona1990
  • Registratie: november 2016
  • Laatst online: 24-10 21:55
Omdat we ons bedrijfsnetwerk volledig bekabeld willen houden :) We hebben een tweede internetverbinding met TP-Link Archer C3200 zodat iedereen op zijn telefoon kan Facebooken. Bovendien zit de serverruimte een stuk verderop, dus dan zouden we alsnog met access points moeten gaan werken.

Jona1990 wijzigde deze reactie 08-03-2019 11:29 (12%)


Acties:
  • +3Henk 'm!

  • Quindor
  • Registratie: augustus 2000
  • Laatst online: 08-12 18:01

Quindor

Switching the universe....

Wow, hoe heb ik gemist dat er een dedicated Mikrotik topic is! :O

Ik draai inmiddels al enkele jaren op een CCR1009 met daaraan via 10Gbit DAC gekoppeld 2xCRS226! Verder maak ik gebruik van 5x wAP AC's in en om het huis in een CAPSman setup!

Super spul en erg tevreden over! Beetje lastiger om mee te beginnen dan bijvoorbeeld Ubiquiti maar zoveel flexibeler is mijn ervaring. Ik heb erg veel WiFi Domotica apparaten in huis maar zelfs met 25 ESP's online werkt alles nog steeds super.

Als uitbreiding heb ik deze week een CRS309 toegevoegd voor 8x SFP+ 10Gbit die ik met RJ-45 koper SFP+ module (2x CAT7 voor servers ergens anders in het huis) en DAC connecties (Router, switches, desktop) gebruik. Werkt brilliant out-of-the-box, zeker een aanrader voor thuis omdat hij passief gekoeld is en voor een 10Gbit switch erg weinig stroom verbruikt!

Voor de mensen die het interessant vinden en eventueel ook op zoek zijn naar 10Gbit voor thuis heb ik een video gemaakt die de verschillende kabel standaarden uitlegt en ik pak de nieuwe CRS309 uit, neem een kijkje van binnen en plaats deze in mijn rack! :)



Dit topic staat hoe dan ook nu in mijn te volgen lijst! :D

Intermit.Tech YouTube Kanaal, Intermit.Tech Blog, Mijn vakantie CampZone


Acties:
  • +1Henk 'm!

  • Quindor
  • Registratie: augustus 2000
  • Laatst online: 08-12 18:01

Quindor

Switching the universe....

Jona1990 schreef op vrijdag 8 maart 2019 @ 11:17:
QoS (ik denk via mangle en simple queues?) gaat dan ook zeker aan.
Als je hiermee aan de slag wilt is voldoende power zeker aan te raden want daarmee vervallen enkele "hardware versnelde" opties, de RB4011 zoals voorgesteld is op dit moment een heel erg mooi apparaat dat je veel power geeft tegen een vriendelijke prijs zo lang het totale internetverkeer onder de Gigabit blijft zit je hiermee goed (ook als je van zware opties gebruikt wilt maken). Voor specifieke doeleinden is een CCR aan te raden maar voor jou situatie naar mijn mening niet.

Omdat je het zakelijk wilt gebruiken wordt echter een fatsoenlijke rackmount en dubbele voeding wel gewaardeerd verwacht ik dus dan kom je eerder op de https://mikrotik.com/product/rb1100ahx4 uit. Die heeft in principe dezelfde binnenkant als een RB4011 maar komt in een rack-mount behuizing met meteen zoals ik al zei een dubbele voeding ingebouwd en iets meer poorten. Het enige dat dit model niet heeft is een SFP+ slot voor eventueel direct fiber of 10Gbit.

Quindor wijzigde deze reactie 08-03-2019 14:40 (4%)

Intermit.Tech YouTube Kanaal, Intermit.Tech Blog, Mijn vakantie CampZone


  • Jona1990
  • Registratie: november 2016
  • Laatst online: 24-10 21:55
@Quindor Nice, thanks! Ik ben geen pro netwerker, dus ik ga nu wellicht een heel domme vraag stellen, maar ik kwam tijdens wat Googlen toevallig de volgende block diagrams tegen:

https://i.mt.lv/cdn/rb_files/CCR1016-12G-160219130439.png
https://i.mt.lv/cdn/rb_files/RB1100AHx4v5-180110082518.png

Nu is het zo dat ik onze telefoons en computers nooit over dezelfde switches laat lopen. Doe ik dat wel, dan merk ik dat meteen in de kwaliteit van onze telefoongesprekken. Betekent de bouw van het RB1100 board (met een soort interne switches?) niet dat telefoon- en computerverkeer die op dezelfde group zitten al samenkomen voordat de router QoS kan toepassen?

Jona1990 wijzigde deze reactie 08-03-2019 15:57 (3%)


Acties:
  • +1Henk 'm!

  • Quindor
  • Registratie: augustus 2000
  • Laatst online: 08-12 18:01

Quindor

Switching the universe....

Jona1990 schreef op vrijdag 8 maart 2019 @ 15:46:
@Quindor Nice, thanks! Ik ben geen pro netwerker, dus ik ga nu wellicht een heel domme vraag stellen, maar ik kwam tijdens wat Googlen toevallig de volgende block diagrams tegen:

https://i.mt.lv/cdn/rb_files/CCR1016-12G-160219130439.png
https://i.mt.lv/cdn/rb_files/RB1100AHx4v5-180110082518.png

Nu is het zo dat ik onze telefoons en computers nooit over dezelfde switches laat lopen. Doe ik dat wel, dan merk ik dat meteen in de kwaliteit van onze telefoongesprekken. Betekent de bouw van het RB1100 board (met een soort interne switches?) niet dat telefoon- en computerverkeer die op dezelfde group zitten al samenkomen voordat de router QoS kan toepassen?
Domme vragen bestaan niet!

Ja, en nee.

Ja want, als het verkeer niet door iets intelligents heen hoeft kan het zo zijn dat het niet eens door de CPU heen hoeft en op de switch zelf blijft.

Maar nee omdat als je het routerboard meer gaat inzetten als Router gaat al het verkeer door de CPU verwerkt worden.

Hoewel deze dan inderdaad hetzelfde lijntje gebruiken als ze vanaf een poort op dezelfde switch komen mag dat in principe nooit voor vertraging of latency issues zorgen totdat je in de buurt van de 2.5Gbit/s begint te komen (van die switch).

Maar theoretisch heb je gelijk dat het verkeer elkaar zou kunnen beïnvloeden voor dat het bij de CPU aankomt, echter als je de poorten uit de hardware switch haalt en allemaal in CPU modus draait moet je het meer zien als aparte lijntjes die door een gezamenlijke pijp heen moeten, alsof elke poort zijn eigen VLAN heeft zeg maar. Ze kunnen dus niet direct met elkaar praten, alleen door de CPU heen. Hopelijk is dat enigszins te begrijpen. 8)7

Of dat voldoende gaat zijn voor je VOIP toepassing weet ik niet. Soms is de praktijk inderdaad net anders dan de theory. :)

p.s. Ik ga er vanuit dat je aparte switches hebt staan om het verkeerd te scheiden zoals je aangeeft, die kun je gewoon aanhouden en dan van elke switch groep maar 1 poort gebruiken, in theorie heb je dan hetzelfde.

Intermit.Tech YouTube Kanaal, Intermit.Tech Blog, Mijn vakantie CampZone


  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 14-11 19:29
nescafe schreef op zaterdag 19 januari 2019 @ 16:29:
[...]


Dit lijkt opgelost in de laatste beta:


[...]


Heb het vanmiddag getest, werkt prima met een reguliere SFP mits je de juiste speed/duplex setting hebt aangegeven (ondanks auto negotiation aan/uit).
Met de laatste stable (6.44) zijn deze changes included. En idd het werkt nu! Wel moet je autoneg aanzetten. Maar ok zo veel beter. Heb het nu enkele weken stabiel draaiend. Prima router.

Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
FabiandJ schreef op dinsdag 5 maart 2019 @ 13:10:

code:
1
2
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=4 band=2ghz-g/n channel-width=20/40mhz-eC


Hebben jullie nog aan/opmerkingen hierop, mis ik mogelijk nog security instellingen?

Verder valt de wifi tegen, op de begaande grond is nog wel oke, maar zodra ik de trap op ga gaat het behoorlijk naar beneden. Op de 2e verdieping valt het signaal helemaal weg.
Inmiddels heb je blijkbaar al extra hardware gekocht; opzich een uitstekend plan om een AP per verdieping te hebben - met één access point meerdere verdiepingen willen dekken is in veel gevallen simpelweg problematisch. Op 5 GHz helemaal.

Dat gezegd hebbende lijk je op 2.4 GHz een 40 MHz channel width te hanteren. Als er iets is dat fvrijwel nooit positief uitpakt dan is het wel 40 MHz op 2.4 GHz vanwege het overvolle spectrum. Zet 'm eens op 20 MHz.
jvanhambelgium schreef op dinsdag 5 maart 2019 @ 20:07:
Had ondertussen voor IPv4 terug wat mss-clamping rules actief gezet zoals je hierboven aanhaalt
Heb je gecontroleerd of je provider niet gewoon RFC4638 ondersteunt? Dat werkt in Nederland (waarbij bijna iedereen met PPPoE (in)direct bij KPN zit) in ieder geval prima.

Kwestie van de MTU en MRU op 1500 zetten ipv. de default, dan heb je ook geen MSS clamping rules meer nodig.
bundit schreef op woensdag 6 maart 2019 @ 18:21:
De RB4011iGS+RM heeft volgens de specs geen problemen voor 1 Gigabit throughput, ik verwacht wel dat bij de testen fastpath gebruikt is. Echter is er voor IPv6 geen fastpath beschikbaar, dus ik heb geen idee of 1 Gigabit throughput realistisch is voor IPv6 gezien dit dan compleet door de CPU gaat.

Het zou fijn zijn als iemand hier iets nuttigs over kan zeggen, of is dit überhaupt geen probleem voor de RB4011iGS+RM?
Ik heb geen concreet advies, maar kan enkel melden dat de cijfers voor de RB962UiGS-5HacT2HnT verre van realistisch zijn voor IPv6 over PPPoE - ik haal slechts 250 Mbit/s (terwijl IPv4 probleemloos 500 Mbit/s doet).

  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 16:47
Thralas schreef op zaterdag 9 maart 2019 @ 00:27:
Heb je gecontroleerd of je provider niet gewoon RFC4638 ondersteunt? Dat werkt in Nederland (waarbij bijna iedereen met PPPoE (in)direct bij KPN zit) in ieder geval prima.

Kwestie van de MTU en MRU op 1500 zetten ipv. de default, dan heb je ook geen MSS clamping rules meer nodig.
Heb ondertussen de MTU/MRU gewoon op 1500 gefixed op m'n PPP-verbinding en de MSS-clamping rules op disabled gezet en alles blijft ook prima werken.
Mijn upload is sinds vandaag ook een stuk sneller geworden, maar dat kan evengoed te maken hebben met het aanpassen door het DLM (Dynamic Line Management) systeem dat onze provider Proximus/Skynet gebruikt.

Mijn problemen begonnen maandag na een (geplande) spanningsuitval in de wijk voor 4 uur. Vervolgens komt de xDSL sessie terug op maar krijg je terug een standaard provisioning-profiel, DLM doet evaluatie over verschillende dagen en "krikt" de snelheid op indien deze stabiel & goed blijft (qua headroom). Het zou wel eens hiermee te maken kunnen hebben...ik ga eens in de logs kijken of er tijdens de nacht disconnects hebben plaatsgevonden.

Download is altijd goed geweest eigenlijk.

Deze speedtest is gemaakt/hosted door de ISP zelf.


Sinds maandag na het rebooten van alles...


