[MikroTik-apparatuur] Ervaringen &amp; Discussie

zondag 31 augustus 2014 16:00

lier schreef op zondag 31 augustus 2014 @ 13:41:
[...]
Hangt ervan af wat over de VPN gaat...

[...]
Alternatief kan Ubiquiti zijn, deze zijn op het gebied van roaming wat slimmer. Maar om een goed advies te geven is het nodig om wat eisen op te stellen (aantal gebruikers, aantal connecties, type verkeer, eisen aan throughput, dual band?, enz.).

De AP:
- maximaal 6 gelijktijdige gebruikers
- Het liefst zowel 2,4Ghz als 5Ghz (Geen vaste eis)
- minimaal 30 mbps per gebruiker
- Een gast/private netwerk ondersteunen.

Als ik goed gekeken heb dan zou de RB951 al mijn eisen aankunnen behave de 5Ghz.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

ihre

ShadowBumble schreef op zondag 31 augustus 2014 @ 11:45:
[...]

Das niet helemaal waar aangezien hij zelf al aangeeft dat het lijstje wat wijzigingen nodig had Dus je moet er zelf nog wel wat aan sleutelen, maar eigenlijk twijfel ik er niet aan dat ihre best het gewijzigde lijstje wil uitdraaien om hier te posten.

Eerlijk gezegd waren dat voornamelijk persoonlijke rules die ik dan ook niet gepost heb, en rule 14 die op disabled stond. De UDP rule mag ook weg. De volgende rules blijven dan over:

code:

[admin@MikroTik] > /ip fi ex
/ip firewall address-list
add address=192.168.2.0/24 comment="LAN Access" list=support
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=drop chain=input comment="Block all access to the webfig - except to support list" dst-port=80 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/24 to-addresses=0.0.0.0

zondag 31 augustus 2014 19:28

Acties:

zondag 31 augustus 2014 19:42

MikroTik
Wifi

Interessante firewallconfig. Zal die van mij hieronder samenvatten en (enigzins redacted) posten, ben benieuwd of iemand nog opmerkingen heeft.

In tegenstelling tot het voorbeeld hierboven geef ik niets om portscans (want ik heb praktisch geen listening ports) en ik ben erg benieuwd wat het nut is van al dat ICMP-micromanagement (en wel een default-accept op ander forwarded traffic?). Zelf allow ik enkel ICMP echo, that's all. Iemand die dat kan toelichten/verklaren?

Input:
- Allow ICMP type 8 (echo)
- Allow ESTABLISHED, RELATED
- Drop alles wat via ether1-wan of ether2-iptv binnenkomt

Dan blijkt de forward chain eigenlijk vrij simpel:
- Allow ESTABLISHED, RELATED
- Allow outgoing (br-priv -> ether1-wan)
- Drop de rest

En omdat ik enkel vanaf m'n eigen bridge (br-priv) bij het modem (eth1-wan) wil kunnen een bonusregel, die helemaal bovenaan staat:
- Drop traffic van alles-behalve-[br-priv] naar 192.168.10.1

code:

/ip firewall filter
add chain=input comment="[any -> rouiter] icmp" icmp-options=8 protocol=icmp
add chain=input comment="[observium -> router] snmp" dst-port=161 protocol=udp src-address=123.123.123.123
add chain=input comment="[any -> router] established" connection-state=established
add chain=input comment="[any -> router] related" connection-state=related
add chain=input comment="[iptv-> router]" dst-address=224.0.0.0/8 in-interface=ether2-iptv
add action=drop chain=input comment="[iptv-> router]" in-interface=ether2-iptv
add action=drop chain=input comment="[wan -> router]" in-interface=ether1-wan

add action=drop chain=forward comment="br-priv to modem only" dst-address=192.168.10.1 in-interface=!br-priv
add chain=forward comment="[wan -> br-priv] related" connection-state=related in-interface=ether1-wan out-interface=br-priv
add chain=forward comment="[wan -> br-priv] established" connection-state=established in-interface=ether1-wan out-interface=br-priv
add chain=forward comment="[br-priv -> wan] any outgoing" in-interface=br-priv out-interface=ether1-wan
add action=drop chain=forward comment="default configuration"

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT for WAN" out-interface=ether1-wan to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="NAT for IPTV" out-interface=ether2-iptv

Forward: alle rules tbv. een tweede subnet weggelaten (vrijwel gelijk aan die voor br-priv), zelfde voor IPTV (complexe NAT'ed IPTV setup).