Sinds vandaag (ook na aanpassing MRU/MTU fixed op 1500)



Voorlopig fixed, zal het wat in het oog houden.
Thx voor de tip rond RFC4638

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
starpc schreef op maandag 4 maart 2019 @ 11:29:
[...]

mijn config is

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
# mar/04/2019 09:56:37 by RouterOS 6.43.8
# software id = 
#
# model = 2011UiAS-2HnD
# serial number = 
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp fast-forward=no igmp-snooping=yes name=bridge-local
add fast-forward=no name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-gateway
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-a/g=6Mbps,54Mbps \
    disabled=no frequency=2437 mode=ap-bridge ssid="KPN 300N" \
    wireless-protocol=802.11
/interface vlan
add name="VLAN10(gast)" vlan-id=10
add interface=ether1-gateway mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway name=vlan1.6 vlan-id=6
add interface=ether1-gateway name=vlan1.7 vlan-id=7
add comment=IPTV disabled=yes interface=ether10 name=vlan10.4 vlan-id=4
add comment=internet interface=ether10 name=vlan10.6 vlan-id=6
add comment=Telefoon interface=ether10 name=vlan10.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe password=kpn \
    user=***************@internet
/interface list
add exclude=dynamic name=discover
add name=vlan
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=--------- \
    wpa2-pre-shared-key=
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=guest ranges=192.168.100.100-192.168.100.254
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1h30m \
    name=dhcp-thuis
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# no interface
add action=drop chain=forward in-interface=*24
# no interface
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local hw=no interface=ether4
add bridge=bridge-local hw=no interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local hw=no interface=ether6
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
add bridge=bridge-iptv hw=no interface=ether7
add bridge=bridge-iptv hw=no interface=ether8
add bridge=bridge-iptv hw=no interface=ether9
add bridge=bridge-iptv disabled=yes interface=*16
add bridge=bridge-local disabled=yes interface=*1A
add bridge=bridge-local disabled=yes interface=*18
add bridge=bridge-tel disabled=yes interface=*17
add bridge=bridge-local interface=ether10
add bridge=bridge-local interface=vlan10.6
add bridge=bridge-iptv interface=vlan10.4
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
add interface=vlan1.4 list=discover
add interface=vlan1.7 list=discover
add interface=vlan10.7 list=discover
add interface=bridge-iptv list=discover
add interface=bridge-tel list=discover
add list=discover
add interface=vlan10.6 list=discover
/interface wireless access-list
add ap-tx-limit=8
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1-gateway network=192.168.88.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
add add-default-route=special-classless dhcp-options=optie28 interface=\
    bridge-local use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.47 client-id=1:0:8:9b:c9:5:45 mac-address=\
    00:08:9B:C9:05:45 server=dhcp-thuis
/ip dhcp-server network
add address=1.88.192.0/24 dns-server=8.8.8.8 gateway=1.88.192.1
add address=192.168.10.0/24 dns-server=192.168.10.250 domain=thuis.local \
    gateway=192.168.10.250
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip dns static
add address=127.0.0.1 name=oneplus-shop.nl
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=udp
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=tcp
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=udp src-port=137-139
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=tcp src-port=137-139
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    --------- dst-port=80 protocol=tcp to-addresses=192.168.10.47
add action=dst-nat chain=dstnat comment=torrent dst-address=---------- \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.47
add action=dst-nat chain=dstnat comment=server dst-address==---------- \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.47
add action=masquerade chain=srcnat comment=hairpin dst-address=\
    192.168.10.0/24 src-address=192.168.10.0/24
add action=src-nat chain=srcnat comment=harpin src-address=192.168.10.47 \
    to-addresses=----------
add action=masquerade chain=srcnat comment="ROUTED IPTV" out-interface=\
    vlan1.4
/ip route
add distance=1 gateway=10.0.0.0
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add interface=ether1-gateway type=external
/lcd
set backlight-timeout=5m enabled=no touch-screen=disabled
/lcd interface pages
set 0 interfaces=sfp1,ether1-gateway,ether2,ether3,ether4,ether5
/routing igmp-proxy interface
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
add interface=bridge-local
/system clock
set time-zone-autodetect=no
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set vlan10.7 disabled=yes display-time=5s
set vlan10.6 disabled=yes display-time=5s
set vlan10.4 disabled=yes display-time=5s
set vlan1.7 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set sfp1 disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
set ether6 disabled=yes display-time=5s
set ether7 disabled=yes display-time=5s
set ether8 disabled=yes display-time=5s
set ether9 disabled=yes display-time=5s
set vlan1.6 disabled=yes display-time=5s
set ether10 disabled=yes display-time=5s
set vlan1.4 disabled=yes display-time=5s
set "VLAN10(gast)" disabled=yes display-time=5s
set pppoe disabled=yes display-time=5s
set bridge-local disabled=yes display-time=5s
set bridge-iptv disabled=yes display-time=5s
set bridge-tel disabled=yes display-time=5s
/tool user-manager database
set db-path=user-manager



ik ga over op een RB4011 wifi model. maar daar zit een gelijke config in..

ik zou een gaste net willen hebben maar ben op zit moment een betje onzeker geworden. want ik ben laast dus ook buiten geloten door de router. en kon gelukkig . via een laptop die ook in netwerk draaid.. nog wel de config terug zetten.

en heb ook een heel klein ding..
als ik iets download ( ja wat niet mag) dan gaat de ITV stotteren
ik had nog geen antwoord, kan zijn dat ik mijn tag heb gemist ..
zou iemand mij nog willen helpen..

:)

  • chaoscontrol
  • Registratie: juli 2005
  • Laatst online: 11:26
Mijn RB2011 wil sinds de laatste stable niet meer rebooten. Hij blijft dan down en op het display blijft "rebooting" staan. Iemand ideen?

Handmatig uit en weer aanzetten werkt dan wel.

Inventaris


  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

chaoscontrol schreef op dinsdag 12 maart 2019 @ 11:12:
Mijn RB2011 wil sinds de laatste stable niet meer rebooten. Hij blijft dan down en op het display blijft "rebooting" staan. Iemand ideen?

Handmatig uit en weer aanzetten werkt dan wel.
Keer helemaal vers firmware erop zetten
en dan je backup restoren.

PV1 2750wp woning en PV2 2450wp garage


  • chaoscontrol
  • Registratie: juli 2005
  • Laatst online: 11:26
SpikeHome schreef op dinsdag 12 maart 2019 @ 12:10:
[...]

Keer helemaal vers firmware erop zetten
en dan je backup restoren.
Firmware had ik toevallig al even geupdate, maar ook dan wil hij rebooten en hangt dan. Firmware was wel geupdate na een handmatige boot. Kan idd keer alles terug zetten naar fabriek en backupje restoren.

Inventaris


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
chaoscontrol schreef op dinsdag 12 maart 2019 @ 13:10:
[...]

Firmware had ik toevallig al even geupdate, maar ook dan wil hij rebooten en hangt dan. Firmware was wel geupdate na een handmatige boot. Kan idd keer alles terug zetten naar fabriek en backupje restoren.
Bootloader ook? Kan mogelijk ook geen kwaad bij dit soort kwalen.
starpc schreef op dinsdag 12 maart 2019 @ 11:01:
[...]


ik had nog geen antwoord, kan zijn dat ik mijn tag heb gemist ..
zou iemand mij nog willen helpen..

:)
Je zei dat je een gastennetwerk wilde maken. Ik zie echter niet eens een virtual AP. Verder heb je wel een extra IP pool toegevoegd, maar slechts één DHCP-server.
  • Maak een virtual AP
  • Maak een nieuwe DHCP-server aan die de desbetreffende pool uitdeelt op de virtual AP interface
  • Geef je router een extra /ip address uit je gastenrange op het virtual AP
En vervang je WPA2 PSK, die heb je namelijk mee-geexporteerd in je config (gebruik in het vervolg hide-sensitive)

Thralas wijzigde deze reactie 12-03-2019 19:29 (20%)


  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Heb sinds een paar dagen een RB4011iGS+5HacQ2HnD in huis en ben nog een beetje aan het ontdekken hoe je hem instelt.
Ben totaal geen netwerk guru, maar kan wel goed tuts volgen en daardoor begrijpen hoe wat moet. en werkt. Het is wel totaal wat anders dan een vrij "simpel" Netgear interface.

Ben overgestapt van een Netgear XS4 vanwege slechte ondersteuning van VLAN en daardoor dus geen RoutedIPTV.

Ik probeer dus routed iptv voor elkaar te krijgen via wat er op netwerkje.com staat beschreven.
Maar kom echter niet verder dan
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=bridge-LAN
https://netwerkje.com/routed-iptv

Blijkbaar heb ik geen /routing igmp-proxy interface menu? Kan deze niet vinden via Winbox of via de webinterface. Moet ik deze ergens aanvinken? Of wordt deze pas actief wanneer de router ook daadwerkelijk als vervangende router ga gebruiken aangezien ik hem nu eigenlijk alleen aan het inregelen ben (want ja, tijdje geen internet, dan worden vrouw en kinderen boos }:| )

Wie kan een beginner hierbij helpen? Ik kijk/zoek er nu al best een paar uurtjes zonder fix.

Acties:
  • +1Henk 'm!

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Installeer de multicast package door deze hier te downloaden (ARM, identieke versie, Extra packages), te unzippen, naar Files in Winbox te slepen en te rebooten.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Tnx! Waarom staat dat eigenlijk niet standaard geinstalleerd eigenlijk?

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Niet alle routerboards hebben 256MB flash storage.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Ik loop wéér vast...zou iemand kunnen uitleggen wat hier bedoelt wordt? of waar ik dat moet instellen?
# NAT -- Let op dat deze specifieke regels VOOR algemene regels voor bijvoorbeeld internet moeten staan
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
https://netwerkje.com/routed-iptv

Is het trouwens handiger om een vast ip aan een decoder te geven of gewoon Dynamisch?

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
XenoMorpH schreef op zaterdag 16 maart 2019 @ 10:29:
Ik loop wéér vast...zou iemand kunnen uitleggen wat hier bedoelt wordt? of waar ik dat moet instellen?
Oh dus dáár komen die merkwaardige MikroTik+IPTV configs vandaan tegenwoordig.

Dat is een regel voor de IPv4 firewall, in de NAT-tabel.

De regel is echter nogal onhandig met die dst-addresses, je kunt het beter zo doen:


code:
1
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4



Verder valt op dat in het voorbeeld van de bridge-LAN deze op arp=proxy-arp staat. Dat moet je niet overnemen.
Is het trouwens handiger om een vast ip aan een decoder te geven of gewoon Dynamisch?
Daar hoef je niets bijzonders voor te doen - gewoon een dynamisch IP geven. Dit stukje uit de guide over DHCP options is iig. helemaal niet nodig voor KPN:
De decoders hebben ook extra DHCP opties nodig. Zorg dus dat de DHCP server deze aanbiedt
En de noodzakelijke firewall rules ontbreken, tenminste ervanuitgaande dat je óók op je IPTV interface een firewall hebt:


code:
1
2
add action=accept chain=forward comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan4 protocol=udp
add action=accept chain=input comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan4 protocol=igmp


  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Oh dus dáár komen die merkwaardige MikroTik+IPTV configs vandaan tegenwoordig.
Ja, dat is ook het enige wat ik erover kan vinden met een redelijke tutorial. Maak overigens gebruik van XS4all...

Heb jouw script toegevoegd in de" /ip firewall nat>"
Verder valt op dat in het voorbeeld van de bridge-LAN deze op arp=proxy-arp staat. Dat moet je niet overnemen.
Had hem er al in gezet, maar zou deze waarde dan moeten op staan? of gewoon helemaal niet toevoegen?


Heb het gevoel dat dit een beetje boven mijn pet gaat 8)7 Please bare with me :o

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
XenoMorpH schreef op zaterdag 16 maart 2019 @ 11:57:
Had hem er al in gezet, maar zou deze waarde dan moeten op staan? of gewoon helemaal niet toevoegen?
De default is gewoon arp=enabled (bridge doet arp, maar geen proxy-arp).

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Tenzij je met een VPN server op hetzelfde subnet uitkomt, dan heb je wel proxy-arp nodig om lokale hosts re bereiken.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Zou eimand me misschien opweg kunnen helpen?
Ik zit de hele middag/avond een port fowarding in /firewall nat te krijgen, maar krijg het niet werkende.

Ik heb een (Xigmanas) NAS/webserver/Plex in mijn netwerk en wil deze dus van buitenaf kunnen benaderen, echter krijg ik dit niet voor elkaar.

code:
1
2
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-client \
    protocol=tcp to-addresses=192.168.10.13



Gekke is dat ik van buitenaf direct op mijn Mikrotik admin login page terecht kom, dat lijkt me ook niet de bedoeling.
Ik kan trouwens ook niet in mijn admin gedeelte komen van mijn NASop IP:192.168.10.13:8080.

Heb al van alles geprobeerd, maar ik doe iets verkeerd, ik weet alleen niet wat.

Mijn config:

code:
1
** knip ** Niet meer van toepassing



Hopelijk is er iemand die kan helpen...

XenoMorpH wijzigde deze reactie 23-03-2019 20:29 (92%)


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Kijk even of de counter op die NAT-regels oploopt. Zoja, kloppen die.

Dan zou je nog een expliciete allow in je filter chain kunnen gooien, maar ik zou zeggen dat hij de chain ongeschonden door zou moeten komen.

Beter overigens om ook je filter chain met een DROP te eindigen, en daar een log op te zetten. Enerzijds kun je dan goed zien wat er gedropt wordt, anderzijds laat je dan minder snel verkeer perongeluk door vanweg de default chain policy van MikroTik (ACCEPT).

  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Nou, gekke is dat wanneer ik vanaf mijn eigen IP dan naar mijn eigen IP/domein ga, ik standaard de Mikrotik login pagina te zien krijg. Maar wanneer ik via een ander IP erheen ga, kom ik wel op de NAS terecht.

De forwarding functioneert wel, maar niet zoals het zou moeten.

Bij Firewall NAT zie ik bovenin wel een counter, daar staat 00 Reset Counters en 00 Reset All Counters.

Mijn kennis van NAT/Firewall is dat betreft niet erg veel :o


EDIT 20-03:

Na veel proberen en lezen, is het met de volgende Hairpin gelukt:

code:
1
2
3
4
5
6
7
/ip firewall nat
add chain=dstnat dst-address-type=local dst-address=!192.168.10.1 protocol=tcp dst-port=80,32400,13210 action=dst-nat to-adresses=192.168.10.13 comment="NAS"

/ip firewall nat
add chain=srcnat src-address=192.168.10.0/24 \
  dst-address=192.168.10.13 protocol=tcp dst-port=80,32400,13210 \
  out-interface=bridge-local action=masquerade comment="NAS"



Bedankt voor de hulp, ben iif blijk dat ik het heb kunnen oplossen :)

XenoMorpH wijzigde deze reactie 20-03-2019 00:59 (37%)


  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

Vraagje waar ik zo geen passend antwoord op kan vinden: ik vermoed dat de interne flash gebruikt wordt voor de opslag van DNS en firewall rules. Dat zal ik wel niet op SD kunnen zetten?

Toelichting:
Het flashgeheugen van mijn HexS begint vol te raken. Ik heb niets meer wat naar Flash schrijft, alleen de standaard folders staan er op. Ik zie, zowel via de cmd-line als winbox, niets wat ik zou kunnen weggooien.
Ik heb er een 32gb SD card in gezet, waar scripts op staan. Alle logging gaat naar mijn SIEM.

Ik heb een ongeveer 2.400 entry's in firewall lists om allerlei ongewenst verkeer te blokkeren. Deze worden deels automatisch opgehaald en deels handmatig toegevoegd (info uit mijn SIEM).
Verder heb ik ad-blocking via DNS, dat resulteert, samen met mijn eigen DNS entries, o.a. in bijna 22.000 static DNS entries.
Ik heb de ad-blocking entries al eens verwijderd en de Hex S reboot. Dit maakt geen verschil voor de ruimte op het flashgeheugen.

Wat slokt die ruimte op? Voordat ik mijn router ga resetten en de config terughaal, ben ik benieuwd of iemand hierop het antwoord weet? De Hex S heeft 16mb interne flash.

Acties:
  • +1Henk 'm!

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@Theone098 volgens mij is dat 16mb en geen GB.
Dan zou je ook geen probleem hebben denk ik.

Verder weet ik zelf niet zo wat je wel weg kan doen en wat niet!

PV1 2750wp woning en PV2 2450wp garage


  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

Gecorrigeerd!

  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Zijn er mensen die een RB4011 gebruiken icm XS4ALL(/KPN) ? En die misschien hun config bestand kunnen delen om te vergelijken?

Ik heb een naar probleem dat mijn IPTV signaal na 5min ineens stopt met werken en dat de decoder vraagt om van kanaal te wisselen. Heel erg irritant. Heb met wezenloos lopen zoeken (zelfs op de mikrotik forum) naar een oplossing, maar krijg het niet gefixt. IGMP snooping staat aan op de aangemaakte VLAN 4.

Staat er wat anders fout misschien?


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
# mar/19/2019 09:38:09 by RouterOS 6.44.1
# software id = HCL6-9J1X
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 96890AC2EC81
/interface bridge
add admin-mac=74:4D:28:11:64:F0 auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] l2mtu=1598
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=3 band=5ghz-a/n/ac \
    channel-width=20/40/80mhz-XXXX country=netherlands disabled=no distance=\
    indoors frequency=auto frequency-mode=regulatory-domain mode=ap-bridge \
    secondary-channel=auto ssid=MikroTik5 wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=3 band=2ghz-b/g/n channel-width=\
    20/40mhz-XX country=netherlands disabled=no distance=indoors frequency=\
    auto frequency-mode=regulatory-domain mode=ap-bridge ssid=MikroTik2 \
    wireless-protocol=802.11
/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1.6 keepalive-timeout=20 \
    max-mru=1500 max-mtu=1500 name=pppoe-client password=1234 service-name=\
    XS4ALL use-peer-dns=yes user=1234@provider
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxx \
    wpa2-pre-shared-key=teringzooi
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip pool
add name=dhcp ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1h30m \
    name=dhcp-thuis
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether2
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=ether4
add bridge=bridge-local comment=defconf interface=ether5
add bridge=bridge-local comment=defconf interface=ether6
add bridge=bridge-local comment=defconf interface=ether7
add bridge=bridge-local comment=defconf interface=ether8
add bridge=bridge-local comment=defconf interface=ether9
add bridge=bridge-local comment=defconf interface=ether10
add bridge=bridge-local comment=defconf interface=sfp-sfpplus1
add bridge=bridge-local comment=defconf interface=wlan1
add bridge=bridge-local comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-local list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-client list=WAN
/ip address
add address=192.168.10.1/24 comment=defconf interface=ether2 network=\
    192.168.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
add default-route-distance=210 dhcp-options=\
    option60-vendorclass,hostname,clientid disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.13 client-id=1:68:5:ca:2d:99:90 mac-address=\
    68:05:CA:2D:99:90 server=dhcp-thuis
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.1 domain=\
    thuis.local gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe-client protocol=tcp \
    reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp \
    reject-with=icmp-port-unreachable
add action=accept chain=forward comment="IPTV multicast" dst-address=\
    224.0.0.0/8 in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment="IPTV multicast" dst-address=\
    224.0.0.0/8 in-interface=vlan1.4 protocol=igmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=\
    vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" \
    out-interface=pppoe-client src-address=192.168.10.0/24
add action=dst-nat chain=dstnat dst-port=32400 protocol=tcp to-addresses=\
    192.168.10.13 to-ports=32400
add action=dst-nat chain=dstnat dst-port=13210 protocol=tcp to-addresses=\
    192.168.10.13 to-ports=13210
add chain=dstnat dst-address-type=local dst-address=!192.168.10.1 protocol=tcp dst-port=80,32400,13210 action=dst-nat to-adresses=192.168.10.13 comment="NAS"
add chain=srcnat src-address=192.168.10.0/24 \
  dst-address=192.168.10.13 protocol=tcp dst-port=80,32400,13210 \
  out-interface=bridge-local action=masquerade comment="NAS"

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=bridge-local
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool user-manager database
set db-path=user-manager


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
XenoMorpH schreef op zaterdag 23 maart 2019 @ 20:32:
Staat er wat anders fout misschien?
Ja. Je hebt keurig de firewallregels toegevoegd die ik eerder vermelde, maar je hebt ze niet op de juiste plek gezet.

Kijk eens in Winbox, als het goed is zie je dan een count van 0 op de IGMP rule (input).


code:
1
2
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN



Die regel wil je onderaan je input chain hebben, want nu kaatst hier de IGMP query van de upstream router af. Dat manifesteert zich precies op de manier die je beschrijft.

  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Jeetje....dat het zo simpel kan zijn! Bedankt.
Ik wist niet dat firewall rules opeen volgens worden uitgevoerd.


EDIT.....Blijkbaar tevroeg gejuigd.....stopt weer.... :-(

XenoMorpH wijzigde deze reactie 24-03-2019 00:09 (21%)


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Vreemd.

Dan kun je het beste met de packet sniffer kijken wat er misgaat. Ik zou verwachten dat je met een filter op interface any en protocol igmp wel kunt vaststellen dát het misgaat (zie ook IGMP RFC).

Ook de MFC cache is handig: als je daar de subscriptions ziet verdwijnen als de stream stopt heb je in ieder geval vastgesteld dat er een probleem is.

  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Hallo,

Ik heb al enige tijd een mikrotik en ik gebruik al jaren airvpn. Echter kan ik airvpn niet instellen in de mikrotik en vroeg ik me af welke vpn provider jullie gebruiken in de mikrotik. Airvpn kan enkel openvpn

Acties:
  • +1Henk 'm!

  • XenoMorpH
  • Registratie: maart 2003
  • Laatst online: 11-12 15:28
Thralas schreef op zondag 24 maart 2019 @ 11:01:
Vreemd.

Dan kun je het beste met de packet sniffer kijken wat er misgaat. Ik zou verwachten dat je met een filter op interface any en protocol igmp wel kunt vaststellen dát het misgaat (zie ook IGMP RFC).

Ook de MFC cache is handig: als je daar de subscriptions ziet verdwijnen als de stream stopt heb je in ieder geval vastgesteld dat er een probleem is.
Heb geen idee hoe de packetsniffer precies werkt, maar ik heb het stilstaan van het beeld gefixt. Inderdaad door wat jij zei: de firewall rule naar helemaal onderaan te verplaatsen. Echter heb ik de IPTV Multicast ook naar boven geplaatst. Schijnt te werken en heb geen problemen meer met stotterend/vast lopend beeld.

Zo...weer een probleem uit de wereld,....op naar het volgende O-)

  • TF0
  • Registratie: december 2009
  • Laatst online: 00:41
Vandaag keek ik in mijn DNS log (Pihole), en ik zag daar verschillende keren een call naar septudio.com staan vanuit de Mikrotik.
Dit is blijkbaar de website van Winboxmobile, ik heb een tijdje geleden die app geprobeerd en weer van de iPad afgegooid, maar nu pingt de switch blijkbaar naar die website.

Iemand enig idee waar zich dat genesteld heeft? Ik kan het domein wel blokkeren, maar roei het liever met de wortels en al uit }) .

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Exporteer je config, CTRL+F?

Goh, uit de reviews:
This crapware secretly installs a custom script on your router which is executed every 5 minutes and uploads your data to a remote server. I’m not sure this behavior is even legal.

Thralas wijzigde deze reactie 27-03-2019 21:58 (80%)


  • TF0
  • Registratie: december 2009
  • Laatst online: 00:41
Thralas schreef op woensdag 27 maart 2019 @ 21:57:
Exporteer je config, CTRL+F?

Goh, uit de reviews:

[...]
Hmm, ik zie geen reviews op de iPad.
Bedankt voor de tip, ik heb het script gevonden, lijkt om statistieken te gaan.
Voor degenen die het interessant vinden, dit staat er in (aardige lap):


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
# WinboxMobile push stats v1

:global wmUrlEncode do={
  :local Chars {" "="%20";"!"="%21";"\""="%22";"#"="%23";"$"="%24";"%"="%25";"&"="%26";"'"="%27";"("="%28";")"="%29";"*"="%2A";"+"="%2B";","="%2C";"-"="%2D";"."="%2E";"/"="%2F";":"="%3A";";"="%3B";"<"="%3C";"="="%3D";">"="%3E";"?"="%3F";"@"="%40";"["="%5B";"\\"="%5C";"]"="%5D";"^"="%5E";"`"="%60";"{"="%7B";"|"="%7C";"}"="%7D";"~"="%7E"}
  :local URLEncodeStr
  :local Char
  :local EncChar
  :for i from=0 to=([:len $1]-1) do={
    :set Char [:pick $1 $i]
    :set EncChar ($Chars->$Char)
    :if (any $EncChar) do={
      :set URLEncodeStr ($URLEncodeStr . $EncChar)
    } else={
      :set URLEncodeStr ($URLEncodeStr . $Char)
    }
  }
  :return $URLEncodeStr
}

:global wmInterfaceMonit do={
  :global wmUrlEncode;

  :local data; :local item; :local encodedName;
  :foreach i in=[/interface find type=$1 disabled=no] do={
    /interface monitor-traffic $i once do={
      :set encodedName [$wmUrlEncode $name];
      :set item "traffic[]=$1||$i||$encodedName||$"tx-bits-per-second"||$"rx-bits-per-second"||$"tx-packets-per-second"||$"rx-packets-per-second""
      :set data ( $data . "&" . $item);
    }
  }
  :return $data
}

:local dataParams;
:set dataParams "push_stats_version=1";

:put "Collecting Board data..."
:local boardData; :local identity; :local model; :local serialNumber; :local systemId;
:do {
  :set identity     [$wmUrlEncode [/system identity get name]];
  :set model        [$wmUrlEncode [/system routerboard get model]];
  :set serialNumber [/system routerboard get serial-number];
  :set systemId     [/system license get system-id];
  :set boardData    "identity=$identity&model=$model&serial_number=$serialNumber&system_id=$systemId"
  :set dataParams   ( $dataParams . "&" . $boardData);
} on-error={ :put "Collecting Board error"};

:local softwareId;
:put "Collecting Board data2..."
:do {
  :set softwareId [/system license get software-id];
  :set dataParams ( $dataParams . "&" . "software_id=$softwareId");
} on-error={ :put "Collecting Board data2 error"};