Wat ik sowieso nog moet oplossen: traffic vanuit 'untrusted' poorten (ether1-wan, ether2-iptv) met een LAN scope (in ieder geval 192.168.0.0/16) expliciet droppen.

Acties:

zondag 31 augustus 2014 19:47

Wat gebruiken jullie als AP van mikrotik? Ik zou graag een ap hebben waar een zestal gebruikers tegelijk opzitten met zowel 5Ghz als 2,4Ghz.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

Verwijderd

Volgens mij heeft Mikrotik geen dual band apparaten. Je kan wel een losse board nemen, en daar twee WiFi kaarten insteken, en met losse antenne's verbinden.

Bv: http://routerboard.com/RB912UAG-5HPnD

en dan dit erbij:

http://routerboard.com/R11e-5HnD

Wat je ook kan doen, is een Ubiquity Unify nemen.

Bv: http://www.interprojekt.c...z-80211n-mimo-p-1267.html

Prijs is ex BTW.

Ziet er ook nog slick uit tegen het plafond.

[ Voor 12% gewijzigd door Verwijderd op 31-08-2014 19:49 ]

zondag 31 augustus 2014 19:58

Acties:

zondag 31 augustus 2014 20:16

Verwijderd schreef op zondag 31 augustus 2014 @ 19:47:
Volgens mij heeft Mikrotik geen dual band apparaten. Je kan wel een losse board nemen, en daar twee WiFi kaarten insteken, en met losse antenne's verbinden.

Bv: http://routerboard.com/RB912UAG-5HPnD

en dan dit erbij:

http://routerboard.com/R11e-5HnD

Wat je ook kan doen, is een Ubiquity Unify nemen.

Bv: http://www.interprojekt.c...z-80211n-mimo-p-1267.html

Prijs is ex BTW.

Ziet er ook nog slick uit tegen het plafond.

Die Ubi is redelijk duur en en met in eensteken wil ik liever niet beginnen. Ik ben namelijk niet op altijd aanwezig op de lokatie waar het moet draaien. En anders de eis van 5Ghz laten vallen en de RB951 te nemem. Heeft iemand ervaring met deze webshop http://www.mikrotik-winkel.nl/

[ Voor 16% gewijzigd door Kridri op 31-08-2014 20:14 ]

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

Verwijderd

Wat is "beter"? Beter bereik, snelheid, betrouwbaarheid? Je kan zeggen dat een Ruckus ZoneFlex van 3000 euro per stuk "goed" is, maar een TP-Link van 40 euro "niet goed" is. Terwijl ze exact hetzelfde doen (WiFi voorzien), alleen eigen zijn ding.

Met andere woorden: WAT wil je ermee bereiken, en wat wil je dat het ding doet of juist niet doet.

Kijk hier maar voor de Mikrotik onderdelen:

http://www.interprojekt.com.pl/index.php?language=en

Prijzen zijn ex BTW.

zondag 31 augustus 2014 20:19

Acties:

zondag 31 augustus 2014 20:40

De bedoeling is om een VPN verbinding op te zetten tussen twee lokaties alsook om op lokatie 1 een volledig dekkend wifi netwerk op te zetten voor minimaal zes personen. Het moet voornamelijk stabiel en betrouwbaar zijn.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

Verwijderd

Dan is een Mikrotik precies wat jij nodig hebt ja. Mikrotik is lastig in te stellen, maar als het werkt, dan blijkt het ook stabiel werken.

Je kan alle soorten Mikrotik nemen, maar minimaal Level 4 OS of hoger. Dan kan je een VPN tunnel opzetten of een server maken.

Maar je moet dan een lossen board nemen, kastje eromheen, en twee WiFi kaarten erin doen. Wat ook mogelijk is, om twee losse Mikrotik's te nemen. Bv. een Omnitik (die alleen 5 GHz doet) en een
RB2011 UiAS-2HnD-IN voor de 2,4 GHz WiFi, en de VPN opzetten, en als router.