:put "Collecting Performance data..."
:local perfData; :local userActive; :local cpuLoad; :local memFree; :local memTotal; :local hddFree; :local hddTotal; :local uptime; :local version
:do {
  :set cpuLoad    [/system resource get cpu-load];
  :set memFree    [/system resource get free-memory];
  :set memTotal   [/system resource get total-memory];
  :set hddFree    [/system resource get free-hdd-space];
  :set hddTotal   [/system resource get total-hdd-space];
  :set version    [$wmUrlEncode [/system resource get version]];
  :set uptime     [$wmUrlEncode [/system resource get uptime]];
  :set userActive [/user active print count-only];
  :set perfData   "version=$version&cpu_load=$cpuLoad&uptime=$uptime&mem_free=$memFree&mem_total=$memTotal&hdd_free=$hddFree&hdd_total=$hddTotal&user_active_count=$userActive"
  :set dataParams ( $dataParams . "&" . $perfData);
} on-error={ :put "Collecting Performance error"};

:put "Collecting Health data..."
:local healthData; :local voltage; :local current; :local powerCons ; :local temp; :local cpuTemp; :local fanSpeed;
:do {
  :set voltage    [/system health get voltage];
  :set current    [/system health get current];
  :set powerCons  [/system health get power-consumption];
  :set temp       [/system health get temperature];
  :set cpuTemp    [/system health get cpu-temperature];
  :set fanSpeed   [/system health get fan1-speed];
  :set healthData "voltage=$voltage&current=$current&power_consumption=$powerCons&temperature=$temp&cpu_temperature=$cpuTemp&fan_speed=$fanSpeed"
  :set dataParams ( $dataParams . "&" . $healthData);
} on-error={ :put "Collecting Health error"};

:put "Collecting Bridge data..."
:local bridgeData; :local bridgeHostCount; :local bridgeDataItem;
:do {
  :set bridgeHostCount  [/interface bridge host print count-only];
  :set bridgeData       "bridge_host[][bridge]=ALL&bridge_host[][count]=$bridgeHostCount"

  :foreach i in=[/interface bridge find] do={
    :local bridgeName         [/interface bridge get $i name];
    :local bridgeNameEncoded  [$wmUrlEncode $bridgeName];
    :set bridgeHostCount      [/interface bridge host print count-only where bridge="$bridgeName"];
    :local bridgeDataItem     "bridge_host[][bridge]=$bridgeNameEncoded&bridge_host[][count]=$bridgeHostCount"
    :set bridgeData ( $bridgeData . "&" . $bridgeDataItem);
  }
  :set dataParams       ($dataParams . "&" . $bridgeData);
} on-error={ :put "Collecting Bridge error"};

:put "Collecting IP data..."
:local routerData; :local ipRouteCount; :local ipARPCount; :local ipPoolUsedCount; :local ipFwCount;
:do {
  :set ipRouteCount     [/ip route print count-only];
  :set ipARPCount       [/ip arp print count-only];
  :set ipPoolUsedCount  [/ip pool used print count-only];
  :set ipFwCount        [/ip firewall connection print count-only];
  :set routerData       "ip_route_count=$ipRouteCount&ip_arp_count=$ipARPCount&ip_pool_used_count=$ipPoolUsedCount&firewall_connection_count=$ipFwCount"
  :set dataParams     ($dataParams . "&" . $routerData);
} on-error={ :put "Collecting IP error"};

:put "Collecting Routing data..."
:local routingData; :local bgpPeerCount; :local ospfNeighborCount;
:do {
  :set bgpPeerCount       [/routing bgp peer print count-only];
  :set ospfNeighborCount  [/routing ospf neighbor print count-only];
  :set routingData        "bgp_peer_count=$bgpPeerCount&ospf_neighbor_count=$ospfNeighborCount"
  :set dataParams         ($dataParams . "&" . $routingData);
} on-error={ :put "Collecting Routing error"};

:put "Collecting VPN data...";
:local vpnData; :local vpnPppCount; :local vpnIpsecPeerCount; :local vpnIpsecPolicyCount;
:do {
  :set vpnPppCount            [/ppp active print count-only];
  :set vpnIpsecPeerCount      [/ip ipsec remote-peers print count-only];
  :set vpnIpsecPolicyCount    [/ip ipsec policy print count-only];
  :set vpnData                "ppp_active_count=$vpnPppCount&ipsec_remote_peer_count=$vpnIpsecPeerCount&ipsec_policy_count=$vpnIpsecPolicyCount";
  :set dataParams ( $dataParams . "&" . $vpnData);
} on-error={ :put "Collecting VPN error"};

:put "Collecting DHCP data...";
:local dhcpData;
:do {
  :local leaseCount   [/ip dhcp-server lease print count-only];
  :set dhcpData       "dhcp_server_lease[][server]=ALL&dhcp_server_lease[][count]=$leaseCount";

  :foreach i in=[/ip dhcp-server find] do={
    :local serverName         [/ip dhcp-server get $i name];
    :local serverNameEncoded  [$wmUrlEncode $serverName];
    :local leaseCount         [/ip dhcp-server lease print count-only where server="$serverName"]
    :local dhcpDataItem       "dhcp_server_lease[][server]=$serverNameEncoded&dhcp_server_lease[][count]=$leaseCount"
    :set dhcpData ( $dhcpData . "&" . $dhcpDataItem);
  }

  :set dataParams ( $dataParams . "&" . $dhcpData);
} on-error={ :put "Collecting DHCP error"};

:put "Collecting Wireless data...";
:local wirelessData; :local wirelessDataItem;
:do {
  :local wirelessCount    [/interface wireless registration-table print count-only];
  :set wirelessData       "wireless_registration[][interface]=ALL&wireless_registration[][count]=$wirelessCount";

  :foreach i in=[/interface find type=wlan] do={
    :local wirelessName         [/interface get $i name];
    :local wirelessNameEncoded  [$wmUrlEncode $wirelessName];
    :local wirelessCount        [/interface wireless registration-table print count-only where interface="$wirelessName"]
    :set wirelessDataItem "wireless_registration[][interface]=$wirelessNameEncoded&wireless_registration[][count]=$wirelessCount";
    :set wirelessData ( $wirelessData . "&" . $wirelessDataItem);
  }
  :set dataParams ( $dataParams . "&" . $wirelessData);
} on-error={ :put "Collecting Wireless error"};

:put "Collecting CAPsMan data...";
:local capsmanData; :local capsmanDataItem;
:do {
  :local capsmanCAPCount      [/caps-man remote-cap print count-only];
  :local capsmanRegisCount    [/caps-man registration-table print count-only];
  :local capsmanRadioCount    [/caps-man radio print count-only];
  :set capsmanData            "capsman_remote_cap_count=$capsmanCAPCount&capsman_registration[][interface]=ALL&capsman_registration[][count]=$capsmanRegisCount&capsman_radio[][interface]=ALL&capsman_radio[][count]=$capsmanRadioCount";

  :foreach i in=[/interface find type=cap] do={
    :local capsmanName         [/interface get $i name];
    :local capsmanNameEncoded  [$wmUrlEncode $capsmanName];
    :local capsmanRegisCount   [/caps-man registration-table print count-only where interface="$capsmanName"]
    :local capsmanRadioCount   [/caps-man radio print count-only where interface="$capsmanName"]
    :set capsmanDataItem "capsman_registration[][interface]=$capsmanNameEncoded&capsman_registration[][count]=$capsmanRegisCount&capsman_radio[][interface]=$capsmanNameEncoded&capsman_radio[][count]=$capsmanRadioCount";
    :set capsmanData ( $capsmanData . "&" . $capsmanDataItem);
  }
  :set dataParams ( $dataParams . "&" . $capsmanData);
} on-error={ :put "Collecting CAPsMan error"};

:put "Collecting Hotspot data...";
:local hotspotData; :local hotspotDataItem;
:do {
  :local cookieCount        [/ip hotspot cookie print count-only]
  :local activeCount        [/ip hotspot active print count-only]
  :local hostCount          [/ip hotspot host print count-only]
  :set hotspotData          "hotspot_cookie_count=$cookieCount&hotspot_active[][server]=ALL&hotspot_active[][count]=$activeCount&hotspot_host[][server]=ALL&hotspot_host[][count]=$hostCount";

  :foreach i in=[/ip hotspot find] do={
    :local serverName         [/ip hotspot get $i name];
    :local serverNameEncoded  [$wmUrlEncode $serverName];
    :local activeCount        [/ip hotspot active print count-only where server="$serverName"]
    :local hostCount          [/ip hotspot host print count-only where server="$serverName"]
    :set hotspotDataItem      "hotspot_active[][server]=$serverNameEncoded&hotspot_active[][count]=$activeCount&hotspot_host[][server]=$serverNameEncoded&hotspot_host[][count]=$hostCount"
    :set hotspotData ( $hotspotData . "&" . $hotspotDataItem);
  }

  :set dataParams ( $dataParams . "&" . $hotspotData);
} on-error={ :put "Collecting Hotspot error"};

:put "Collecting Interface data...";
:do {
  /interface monitor-traffic aggregate once do={
    :local aggregateData "traffic[]=aggregate||0||aggregate||$"tx-bits-per-second"||$"rx-bits-per-second"||$"tx-packets-per-second"||$"rx-packets-per-second""
    :set dataParams ( $dataParams . "&" . $aggregateData);
  }

  :set dataParams ( $dataParams . "&" . [$wmInterfaceMonit "ether"]);
  :set dataParams ( $dataParams . "&" . [$wmInterfaceMonit "wlan"]);
  :set dataParams ( $dataParams . "&" . [$wmInterfaceMonit "cap"]);
} on-error={ :put "Collecting Interface error"};

:put $dataParams;

:local finalURL "https://septudio.com/mik_push_stats"
/tool fetch url="$finalURL" http-method=post http-data="$dataParams" mode=https keep-result=no


  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
Onlangs ben ik overgestapt op een mikrotik Rb760igs met een sfp module voor mijn Xs4all verbinding.
Werkt allemaal top, zelfs iptv routed.

Heb alleen 1 probleempje: eens in de zoveel dagen valt mijn tv decoder in foutcode f143 (kan geen verbinding maken met het kpn netwerk). Een harde reset van de decoder lost het dan weer op voor een aantal dagen.

Heeft iemand een idee wat dit kan zijn?

I love it when a plan comes together!


  • chaoscontrol
  • Registratie: juli 2005
  • Laatst online: 11:26
@daansan Is er ergens een up-to-date tutorial voor het instellen van routed IPTV? Ik heb het nu nog bridged en dat werkt wel maar stopt binnenkort(?) hoor ik her en der.

Inventaris


  • daansan
  • Registratie: maart 2000
  • Laatst online: 12:19
chaoscontrol schreef op maandag 1 april 2019 @ 23:00:
@daansan Is er ergens een up-to-date tutorial voor het instellen van routed IPTV? Ik heb het nu nog bridged en dat werkt wel maar stopt binnenkort(?) hoor ik her en der.
Netwerkje.com is geupdate naar een rb4011 config. Mijn config is daar op gebaseerd samen met een paar tips uit dit forum.

I love it when a plan comes together!


  • chaoscontrol
  • Registratie: juli 2005
  • Laatst online: 11:26
daansan schreef op dinsdag 2 april 2019 @ 07:00:
[...]


Netwerkje.com is geupdate naar een rb4011 config. Mijn config is daar op gebaseerd samen met een paar tips uit dit forum.
Komt goed uit, wil toch al upgraden naar een 4011. :7

Thanks!

Inventaris


  • jamesbond007uk
  • Registratie: maart 2005
  • Laatst online: 11:14

jamesbond007uk

Smartphone & Gadget specialist

Ik wil graag de RB4011 met wifi bestellen, lees veel berichten op Mikrotik forum met 5GHZ wifi problemen. Wat zijn jullie ervaring?

Jamesbond007uk


Acties:
  • 0Henk 'm!

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@jamesbond007uk ik heb zelf nog een 2011 maar zit ook te denken om die te vervangen voor de 4011.
Vooral omdat deze ook de 5ghz heeft maar ook stukken sneller is.

PV1 2750wp woning en PV2 2450wp garage


Acties:
  • 0Henk 'm!

  • Madnessy
  • Registratie: februari 2003
  • Laatst online: 12-12 19:55
Klein beetje advies gevraagd :
Ik heb het in m'n hoofd gehaald om m'n thuis netwerk maar eens te gaan fatsoeneren.
Momenteel heb ik een hap ac2 als router / ap draaien en een crs326 er achter als switch. geen speciale afwijking tov de defaults .
Wat ik voor ogen heb is een 5 tal vlans op te bouwen (wifi ,wifi gast , bekablede pcs , untrusted devices en eentje voor generieke diensten)

Ik wil wat verkeer mogelijk maken tussen de vlans , maar dit wil ik wel via de fw laten verlopen.
Nu is eigenlijk mij idee vrij simpel : hap ac2 dedicated voor wlan gaan gebruiken en een nieuw apparaat als router gaan in zetten.

De vraag is alleen nog welk nieuw apparaat ?
Kanshebbers zijn :
- nog een hap ac2 (lekker goedkoop)
- rb450x4 (iets minder goedkoop, maar meer ram dan hap ac2)
- rb4011 (snel , maar geen hardware support voor vlan in switch)

Acties:
  • 0Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
De hAP ac2 is vrij rap. Je moet wel heel spannende dingen doen tussen de VLANs om dat een bottleneck te laten zijn.

Ik zou het eerst eens met je huidige hardware proberen. Tenzij je eigenlijk gewoon nieuwe hardware wil kopen: dan een RB4011 :+

Acties:
  • 0Henk 'm!

  • Madnessy
  • Registratie: februari 2003
  • Laatst online: 12-12 19:55
ja heel veel spanneds ga ik niet tussen de vlans doen. Meest spannende zal waarschijnlijk iemand zijn die via wifi een backup maakt.
Of via vpn wat loop te pielen

Enige reden waarom ik nieuws er tussen wil prakken is enerzijds iets makkelijker / beter scheiden van de verkeerstroom

Maar misschien eerst maar een met de hap ac2 gaan spelen

Acties:
  • 0Henk 'm!

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

gebruikt iemand openvpn om toegang te krijgen op zijn netwerk?

Ik gebruik nu L2TP dat werkt goed.
Maar ik wil over naar OPENVPN ik krijg het niet werkend.
Iemand goede tutorial en ja ik heb natuurlijk al gegoogeld :) maar die krijg ik dus steeds niet werkend.

Krijg dit in de log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
Fri May 17 15:27:14 2019 us=94640 Current Parameter Settings:
Fri May 17 15:27:14 2019 us=94640   config = 'mijnopenvpn.ovpn'
Fri May 17 15:27:14 2019 us=94640   mode = 0
Fri May 17 15:27:14 2019 us=94640   show_ciphers = DISABLED
Fri May 17 15:27:14 2019 us=94640   show_digests = DISABLED
Fri May 17 15:27:14 2019 us=94640   show_engines = DISABLED
Fri May 17 15:27:14 2019 us=94640   genkey = DISABLED
Fri May 17 15:27:14 2019 us=94640   key_pass_file = '[UNDEF]'
Fri May 17 15:27:14 2019 us=94640   show_tls_ciphers = DISABLED
Fri May 17 15:27:14 2019 us=94640   connect_retry_max = 0
Fri May 17 15:27:14 2019 us=94640 NOTE: --mute triggered...
Fri May 17 15:27:14 2019 us=94640 285 variation(s) on previous 10 message(s) suppressed by --mute
Fri May 17 15:27:14 2019 us=94640 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Fri May 17 15:27:14 2019 us=94640 Windows version 6.2 (Windows 8 or greater) 64bit
Fri May 17 15:27:14 2019 us=94640 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Fri May 17 15:27:14 2019 us=95641 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri May 17 15:27:14 2019 us=95641 Need hold release from management interface, waiting...
Fri May 17 15:27:14 2019 us=528497 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri May 17 15:27:14 2019 us=629518 MANAGEMENT: CMD 'state on'
Fri May 17 15:27:14 2019 us=629518 MANAGEMENT: CMD 'log all on'
Fri May 17 15:27:14 2019 us=715404 MANAGEMENT: CMD 'echo all on'
Fri May 17 15:27:14 2019 us=718466 MANAGEMENT: CMD 'bytecount 5'
Fri May 17 15:27:14 2019 us=721478 MANAGEMENT: CMD 'hold off'
Fri May 17 15:27:14 2019 us=724470 MANAGEMENT: CMD 'hold release'
Fri May 17 15:27:18 2019 us=861163 MANAGEMENT: CMD 'password [...]'
Fri May 17 15:27:18 2019 us=865656 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Fri May 17 15:27:18 2019 us=866156 MANAGEMENT: >STATE:1558099638,RESOLVE,,,,,,
Fri May 17 15:27:18 2019 us=882170 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Fri May 17 15:27:18 2019 us=882170 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Fri May 17 15:27:18 2019 us=882170 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Fri May 17 15:27:18 2019 us=882170 TCP/UDP: Preserving recently used remote address: [AF_INET]MIJNIPADRES:1194
Fri May 17 15:27:18 2019 us=882170 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri May 17 15:27:18 2019 us=883170 Attempting to establish TCP connection with [AF_INET]MIJNIPADRES:1194 [nonblock]
Fri May 17 15:27:18 2019 us=883170 MANAGEMENT: >STATE:1558099638,TCP_CONNECT,,,,,,
Fri May 17 15:27:19 2019 us=883614 TCP connection established with [AF_INET]MIJNIPADRES:1194
Fri May 17 15:27:19 2019 us=883614 TCP_CLIENT link local: (not bound)
Fri May 17 15:27:19 2019 us=883614 TCP_CLIENT link remote: [AF_INET]MIJNIPADRES:1194
Fri May 17 15:27:19 2019 us=883614 MANAGEMENT: >STATE:1558099639,WAIT,,,,,,
Fri May 17 15:27:19 2019 us=883614 MANAGEMENT: >STATE:1558099639,AUTH,,,,,,
Fri May 17 15:27:19 2019 us=883614 TLS: Initial packet from [AF_INET]MIJNIPADRES:1194, sid=73eebec3 37619443
Fri May 17 15:27:19 2019 us=933019 Connection reset, restarting [0]
Fri May 17 15:27:19 2019 us=933019 TCP/UDP: Closing socket
Fri May 17 15:27:19 2019 us=933019 SIGUSR1[soft,connection-reset] received, process restarting
Fri May 17 15:27:19 2019 us=933019 MANAGEMENT: >STATE:1558099639,RECONNECTING,connection-reset,,,,,
Fri May 17 15:27:19 2019 us=933019 Restart pause, 5 second(s)
Fri May 17 15:27:24 2019 us=936716 Re-using SSL/TLS context
Fri May 17 15:27:24 2019 us=937713 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Fri May 17 15:27:24 2019 us=937713 MANAGEMENT: >STATE:1558099644,RESOLVE,,,,,,
Fri May 17 15:27:24 2019 us=939728 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Fri May 17 15:27:24 2019 us=940714 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Fri May 17 15:27:24 2019 us=940714 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Fri May 17 15:27:24 2019 us=941715 TCP/UDP: Preserving recently used remote address: [AF_INET]MIJNIPADRES:1194
Fri May 17 15:27:24 2019 us=941715 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri May 17 15:27:24 2019 us=941715 Attempting to establish TCP connection with [AF_INET]MIJNIPADRES:1194 [nonblock]
Fri May 17 15:27:24 2019 us=941715 MANAGEMENT: >STATE:1558099644,TCP_CONNECT,,,,,,
Fri May 17 15:27:25 2019 us=943854 TCP/UDP: Closing socket
Fri May 17 15:27:25 2019 us=944839 SIGTERM[hard,init_instance] received, process exiting
Fri May 17 15:27:25 2019 us=944839 MANAGEMENT: >STATE:1558099645,EXITING,init_instance,,,,,



Niemand?

SpikeHome wijzigde deze reactie 20-05-2019 08:48 (90%)

PV1 2750wp woning en PV2 2450wp garage


Acties:
  • +2Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Ik heb deze tutorial gebruikt, werkte prima voor mij: https://www.medo64.com/20...envpn-server-on-mikrotik/

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

tnx deze werkt!

PV1 2750wp woning en PV2 2450wp garage


Acties:
  • 0Henk 'm!

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Hallo.
ik heb een RB4011. met de KPN config van Netwerkje er in.
nu was ik benieuwd hoe ik een gaste netwerk maak.
alles lukt
het nieuwe Virtuele netwerk.
de nieuwe DHCP range / server.
wat ik daar mee wil aan geven.
ik kan verbinden met mijn gaste netwerk die voor het gemak "gast" heet.
en krijg dan ook uit de DHCP "10.0.0.xx" range (de gaste DHCP) een ip.
wat mij niet lukt is het gaste net op internet te krijgen. ik heb alles al geprobeerd, iig voor wat betreft handleiding op internet.
ik krijg geen netwerk verbinding. waar moet ik het gaste netwerk. dan wel met een VLAN dan wel met een Bridge, dan wel met een Firewall optie (forward) koppelen zo dat ik netwerk krijg
merci.. ik probeer dit al heel lang voor elkaar te krijgen maar de laaste stap lukt mij zelf niet

Acties:
  • 0Henk 'm!

  • SpikeHome
  • Registratie: oktober 2001
  • Laatst online: 15:42

SpikeHome

2400wp en 2750wp

@starpc DNS werkt?
Masquerade aan voor je gast netwerk?

PV1 2750wp woning en PV2 2450wp garage


Acties:
  • 0Henk 'm!

  • Madnessy
  • Registratie: februari 2003
  • Laatst online: 12-12 19:55
@starpc Bridge in je vlan gezet ?

Overigens gebruik ik ook openvpn , werkt opzich prima alleen geen support voor udp en de cliënt verliest om het uur bij mij de connectie

Acties:
  • 0Henk 'm!

  • Madnessy
  • Registratie: februari 2003
  • Laatst online: 12-12 19:55
@starpc :

eentje waar ik zelf net weer eens last van heb : heb je bij je dhcp server het netwerk opgegeven met het correcte subnet ? (het lijkt er bij mij op als ik geen cidr notatie gebruik dat hij default /32 neerzet)

Acties:
  • 0Henk 'm!

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
@SpikeHome ,@Madnessy
ik ga er nog is naar kijken bedankt voor de input.. ik zal later mijn config even delen. evt is dag handig. ik ben opnieuw begonnen met de RB4011 waar ik de gasten config even nog niet toe gepast heb. ik was al wel aan het puzzelen met de RB2011 voor dat ik naar de RB4011 ben gegeaan. maar kreeg alleen de DHCP voor elkaar. en de Virtual netwerk. maar zonder toegang tot bijvoorbeeld "google.com"

Acties:
  • 0Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Klinkt als Masquerade of DNS.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Madnessy
  • Registratie: februari 2003
  • Laatst online: 12-12 19:55
@starpc , mocht je er niet uitgekomen zijn:
ik ben momenteel bezig met een ansible playbook die wat "basis" functies voor je uit kan rollen

https://github.com/Madnessy/ansible-mikrotik

Acties:
  • 0Henk 'm!

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Dat is jammer. Netwerkje is er mee opgehouden?
(De website)

Acties:
  • 0Henk 'm!

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Hmmbob schreef op zondag 26 mei 2019 @ 16:25:
Klinkt als Masquerade of DNS.
dit is mijn config nu. ik krijg op een telefoon netjes een DHCP adress.
maar geen toegang tot het internet. ik heb al geprobeert de Masquerade te koppelen aan
-pppoe
-Brigde-lan
-Lan port 1 (WAN)
-Vlan 1.6.

ook lees ik iets over dat ik het beter met VLans kan doen. maar ik weet echt geen raad. ik zou het graag voor elkaar krijgen