Bv:

http://routerboard.com/RBOmnitikUPA-5HnD

en

http://routerboard.com/RB2011UiAS-2HnD-IN

Voordeel: Die RB2011 kan later ook glasvezel rechtstreeks in hebben.

zondag 31 augustus 2014 20:53

Acties:

maandag 1 september 2014 08:31

Ik had gedacht om de MikroTik RB951G-2HnD als router en simpele AP te gebruiken en dan tweemaal de MikroTik RB951-2n als dedicated AP voor de dekking te verzekeren op locatie 1 (de bulk aansluitingen worden gedaan door een hp switch)en op locatie 2 ook de MikroTik RB951G-2HnD als router/AP (heeft maar een AP punt nodig).

Ps.: Kan dan later nog altijd 5ghz AP's toevoegen.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Prima opstelling lijkt mij, Kridri. Succes met configureren!

Eerst het probleem, dan de oplossing

maandag 1 september 2014 08:56

Acties:

_-= Erikje =-_

Iemand ervaring met het opzetten van ipip tunnels over ipsec? je zou zo met een dynamisch routeringsprotocol een behoorlijk redundante site-2-site tunneloplossing kunnen maken (wel ten koste van je MTU)

maandag 1 september 2014 12:28

Acties:

dinsdag 2 september 2014 09:21

lier schreef op maandag 01 september 2014 @ 08:31:
Prima opstelling lijkt mij, Kridri. Succes met configureren!

Bedankt als ik vragen heb zal ik ze her stellen

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

dinsdag 2 september 2014 22:15

Topicstarter

Vandaag even met ROS aan het spelen geweest.

Doel: 2 netwerken op één kabel krijgen.
Details:
kabel op ether1 bevat vlan1 (internet) en vlan2 (router voor separaat netwerk)

Ik heb 2 vlans aangemaakt:
vlan_1_e1 op ether1 met ID 1
vlan_2_e1 op ether1 met ID 2

Ik heb ook 2 bridges gemaakt:

bridge_vlan1
met vlan_1_e1, ether2, ether3, ether4, ether5 en wlan1

en bridge_vlan2
met vlan_2_e1, ether6-master (die vervolgens weer ether7-10 slave onder zich heeft)

Daarnaast heb ik een DHCP client op vlan_1_e1 die keurig een IP adres krijgt van het modem (in vlan1), default route wordt aangemaakt en ik heb nog even een srcnat aangemaakt en ik kan prima internetten op ether2-5 en wlan1.

MAAR
ik krijg mijn separate netwerk niet werkend. Als ik mijn apparaat aankoppen op ether6-10 krijg ik wel een IP-adres van de router in vlan2, maar ik kan geen enkel adres bereiken in vlan2. Als ik het IP van de 192.168.0.1 router intyp is deze onbereikbaar.

Ik heb al een DHCP client aangezet op vlan_2_e1, ik heb een route toe laten voegen, ik heb NAT geprobeerd...niets werkt.

Wat me wel opvalt is dat de traffic op ether1 (met de 2 vlans dus) spaak lijkt te lopen, elke 2 seconden een grote gele piek op mijn LCD scherm. Volgens mij botst hier iets...maar wat?!?!

[ Voor 86% gewijzigd door maarud op 03-09-2014 11:59 ]

Acties:

zaterdag 6 september 2014 20:19

Topicstarter

Iemand tips?

edit: een plaatje zegt meer dan de lap tekst:

Afbeeldingslocatie: http://tweakers.net/ext/f/JCo7H2mcuc1lDBksabxW2iVV/medium.png

De router rechtsbovenin zit er om van buitenaf ook in het 192.168.0.0/24 netwerk te komen dmv VPN.

[ Voor 91% gewijzigd door maarud op 03-09-2014 11:58 ]

Acties:

woensdag 10 september 2014 20:03

Topicstarter

Een voorzichtige kick van mijn vraag...zou wel leuk zijn als ik het opgelost kreeg

Hier is trouwens de huidige config:

code:

[admin@MTRouter] /ip> export
# jan/02/1970 02:00:11 by RouterOS 6.15
# software id = xxxxxxxxxxxxxxxxxxxxxxxxxxxx
#
/ip hotspot profile
add hotspot-address=10.5.50.1 login-by=cookie,http-chap,trial name=hsprof1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=hs-pool-14 ranges=10.5.50.2-10.5.50.254
add name=VPN_IP ranges=10.0.0.10-10.0.0.20
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=bridge_vlan1 network=192.168.88.0
add address=10.5.50.1/24 comment="hotspot network" interface=wlan2 network=10.5.50.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=vlan_1_e1
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=vlan_2_e1
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge_vlan1 lease-time=10m name=default
add address-pool=hs-pool-14 disabled=no interface=wlan2 lease-time=1h name=dhcp1
/ip dhcp-server network
add address=10.5.50.0/24 comment="hotspot network" gateway=10.5.50.1
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=sfp1-gateway
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=masquerade chain=srcnat comment="masquerade hotspot network" src-address=10.5.50.0/24 to-addresses=0.0.0.0
/ip hotspot
add address-pool=hs-pool-14 disabled=no interface=wlan2 name=hotspot1 profile=hsprof1
/ip hotspot user
add name=admin
/ip upnp
set allow-disable-external-interface=no

en van interface:

code:

[admin@MTRouter] /interface> export
# jan/02/1970 02:02:18 by RouterOS 6.15
# software id = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
#
/interface bridge
add admin-mac=4C:5E:xxxxxxxx:5F auto-mac=no l2mtu=1594 name=bridge_vlan1
add l2mtu=1594 name=bridge_vlan2
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge ssid="Private"
add disabled=no l2mtu=2290 mac-address=4E:5E:xxxxxxx:68 master-interface=wlan1 name=wlan2 ssid="FreeWifi" wds-cost-range=0 wds-default-cost=0
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan_1_e1 vlan-id=1
add interface=ether1-gateway l2mtu=1594 name=vlan_2_e1 vlan-id=2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge_vlan1 interface=ether2
add bridge=bridge_vlan1 interface=ether3
add bridge=bridge_vlan1 interface=ether4
add bridge=bridge_vlan1 interface=ether5
add bridge=bridge_vlan2 interface=ether6-master-local
add bridge=bridge_vlan1 interface=wlan1
add bridge=bridge_vlan2 interface=vlan_2_e1
add bridge=bridge_vlan1 interface=vlan_1_e1
/interface pptp-server server
set default-profile=VPNserver enabled=yes

In alle voorbeelden en examples op internet wordt ook ook consequent gesproken om de vlan interface in de bridge te stoppen met de overige interfaces die je er bij in wil hebben en niet de poort waar de vlan op gebaseerd is...maar dat heb ik ook allemaal zo ingesteld. Dus ik heb het vermoeden dat ik het in de routing of firewall tables moet zoeken.

[ Voor 3% gewijzigd door maarud op 06-09-2014 20:20 ]

Acties:

FRGert

Ik heb ook sinds kort een MikroTik, maar ik kom lokaal niet uit het hairpin nat principe. Ik kan de webserver, ssh niet benaderen door middel van mijn domeinnaam die staat gekoppeld aan mijn server thuis. Iemand een idee hoe ik dat kan oplossen

code:

1
2
3

add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.3 dst-port=25-995 out-interface=bridge-local protocol=tcp \
src-address=192.168.88.0/24 to-addresses=0.0.0.0

Dit heb ik geprobeerd, maar dit werkt helaas niet.

Verder heb ik de wiki van MikroTik ook nog geprobeerd, maar dat biedt ook geen uitkomst. Hopelijk weten jullie wat meer.

woensdag 10 september 2014 21:21

Acties:

woensdag 10 september 2014 21:35

Professioneel Prutser

FRGert schreef op woensdag 10 september 2014 @ 20:03:
Ik heb ook sinds kort een MikroTik, maar ik kom lokaal niet uit het hairpin nat principe. Ik kan de webserver, ssh niet benaderen door middel van mijn domeinnaam die staat gekoppeld aan mijn server thuis. Iemand een idee hoe ik dat kan oplossen
code:
1
2
3
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.3 dst-port=25-995 out-interface=bridge-local protocol=tcp \
src-address=192.168.88.0/24 to-addresses=0.0.0.0
Dit heb ik geprobeerd, maar dit werkt helaas niet.