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
# jun/04/2019 13:13:04 by RouterOS 6.44.3
# software id = K595-2MJ4
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 
/interface bridge
add name=bridge-gast
add igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local
add name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="GLASS Connectie" \
    l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] comment="Slaapkamer Voor 1" l2mtu=1598
set [ find default-name=ether3 ] comment="Slaapkamer 1, achterkant"
set [ find default-name=ether4 ] comment="slaapkamer Voor 2. (voor zolder)"
set [ find default-name=ether5 ] comment="Slaapkamer 2 achter.  "
set [ find default-name=ether6 ] comment="huis kamer"
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=12 band=5ghz-n/ac channel-width=\
    20/40mhz-Ce disabled=no frequency=5500 frequency-mode=superchannel mode=\
    ap-bridge multicast-helper=disabled name="wlan1 5G" ssid="KPN 300N" \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=3 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=netherlands disabled=no frequency=auto \
    frequency-mode=regulatory-domain mode=ap-bridge multicast-helper=disabled \
    name="wlan2 2.4G" ssid="KPN 300N" wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless nstreme
set "wlan1 5G" enable-polling=no
set "wlan2 2.4G" enable-polling=no
/interface vlan
add interface=ether1 mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add interface=ether1 loop-protect=off mtu=1594 name=vlan1.7 vlan-id=7
add disabled=yes interface=ether6 name=vlan6.6 vlan-id=6
add interface=ether6 name=vlan6.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe user=\
    XX-XX-XX-XX-XX-XX@internet
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys supplicant-identity=\
    MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=gastwifi \
    supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=BA:69:F4:D2:AA:9F \
    master-interface="wlan2 2.4G" multicast-buffering=disabled name=\
    "wifi gast" security-profile=gastwifi ssid=GAST wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.40-192.168.10.99
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=guest ranges=192.168.100.100-192.168.100.254
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
add name="gast wifi DHCP pool" ranges=10.0.1.0-10.0.1.200
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
add address-pool="gast wifi DHCP pool" disabled=no interface=bridge-gast \
    lease-time=1h30m name="DHCP Gast"
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# no interface
add action=drop chain=forward in-interface=*24
# no interface
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface="wlan1 5G"
add bridge=bridge-local interface="wlan2 2.4G"
add bridge=bridge-local interface=ether6
add bridge=bridge-local disabled=yes interface=vlan6.6
add bridge=bridge-local interface=ether10
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan6.7
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local interface=vlan6.6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-gast interface="wifi gast"
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=10.0.1.0/24 interface=bridge-gast network=10.0.1.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=1.88.192.0/24 dns-server=8.8.8.8 gateway=1.88.192.1
add address=10.0.1.0/24 domain=gast.local gateway=10.0.1.1
add address=192.168.10.0/24 dns-server=192.168.10.250 domain=thuis.local \
    gateway=192.168.10.250
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=udp
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=tcp
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=udp src-port=137-139
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=tcp src-port=137-139
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    77.162.238.128 dst-port=80 protocol=tcp to-addresses=192.168.10.47
add action=dst-nat chain=dstnat comment=torrent dst-address=77.162.238.128 \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.55 to-ports=3799
add action=dst-nat chain=dstnat comment=server disabled=yes dst-address=\
    77.162.238.128 dst-port=8080 protocol=tcp to-addresses=192.168.10.48 \
    to-ports=8080
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=dst-nat chain=dstnat dst-address=77.162.238.128 to-addresses=\
    192.168.10.63
add action=src-nat chain=src-nat src-address=192.168.10.63 to-addresses=\
    77.162.238.128
add action=masquerade chain=srcnat out-interface=bridge-local
add action=masquerade chain=srcnat out-interface=bridge-local src-address=\
    10.0.1.0/24
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add disabled=yes interface=ether1 type=external
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface="wlan2 2.4G" leds="wlan2 2.4G_signal1-led,wlan2 2.4G_signal2-led\
    ,wlan2 2.4G_signal3-led,wlan2 2.4G_signal4-led,wlan2 2.4G_signal5-led" \
    type=wireless-signal-strength
add interface="wlan2 2.4G" leds="wlan2 2.4G_tx-led" type=interface-transmit
add interface="wlan2 2.4G" leds="wlan2 2.4G_rx-led" type=interface-receive
/tool user-manager database
set db-path=user-manager


Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Je config is een beetje een rommeltje. Wat zaken die wèl in de default config zitten (o.a. een functionele firewall) heb je nu niet meer. Zou overwegen die er toch op z'n minst nog even naast te houden.

Ik denk dat dit echter de crux van je probleem is:


code:
1
2
3
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0



Rules op bridge slave ports (zoals ether2 op bridge-local) zijn per definitie ongeldig en incorrect. Zet het address eens op de bridge zelf, dan zou het zomaar eens kunnen werken.

Ongerelateerd: ether1 gebruik je als uplink poort, daar hoort dus geen 192.168-adres meer op. Verwijderen.

Wat verder opvalt en waarvan ik niet helemaal durf uit te sluiten dat het relevant is:


code:
1
2
3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0



to-addresses bestaat niet voor MASQUERADE, die zou ik dus voor de zekerheid even expliciet verwijderen.

Verder heb je ook src of dst address constraints op je MASQUARADE rules: verwijderen, dat maakt je config onnodig foutgevoelig en voegt niets toe. Enkel de outgoing interface opgeven.

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
Thralas schreef op dinsdag 4 juni 2019 @ 18:48:
Je config is een beetje een rommeltje. Wat zaken die wèl in de default config zitten (o.a. een functionele firewall) heb je nu niet meer. Zou overwegen die er toch op z'n minst nog even naast te houden.

Ik denk dat dit echter de crux van je probleem is:


code:
1
2
3
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0



Rules op bridge slave ports (zoals ether2 op bridge-local) zijn per definitie ongeldig en incorrect. Zet het address eens op de bridge zelf, dan zou het zomaar eens kunnen werken.

Ongerelateerd: ether1 gebruik je als uplink poort, daar hoort dus geen 192.168-adres meer op. Verwijderen.

Wat verder opvalt en waarvan ik niet helemaal durf uit te sluiten dat het relevant is:


code:
1
2
3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0



to-addresses bestaat niet voor MASQUERADE, die zou ik dus voor de zekerheid even expliciet verwijderen.

Verder heb je ook src of dst address constraints op je MASQUARADE rules: verwijderen, dat maakt je config onnodig foutgevoelig en voegt niets toe. Enkel de outgoing interface opgeven.
als eerste.
Thx

code:
1
2
3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0



is zo ver ik zelf zie, en weet waar het PPOE verkeer over loopt. iig er loopt wel wat verkeer over deze poort. ik heb m niet zelf verzonnen. deze config komt van netwerkje.com

ik heb de Adres op de Bridge gezet.
de overbodige NAT regels uit gezet.
een Firewall heb ik, deze ook van netwerkjes zijn config. uitraad is dit niet lijdend.

ik ga nog een keer proberen om het gaste netwerk op zetten, maar u denkt dat dit komt door dat er wat NAT settings fout waren ?
nogmaals THX

Acties:
  • 0Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
starpc schreef op donderdag 6 juni 2019 @ 21:27:
ik ga nog een keer proberen om het gaste netwerk op zetten, maar u denkt dat dit komt door dat er wat NAT settings fout waren ?
nogmaals THX
.. nu begrijp ik pas dat je 'reguliere' netwerk (bridge-local) prima werkt, maar je gastennetwerk het probleem is. Dat bleek niet uit je laatste post.
is zo ver ik zelf zie, en weet waar het PPOE verkeer over loopt. iig er loopt wel wat verkeer over deze poort. ik heb m niet zelf verzonnen. deze config komt van netwerkje.com
Ik snap ook geheel niet wat je hier probeert te zeggen.

Maar, nu ik specifiek naar je guest-config lijk valt het volgende op:

- Je gebruikt 10.0.1.0/24 als adres op je router. Maak daar eens 10.0.1.1/24 van, zowel onder /ip address als de DHCP settings. Het eerste adres in een subnet is immers het network address en niet bedoeld voor gebruik door hosts.

En let erop dat je DHCP pool niet overlapt met je routeradres. Dat doet hij nu wel namelijk.

- De NAT rules. Je originele MASQUERADE-regel op pppoe had src-address=192.168.0.0/16. Dan heb je dus opeens niets aan die regel voor je gastennetwerk. Uitstekende illustratie waarom je dus enkel de interface wil specificeren. Maar hoewel dit zeker een probleem was, begrijp ik dat je het al had gewijzigd.

  • Vaenir
  • Registratie: februari 2018
  • Laatst online: 11-12 21:20
Als Tweaker weet ik dat een antwoord voorkauwen niet de bedoeling is. Maar ik heb nu zoveel geprobeerd vanuit dit topic en de Mikrotik wiki dat ik er gek van word.

Ik heb lokaal een Nextcloud server draaien welke ik nu via mijn eigen domein via https kan benaderen wanneer ik buiten huis ben. Maar wanneer ik op mijn eigen lan zit kom ik dus uit op mijn gateway adres. Nu begrijp ik dat ik dan een hairpin nat moet instellen. Ik krijg het echter totaal niet werkend. Ik heb een flowchart gemaakt hoe het nu werkt:



Mijn domein verwijst nu dus via https (poort 443) naar mijn wan ip. De Mikrotik verwijst via een nat rule naar mijn lokale server ip adres waarbij de https poort wordt verwezen naar poort 5679 op mijn server. Dit is de https poort van mijn Nginx reverse proxy die in een docker container draait.

Ik wil graag mijn server benaderen via mijn eigen domein wanneer ik thuis ben.. Maar hoe?.. |:(

Vaenir wijzigde deze reactie 25-06-2019 23:06 (6%)


  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Hmm kan je niet in je mikrotik bij dns een static record instellen als nextcloud.joudomein.nl met ip 192.168.88.100 ?
Dan ga je niet meer naar je wan ip maar intern naar je lan ip. moet je wel dns server van je mikrotik gebruiken en niet bv google dns met je laptop.

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Vaenir schreef op dinsdag 25 juni 2019 @ 23:00:
De Mikrotik verwijst via een nat rule naar mijn lokale server ip adres waarbij de https poort wordt verwezen naar poort 5679 op mijn server. Dit is de https poort van mijn Nginx reverse proxy die in een docker container draait.
Juist om hairpin NAT te laten werken heb je een extra (srcnat) rule nodig. Hier benoem je enkel de dstnat rule. What gives?

Als je dat wel hebt gedaan, check de hit counters van de rules.

Kom je er dan nog niet uit, post dan je config (of de relevante delen).

  • Vaenir
  • Registratie: februari 2018
  • Laatst online: 11-12 21:20
Ik heb het aan de praat gekregen mede dankzij dit youtube filmpje: YouTube: MikroTik Router OS Hairpin NAT with Dynamic WAN IP and port forwarding. Mochten andere er problemen mee hebben dan is het kijken van dat filmpje de moeite waard.

  • Oortjes
  • Registratie: maart 2009
  • Laatst online: 13-12 23:52
Vaenir schreef op donderdag 27 juni 2019 @ 21:44:
Ik heb het aan de praat gekregen mede dankzij dit youtube filmpje: YouTube: MikroTik Router OS Hairpin NAT with Dynamic WAN IP and port forwarding. Mochten andere er problemen mee hebben dan is het kijken van dat filmpje de moeite waard.
Die knakker van dat youtube filmpje heeft wel een interessante Mikrotik verzameling thuis...
https://www.steveocee.co.uk/mikrotik/

  • Vaenir
  • Registratie: februari 2018
  • Laatst online: 11-12 21:20
De rest van zijn filmpjes zijn ook wel leerzaam wanneer je nog geen expert bent op dit gebied.

Acties:
  • 0Henk 'm!

  • Videopac
  • Registratie: november 2000
  • Laatst online: 12:38
pimlie schreef op dinsdag 1 januari 2019 @ 12:25:
@Videopac Er is een demo beschikbaar op: http://demo.mt.lv/webfig/, kan je een kijkje nemen.

Evt kan je ook een Cloud Hosted Router downloaden en uitproberen in bv Virtualbox of VMware: https://mikrotik.com/download
Dank. Dit is echt veel en veel te complex voor mij. Ik heb gewoon de netwerkkennis niet.
Misschien ligt het aan mij maar deze complexe interface lijkt me voor 99,9% van de mensen niet hanteerbaar. Jammer dat een kennelijk prima product op deze manier voor veel mensen buiten bereik blijft.

Videopac wijzigde deze reactie 17-07-2019 23:27 (19%)

Opnsense (Odroid H2) DS918+ 4x8TB WD RED, SB Touch, Odroid C2, Netgear R7800


Acties:
  • 0Henk 'm!

  • WeaZuL
  • Registratie: oktober 2001
  • Laatst online: 13-12 11:07

WeaZuL

Try embedded, choose ARM!

Ik heb twee CCR1009-7G-1C-1S's aangeschaft en zou graag tussen beide een 10Gbit verbinding leggen gebruik makende van SFP+. Echter bedraagt de afstand tussen beiden 25m. Als ik kijk naar (niet actieve) DAC kabels gaan die maar tot +/- 5m oid?! Daarna gaat het over naar glas of active DAC icm bijbehorende transceivers. Iemand een idee waar je compatible transceivers en glaskabel kunt kopen? Ik heb een goede ervaring met fs.com maar ik heb geen idee mbt het type kabel / transceivers en/of DAC's. Iemand hier ervaring mee?

[edit] als ik bijv. onder SFP+ 10Gbit optical transceivers kijk zie ik onder "Brands' veel vendoren staan behalve Mikrotik... :/

WeaZuL wijzigde deze reactie 08-07-2019 14:47 (12%)

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
WeaZuL schreef op maandag 8 juli 2019 @ 14:40:
Ik heb een goede ervaring met fs.com maar ik heb geen idee mbt het type kabel / transceivers en/of DAC's. Iemand hier ervaring mee?
Volgens mij heb je -SR optics en MM (OM2/3/4) fiber nodig, of -LR optics en SM fiber.