Verder heb ik de wiki van MikroTik ook nog geprobeerd, maar dat biedt ook geen uitkomst. Hopelijk weten jullie wat meer.

Hmm ik heb wel 2 verschillende subnets maar okay ik gebruik deze config :

code:

1	add action=dst-nat chain=dstnat dst-address=<WANIP> to-addresses=<WEBSERVER> dst-port=80 proto=tcp

Mijn webserver is daardoor prima benaderbaar op DNS naam vanaf mijn inside LAN.

EDIT:
Ervanuit gaande dat jij met zowel je clients als webserver op hetzelfde subnet zit zou dit ook moeten werken:

code:

1
2
3

add action=dst-nat chain=dstnat dst-address=<WANIP> to-addresses=<WEBSERVER> dst-port=80 proto=tcp
add action=src-nat chain=srcnat src-address=<WEBSERVER> to-addresses=<WANIP> dst-port=80 proto=tcp
add action=masquerade chain=srcnat dst-address=<Subnet_LAN> src-address=<Subnet_LAN>

Hiermee doe je dus eigenlijk NAT Loopback ( Hairpin NAT dus ).

[ Voor 29% gewijzigd door ShadowBumble op 10-09-2014 21:29 ]

"Allow me to shatter your delusions of grandeur."

Acties:

vrijdag 12 september 2014 08:39

MikroTik
Wifi

FRGert schreef op woensdag 10 september 2014 @ 20:03:
Ik heb ook sinds kort een MikroTik, maar ik kom lokaal niet uit het hairpin nat principe. Ik kan de webserver, ssh niet benaderen door middel van mijn domeinnaam die staat gekoppeld aan mijn server thuis. Iemand een idee hoe ik dat kan oplossen

Heb je al naar de counters van de NAT rule gekeken? Daar kun je uit afleiden of je NAT rule uberhaupt werkt. Indien hij niet gehit wordt zou ik een LOG rule toevoegen om vast te stellen waarom niet.

Ook zou je aan de ontvangende kant of met de traffic sniffer kunnen kijken of je server wel het translated address ziet.

Also, zeker weten dat alle address assignments goed staan?

Acties:

vrijdag 12 september 2014 10:38

Topicstarter

Om nog even terug te komen op mijn verhaal:
Ik heb de config op zich werkend, probleem zat hem in het feit dat er voor vlan_2_e1 op het 192.168.0.0/24 netwerk ook een route werd aangemaakt (dat vinkje stond nog aan bij het toevoegen van DHCP client op vlan_2_e1) en daardoor raakte de rest in de war. Die heb ik uit gezet en nu werken de apparaten op bridge_vlan2 los van bridge_vlan1, so far so good.

Echter, nu het volgende:
Na verloop van tijd heb ik allemaal pieken in de traffic graph op ether1-gateway. Alleen Rx zorgt voor pieken, van 650kbps ongeveer, elke 2 seconden. Wat is dit precies? een loop of collision?

Daarnaast (zie mijn afbeelding van het netwerk) krijgt de router 192.168.0.1 een IP-adres van de mikrotik...dat betekent dus dat de Mikrotik IP-addressewn uit deelt via de ingebouwde switch van het ISP modem naar de WAN poort van de 192.168.0.1

Hoe kan ik instellen dat DHCP server alleen werkt op ether2 t/m 5? en dat hij GEEN adressen mag uitdelen op ether1 (waar de trunk zich bevindt?) De dhcp server kan je alleen per bridge instellen, en in de bridge zit natuurlijk ether1 t/m 5.

Ik begrijp het nog niet echt helemaal maar misschien wil iemand mij het uitleggen..is het zo lastig wat ik wil?

Acties:

vrijdag 12 september 2014 11:02

MikroTik
Wifi

Je vlan_X_e1 interfaces uit de brdiges halen en routen tussen vlan_X_e1 en bridge_vlanX lijkt me de meest logische oplossing.

[ Voor 14% gewijzigd door Thralas op 12-09-2014 10:39 ]

Acties:

vrijdag 12 september 2014 15:27

Topicstarter

Dat is dan voor vlan1 de logische oplossing denk ik? vlan2 hoeft alleen maar 'dom' te switchen. aan de andere kant van de kabel zit namelijk de router voor vlan2, dus het enige wat de mikrotik hoeft te doen, is vlan2 af te tappen van de trunk, en te distribueren op ether6-10.