Denk ik - ik weet verder ook niets van glas.
[edit] als ik bijv. onder SFP+ 10Gbit optical transceivers kijk zie ik onder "Brands' veel vendoren staan behalve Mikrotik... :/
Maakt niet uit. Dat is omdat enterprise hardware nogal eens moeilijk doet als een transceiver het verkeerde vendor id heeft. MikroTik doet daar niet aan, pick any.

Interprojekt verkoopt ook de 'officiële' MikroTik SFP+'s trouwens, maar volgens mij kun je ze dus net zo goed bij FS halen (goedkoper).

Vergeet niet om nog evn de benchmarks te dubbelchecken overigens, de CCR heeft geen ingebouwde switch en met 10 Gbit/s routeren lijkt 'ie wel druk (maar niet onmogelijk zo te zien).

Thralas wijzigde deze reactie 08-07-2019 18:37 (9%)


  • abusimbal
  • Registratie: augustus 2003
  • Laatst online: 12-12 21:12
De CRS312-4C+8XG-RM is er !

https://mikrotik.com/product/crs312_4c_8xg_rm

CRS312-4C+8XG-RM - our first product with 10G RJ45 and SFP+ ports!
4 x 10G combo ports: 10G RJ45 Ethernet/10G SFP+
8 x 10G RJ45 Ethernet ports - can be used alongside the combo ports.
dual power supply
full size USB, console port

  • WeaZuL
  • Registratie: oktober 2001
  • Laatst online: 13-12 11:07

WeaZuL

Try embedded, choose ARM!

abusimbal schreef op woensdag 17 juli 2019 @ 08:09:
De CRS312-4C+8XG-RM is er !

https://mikrotik.com/product/crs312_4c_8xg_rm

CRS312-4C+8XG-RM - our first product with 10G RJ45 and SFP+ ports!
4 x 10G combo ports: 10G RJ45 Ethernet/10G SFP+
8 x 10G RJ45 Ethernet ports - can be used alongside the combo ports.
dual power supply
full size USB, console port
And it won’t cost an arm and a leg – only $599!
:/

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • abusimbal
  • Registratie: augustus 2003
  • Laatst online: 12-12 21:12
10Gbit koper poorten zijn vele malen duurder dan SFP+

Kost geen arm en been, maar enkel een arm

  • Freekers
  • Registratie: april 2009
  • Niet online

Freekers

Professional Googler

Videopac schreef op zondag 7 juli 2019 @ 14:13:
Dank. Dit is echt veel en veel te complex voor mij. Ik heb gewoon de netwerkkennis niet.
Misschien ligt het aan mij maar deze complexe interface lijkt me voor 99,9% van de mensen niet hanteerbaar. Jammer dat een kennelijk prima product op deze manier voor veel mensen buiten bereik blijft.
Ik was zo naïef om inmiddels 3 jaar terug er gewoon een te kopen en ik ben blij dat ik het gedaan heb. Ja het is een gigantische lange en stijle leercurve als je, net als ik, weinig diepgaande netwerkkennis hebt en ja het instellen van sommige 'simpele' dingetjes kan soms een hele avond in beslag nemen, maar o wat het is fantastisch om een apparaat in huis te hebben wat bijná alles kan. En zo leer je nog eens wat :)

Je staat er niet alleen voor. Google is je beste vriend en als je er echt niet uitkomt is er dit topic nog met een fanatieke groep fantastische Tweakers die me al vaker uit de brand hebben geholpen :) (dank daarvoor!)

Freekers.nl | Public Pi-hole - 4 locaties wereldwijd


  • Kage Musha
  • Registratie: juli 2004
  • Laatst online: 10-12 20:31
Hallo,

Ik heb een Mikrotik Hex S (RB760iGS) aangeschaft om mijn netwerken beter the scheiden met VLANs.
Ik gebruik deze met een T-Mobile glasvezel abonnement.
Hex S is aangesloten op een NTU, dus ethernet kabel van NTU naar port 1 van mijn Mikrotik Hex S.

Ik heb nu de basis functionaliteit werkend: Internet en IP-TV.
Mooi zou je denken, wat het ook is. Maar ik snap niet waarom het werkt.
Ik zie in de config nergens een link tussen mijn WAN interface (fysieke eth1 en/of vlan300 interface) en de bridge "bridge" wat mijn LAN verzorgd.

Mijn IPTV STB is aangesloten op port 4 en die heb ik netjes in een aparte bridge gestopt met vlan640 interface.

Maar waarom ik vanuit mijn LAN internet kan gebruiken? Iemand een idee?
Moet dit eerst snappen voordat ik met VLANs aan de gang ga.

EDIT: commentaar op dingen die niet kloppen in de config zijn welkom. Ik snap eigenlijk ook niet goed waarom de standaard config eth2 op dat ip adres zet in "/ip address"


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
# jul/19/2019 15:57:38 by RouterOS 6.45.1
# software id = TDTD-EBXA
#
# model = RB760iGS
# serial number = xxxxxxx
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
add name=bridge-guest
add name=bridge-tv
/interface ethernet
set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:XX:XX name=ether1-wan
set [ find default-name=ether2 ] name=ether2-switch
set [ find default-name=ether3 ] name=ether3-server
set [ find default-name=ether4 ] name=ether4-tv
set [ find default-name=ether5 ] name=ether5-eap0
/interface vlan
add interface=ether1-wan name=vlan-internet vlan-id=300
add interface=ether1-wan name=vlan-iptv vlan-id=640
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.220-192.168.88.229
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/dude
set data-directory=/disk1/thedude enabled=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-switch
add bridge=bridge comment=defconf interface=ether3-server
add bridge=bridge-tv interface=ether4-tv
add bridge=bridge comment=defconf interface=ether5-eap0
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge-tv interface=vlan-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-wan list=WAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-switch network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan-internet use-peer-dns=no
add dhcp-options=hostname,clientid interface=ether1-wan
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set cache-max-ttl=1d servers=9.9.9.9,208.67.222.222
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=192.168.88.0/24 list=LocalNet
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="defconf: accept ICMP" in-interface-list=WAN protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=loopback dst-address-list=LocalNet out-interface-list=LAN src-address-list=LocalNet
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=xxx-HexS
/system script
add dont-require-permissions=no name=dyndns owner=hswong policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=""
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-port=http-alt

o.o


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Kage Musha schreef op vrijdag 19 juli 2019 @ 16:20:
Maar waarom ik vanuit mijn LAN internet kan gebruiken? Iemand een idee?
Moet dit eerst snappen voordat ik met VLANs aan de gang ga.
Het antwoord is simpel: routing.

In tegenstelling tot het koppelen van interfaces en bridges voor layer 2 (MAC) connectivity, gebeurt dat een laag hoger enkel 'transparant' op basis van IP-adressen.

Als je router een frame binnekrijgt geadresseerd aan z'n eigen MAC-adres (layer 2), dan deze het in principe proberen te routeren op basis van de IP-adressen een laag hoger (layer 3).
EDIT: commentaar op dingen die niet kloppen in de config zijn welkom. Ik snap eigenlijk ook niet goed waarom de standaard config eth2 op dat ip adres zet in "/ip address"
Dat klopt inderdaad niet. Slave devices op een bridge horen geen eigen adres te hebben, die dien je toe te kennen aan de bridge zelf ('bridge' in jouw geval).

  • Kage Musha
  • Registratie: juli 2004
  • Laatst online: 10-12 20:31
Thralas schreef op vrijdag 19 juli 2019 @ 17:15:
[...]


Het antwoord is simpel: routing.

In tegenstelling tot het koppelen van interfaces en bridges voor layer 2 (MAC) connectivity, gebeurt dat een laag hoger enkel 'transparant' op basis van IP-adressen.

Als je router een frame binnekrijgt geadresseerd aan z'n eigen MAC-adres (layer 2), dan deze het in principe proberen te routeren op basis van de IP-adressen een laag hoger (layer 3).


[...]


Dat klopt inderdaad niet. Slave devices op een bridge horen geen eigen adres te hebben, die dien je toe te kennen aan de bridge zelf ('bridge' in jouw geval).
Bedankt! Maakt het duidelijker ja.

Als ik tagged VLANs wil gebruiken zou ik die dus het best wel in de aparte VLAN bridges moeten stoppen.

Verder heb ik gelijk dat address entry aangepast. Wel vreemde standaard config.

o.o


Acties:
  • 0Henk 'm!

  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Hallo,
Ik ben aan het kijken om een camera voor buiten aan te kopen.
Ik heb de pricewatch: MikroTik Routerboard RB2011UiAS-2HnD-IN en volgens de specificaties :
PoE-in ondersteuning op poort Ether1 (8-28 volt)
PoE-out ondersteuning op poort Ether10 (8-28 volt)

Ik zou dit toestel willen kopen. Gaat dit werken ?
pricewatch: Ubiquiti UniFi Video G3-FLEX Camera

Net dit gelezen:
take in count in mikrotik world we use passive (non standard) Poe because its very cheap to implement

most other vendors ip phones and accesspoint uses standard (expensive) Poe (802.3af (802.3at Type 1) 802.3at Type 2) incompatible with mikrotik passive poe.

Yarisken wijzigde deze reactie 21-07-2019 23:03 (19%)


Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
Het zou me niet verbazen als er gewoon een POE injector in de doos van die camera zit, dus dan krijg je het sowieso werkend....

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • 0Henk 'm!

  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Hmmbob schreef op zondag 21 juli 2019 @ 23:15:
Het zou me niet verbazen als er gewoon een POE injector in de doos van die camera zit, dus dan krijg je het sowieso werkend....
Thx en als het niet werkt kan ik het altijd terugsturen. Bedankt.

Acties:
  • 0Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Kage Musha schreef op vrijdag 19 juli 2019 @ 19:42:
Als ik tagged VLANs wil gebruiken zou ik die dus het best wel in de aparte VLAN bridges moeten stoppen.
Dat hoeft niet meer tegenwoordig, bridges zijn vlan-aware sinds v6.41.

Enige nadeel met vlans op bridges is dat de filtering in software gebeurt (tenzij je een CRS hebt). Als je wirespeed poorten aan elkaar wilt knopen kun je daar beter het switch-menu voor gebruiken.
Yarisken schreef op zondag 21 juli 2019 @ 23:00:
Net dit gelezen:
take in count in mikrotik world we use passive (non standard) Poe because its very cheap to implement

most other vendors ip phones and accesspoint uses standard (expensive) Poe (802.3af (802.3at Type 1) 802.3at Type 2) incompatible with mikrotik passive poe.
Klopt. Met MikroTiks passive PoE ga je hem inderdaad niet werkend krijgen (nieuwere modellen doen vaker wel 802.3xx).

Acties:
  • 0Henk 'm!

  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 12-12 10:50
Thralas schreef op zondag 21 juli 2019 @ 23:24:
[...]


Dat hoeft niet meer tegenwoordig, bridges zijn vlan-aware sinds v6.41.

Enige nadeel met vlans op bridges is dat de filtering in software gebeurt (tenzij je een CRS hebt). Als je wirespeed poorten aan elkaar wilt knopen kun je daar beter het switch-menu voor gebruiken.


[...]


Klopt. Met MikroTiks passive PoE ga je hem inderdaad niet werkend krijgen (nieuwere modellen doen vaker wel 802.3xx).
Ook niet met die injector ?

Acties:
  • 0Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:51
Natuurlijk wel, mits het een 802.3xx-unit is, en geen MikroTik passive PoE injector.

Volgens het internet zit die niet in de doos, dus ik zou er gewoon een van Ubiquiti kopen, dan komt het sowieso goed.

  • starpc
  • Registratie: augustus 2011
  • Laatst online: 06-12 13:30
ik krijg nog steeds mijn gaste netwerk niet voor elkaar.

Virtual Wifi (gast wifi)
DHCP, pool, adresses, en DNS is er en een subnet (255.255.255.0)
ik loop vast op het stukje dat ik niet weet hoe ik op het gaste netwerk toegang krijg tot internet. ik mis het laaste stukje.
weet niet of dit via een Vlan moet of via de Firewal.

ik heb KPN glass met een PPPOE Client. op port 1 (WAN)
met 3 Vlan's
vlan 6 is het netwerk. deze zit ook uiteraard in een bridge.

wie wil mij vertellen wat de laaste paar stappen zijn.

op internet heb ik wel al gezocht kwam uit op een VLAN setup.
maar ook op dit

"Next you need to enable forwarding and masquerading for this subnet, while maintaining isolation.

1. Forward: Accept established+related from pppoe to vlan-guest
2. Forward: Accept everything from vlan-guest to pppoe
3. Forward: Drop everything else from and to vlan-guest
4. Input: Accept ICMP from vlan-guest (for debug purposes)
5. Input: Accept UDP port 53 (DNS) from vlan-guest
6. Input: Drop everything else from vlan-guest


"
link naar dit verhaal: https://forum.mikrotik.com/viewtopic.php?t=92947
maar daar word ik niet wijs van.

10000000 maal dank als iemand mij kan helpen.

starpc wijzigde deze reactie 24-07-2019 18:53 (3%)


  • Jef61
  • Registratie: mei 2010
  • Laatst online: 13:06
@starpc Heb je er iets aan als ik mijn configuratie naar je stuur? Is wel in combinatie met capsman, maar lijkt me dat dat niet uitmaakt.

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 16:35
starpc schreef op woensdag 24 juli 2019 @ 18:53:
ik krijg nog steeds mijn gaste netwerk niet voor elkaar.

Virtual Wifi (gast wifi)
DHCP, pool, adresses, en DNS is er en een subnet (255.255.255.0)
ik loop vast op het stukje dat ik niet weet hoe ik op het gaste netwerk toegang krijg tot internet. ik mis het laaste stukje.
weet niet of dit via een Vlan moet of via de Firewal.

ik heb KPN glass met een PPPOE Client. op port 1 (WAN)
met 3 Vlan's
vlan 6 is het netwerk. deze zit ook uiteraard in een bridge.

wie wil mij vertellen wat de laaste paar stappen zijn.

op internet heb ik wel al gezocht kwam uit op een VLAN setup.
maar ook op dit

"Next you need to enable forwarding and masquerading for this subnet, while maintaining isolation.

1. Forward: Accept established+related from pppoe to vlan-guest
2. Forward: Accept everything from vlan-guest to pppoe
3. Forward: Drop everything else from and to vlan-guest
4. Input: Accept ICMP from vlan-guest (for debug purposes)
5. Input: Accept UDP port 53 (DNS) from vlan-guest
6. Input: Drop everything else from vlan-guest


"
link naar dit verhaal: https://forum.mikrotik.com/viewtopic.php?t=92947
maar daar word ik niet wijs van.

10000000 maal dank als iemand mij kan helpen.
Zoals de gevonden informatie aan lijkt te wijzen: het lijkt erop dat je een Masquerade rule mist.

Even uit mijn hoofd, met ipreeks 192.168.2.1 etc als voorbeeld:

/ip firewall nat chain=srcnat src-address=192.168.2.0/24 out-interface=pppoe

Hiermee moet het lukken?

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

Volgens mij is het nog niet gemeld, maar sinds RouterOS 6.45 ondersteunt Mikrotik IKEv2.
En dat betekent dat je met NordVPN een IKEv2/ipsec vpn kunt opzetten. Voor mij belangrijk, omdat mijn RB760iGS een AES engine heeft.

LET OP: 6.45 software kent bugs. Ik heb geen last van de bugs (versie 6.45.2). EERST LEZEN voordat je gaat UPGRADEN!

Als je versie 6.45.x hebt geïnstalleerd vind je hier de complete handleiding van Mikrotik en hier de (verkorte) handleiding van NordVPN.

Nadat je deze hebt gevolgd, raad ik je aan de encryptie instellingen aan te passen (voor betere security).
  1. Als auth. algoritme ondersteunt NordVPN SHA256 (standaard instelling is SHA1).
  2. Als encryptie algoritme ondersteunt NordVPN AES256 CBC (standaard instelling is 3DES (niet al te veilig en langzaam) en AES128.)

Theone098 wijzigde deze reactie 29-07-2019 19:40 (1%)
Reden: Capitals voor AES, SHA enz.


  • bundit
  • Registratie: september 2014
  • Laatst online: 13-12 19:45
Zijn er toevallig meer mensen die met 6.45 problemen hebben met DHCP?

Ik heb zojuist mijn RB4011 bijgewerkt van 6.44.5 naar 6.45.3 (SFP poort werkte niet in 6.451. en 6.45.2).

Op de SFP interface heb ik een DHCP client staan, zonder gebruik te maken van een bridge. Na een reboot van de router krijg ik geen lease. Als ik vervolgens de SFP interface disable en direct enable heb ik netjes een DHCP WAN IP. Herkent nog iemand dit gedrag met 6.45.x én weet iemand toevallig de oplossing?

Met 6.44.x had ik deze problemen niet.

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 15:15

Theone098

BFV GoT addict

Klik op de link in mijn post boven die van jouw en je leest alles over 6.45 incl. Problemen met spf en dhcp.

  • Steephh
  • Registratie: juni 2003
  • Laatst online: 13-12 14:00
Vanavond even gespeeld met de RB4011iGS-RM icm. de FS SFP-GE-BX

In de mikrotik interface list heet de interface 'sfp-sfpplus1' wat mijns inziens impliceert dat een SFP module ook zou moeten werken. Ik heb zelf een XS4ALL 500/500 fiber verbinding. Wat gespeeld met instellingen en diverse firmware (factory (6.44.1), stable (6.45.3), LTS (6.44.5) en beta (6.46beta16). Ik heb ook een VLAN geconfigureerd + PPPoE verbinding die bij een vriend van me wel werkt met exact dezelfde instellingen.

De SFP module wordt wel herkend (connector type (SC), link length (10000m), vendor name (FS), vendor part number (SFP-GE-BX), serialnr, manufacturing date (19-04-03) en wave length (1310nm). Module is present en geen RX lose en geen TX fault. De rest mist verder, dus ik zie geen temperature en ook geen TX / RX Power etc. :'(

Geprobeerd met auto negotiation aan/uit (maar dat werkt volgens mij niet als de ISP dat niet ook doet) zoals hier beschreven. Link is ok (in alle gevallen, behalve wanneer ik m zonder A.N. op 10Gbps zet).

Aan de hand van nescafe in "[MikroTik-apparatuur] Ervaringen & Discussie" krijg ik wel het idee dat het in theorie zou kunnen werken, maar dat de SFP module in de RB4011 niet helemaal lekker werkt. Iemand die wel een goede combinatie heeft kunnen vinden? :-)

Ik overweeg eventueel te "downgraden" naar een RB3011 of een Hex S, maar zou dat wel zonde vinden gezien de performance flink achteruit gaat. In de nabije toekomst verwacht ik 1G/1G af te kunnen nemen en qua performance is het allemaal net wat minder. :P

Steephh wijzigde deze reactie 04-08-2019 23:47 (3%)

_@/'


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Geen Tx/Rx Power en geen temp? Dat is vreemd. Rx Bytes onder Traffic blijft dan ook op 0 staan zeker?

Ik heb zelf deze: https://www.fs.com/products/20184.html (1490nm-RX 20km)


(RB4011, 6.46beta16)

Zou je eens een supout.rif willen draaien, naar MT support willen sturen en het ticketnr posten? Ik zal dan o.v.v. jouw ticketnummer ook een supout.rif sturen.

Volgens mij is 1490/1550nm om het even. Misschien dat 10km/20km wat uitmaakt. Maar dan begrijp ik alsnog niet waarom bij twee modules uit dezelfde productlijn, de ene wel temp+tx/rx power weergeeft en de andere niet.

Zelfs bij geen licht zou je temp+tx/rx power moeten zien:


(RB3011, 6.45.1)

nescafe wijzigde deze reactie 05-08-2019 00:23 (23%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Steephh
  • Registratie: juni 2003
  • Laatst online: 13-12 14:00
nescafe schreef op zondag 4 augustus 2019 @ 23:59:
Geen TX Power en geen temp? Dat is vreemd. Tx/Rx Bytes onder Traffic blijft dan ook op 0 staan zeker?
Correct! Tx wel "iets" trouwens, maar Rx helemaal niets.
Ik heb zelf deze: https://www.fs.com/products/20184.html (1490nm-RX 20km)

[Afbeelding]
(RB4011, 6.46beta16)

Zou je eens een supout.rif willen draaien, naar MT support willen sturen en het ticketnr posten? Ik zal dan o.v.v. jouw ticketnummer ook een supout.rif sturen.
Done! [Ticket#2019080522000712]

Veel dank trouwens! :D
Volgens mij is 1490/1550nm om het even. Misschien dat 10km/20km wat uitmaakt. Maar dan begrijp ik alsnog niet waarom bij twee modules uit dezelfde productlijn, de ene wel temp+tx/rx power weergeeft en de andere niet.

Zelfs bij geen licht zou je temp+tx/rx power moeten zien:

[Afbeelding]
(RB3011, 6.45.1)
Inderdaad vreemd, ik had ook verwacht dat ik de overige waarden ook zou zien. Benieuwd wat er uit naar voren gaat komen! :)

Iets wat me nog wel op viel: jouw connector type is LC ipv SC, maakt dat nog iets uit?

_@/'


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Ja, Tx Bytes zal idd > 0 zijn ook zonder werkende sfp.

Supout.rif is ook vanaf deze kant verzonden. Meestal kunnen ze er wel iets in zien. Heb je overigens een andere unit waarin je de SFP zou kunnen testen? Om uit te sluiten dat deze stuk is?
Steephh schreef op maandag 5 augustus 2019 @ 00:31:
[...]
Iets wat me nog wel op viel: jouw connector type is LC ipv SC, maakt dat nog iets uit?
Beide sfps hebben toch ook een LC interface? (Lijkt me niet relevant voor dit issue overigens)
1000BASE-BX SFP Transceiver Module (SMF, 1310nm-TX/1550nm-RX, 10km, LC, DOM)
Interface LC simplex
1000BASE-BX SFP Transceiver Module (SMF, 1310nm-TX/1490nm-RX, 20km, LC, DOM)
Interface LC simplex
Plaatje: https://www.redlink.nl/blog/glasvezel-connectoren-overzicht/

nescafe wijzigde deze reactie 05-08-2019 00:47 (58%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Steephh
  • Registratie: juni 2003
  • Laatst online: 13-12 14:00
nescafe schreef op maandag 5 augustus 2019 @ 00:41:
Ja, Tx Bytes zal idd > 0 zijn ook zonder werkende sfp.

Supout.rif is ook vanaf deze kant verzonden. Meestal kunnen ze er wel iets in zien. Heb je overigens een andere unit waarin je de SFP zou kunnen testen? Om uit te sluiten dat deze stuk is?


[...]


Beide sfps hebben toch ook een LC interface? (Lijkt me niet relevant voor dit issue overigens)


[...]


[...]


Plaatje: https://www.redlink.nl/blog/glasvezel-connectoren-overzicht/
Dat is inderdaad niet relevant, daar heb je gelijk in. :P Ik heb wel de SC variant, de kabel die normaal mijn AVM Fritzbox in gaat kan nu dus direct in die SFP module.

Ik heb nóg geen andere MikroTik unit maar daar ben ik wel mee aan de gang. :-) Even wat rond vragen of wellicht een andere unit extra aanschaffen. :9

_@/'


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
@Steephh

Maar iets anders bekeken.. je hebt wel een andere SFP dan je gelinkt hebt. Heb je de oorspronkelijke productlink nog? (op FS.COM is het vinden van de goede sfp een drama). Ik heb namelijk verschil in specs afgeleid op basis van die pagina; wellicht zijn er meer verschillen.

Misschien heb je nog een mediaconverter liggen waarin je de SFP kan testen? Hoeft niet per se een MikroTik-device te zijn.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Steephh
  • Registratie: juni 2003
  • Laatst online: 13-12 14:00
nescafe schreef op maandag 5 augustus 2019 @ 01:01:
@Steephh

Maar iets anders bekeken.. je hebt wel een andere SFP dan je gelinkt hebt. Heb je de oorspronkelijke productlink nog? (op FS.COM is het vinden van de goede sfp een drama). Ik heb namelijk verschil in specs afgeleid op basis van die pagina; wellicht zijn er meer verschillen.

Misschien heb je nog een mediaconverter liggen waarin je de SFP kan testen? Hoeft niet per se een MikroTik-device te zijn.
https://www.fs.com/products/20184.html Klopt, ik heb inderdaad de verkeerde gelinked. Deze zou het moeten zijn! (SFP module is geleend, dus zelf nog niet daar besteld :+)

De SFP module is getest in een CCR1009 door een vriend van me, daarin werkt deze prima. Aan de SFP module zou het dus eigenlijk niet moeten liggen. Helaas ook geen media converter, ik heb eventueel wel een oude hp switch liggen om het volledig uit te sluiten, maar dat is niet nodig verwacht ik.

Steephh wijzigde deze reactie 05-08-2019 01:14 (28%)

_@/'


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:10
Dat is ook niet de goede link.. dat is namelijk de mijne (met LC) 8)

Maar hij is dus getest in een CCR1009, dat is al heel mooi (misschien kun je dat even aanvullen als reply op de ontvangstbevestiging van MikroTik). Het mooiste zou zijn een supout.rif van de bewuste SFP in de CCR1009..

(Dit in het kader van help us to help you: provide as much (relevant) information as possible)

nescafe wijzigde deze reactie 05-08-2019 01:18 (14%)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

Pagina: 1 ... 19 20 21 Laatste


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True