Dus hoe stel ik de RB in dat hij voor vlan2 alleen maar beetje gaat switchen en niet gaat lopen routeren of aan de adressen gaat lopen prutsen? De router aan de andere kant van de kabel is namelijk DHCP server voor dat netwerk. Ik heb dat nu gedaan door een bridge te maken tussen vlan_2_e1 en ether6-master-local, verder geen enkele route ingesteld, wel dhcp-client op vlan-2-e1.

Acties:

zzattack

Ik merk dat als ik vanaf een LAN pc een lokale server via zijn WAN ip benader ik erg veel snelheid inlever. Om dat überhaupt werkend te krijgen heb ik een hairpin rule aangemaakt, waardoor het lan2lan traffic via de bridge geroute wordt waardoor het wan2lan lijkt voor de server. Is het niet gewoon mogelijk alleen de src/dst van de packets aan te passen zonder deze daadwerkelijk over de bridge te flikkeren?

Ter illustratie: lokaal downloaden van http://192.168.12.34/bestand gaat met bijna gbit snelheid, maar van http://<wan ip>/bestand met maar ongeveer 0.5MB/s, terwijl het over een 100/100 internet verbinding gaat! CPU verbruik is wel gewoon laag.

vrijdag 12 september 2014 19:37

Acties:

zaterdag 13 september 2014 09:08

Topicstarter

Nieuw hersenspinsel:

Ik heb een adres 192.168.2.2 op vlan_1_e1.
Ik heb het netwerk 192.168.88.0/24 op bridge_vlan1. In de bridge zitten poorten 2 t/m 5.

Alle devices ontvangen een 192.168.88.x IP op ether 2 t/m 5 (logisch) en de mikrotik doet NAT zodat hij via 192.168.2.2 (mijn ISP modem) het internet op kan. Werkt prima.

Nu het volgende:
Kan ik ook op ether5 een 192.168.2.x IP krijgen?
en dat dus ether 2 t/m 4 in het 192.168.88.x netwerk zitten en NAT moeten doen, maar ether 5 rechtstreeks op het ISP modem komt en dus een IP adres van hem krijgt ipv de DHCP server van de mikrotik?

Ik heb namelijk maar één kabel en daarover heen moeten internet (dat wil ik in een apart 192.168.88.x netwerk doen), IPTV (die moet denk ik een IP adres van KPN modem krijgen, dus vandaar dat ik die in 192.168.2.x wil hebben) en een VLAN2 netwerk.

Acties:

Gusto

Waarom sluit je de IPTV niet aan op de switch (met de juiste VLAN)?

zaterdag 13 september 2014 10:39

Acties:

zaterdag 13 september 2014 15:07

Professioneel Prutser

Gusto schreef op zaterdag 13 september 2014 @ 09:08:
Waarom sluit je de IPTV niet aan op de switch (met de juiste VLAN)?

ik denk dat hij gewoon even op netwerkje.com moet kijken volgens mij staat er daar een werkend voorbeeld van wat hij wilt.

http://netwerkje.com/config-internet-iptv

"Allow me to shatter your delusions of grandeur."

Acties:

dinsdag 23 september 2014 09:59

Topicstarter

Probleem is dus, dat werkt niet

Het plaatje van mijn netwerk is een paar posts terug.

Er loopt één kabel naar een andere ruimte. In die ruimte staat mijn mikrotik en daar wil ik dus 2 netwerken hebben, één voor internet, en één voor het andere interne netwerk wat ik heb.

Ik kan de IPTV dus niet aansluiten op de switch (tenzij je de mikrotik bedoelt) want die switch staat in de meterkast. De IPTV moet op de mikrotik in hetzelfde VLAN als de experiabox want anders krijgt hij zijn IP niet. Maar op de een of andere manier blijft de DHCP server in de mikrotik de boel in de war gooien (volgens mij omdat vlan_1_e1 ook in de bridge zit en die moet er dan uit geloof ik), dus ik denk dat ik het niet mooier moet maken dan nodig is en ik sloop die er gewoon uit. Ik gebruik wel de DHCP van de Experiabox

edit: al die tijd was het probleem dat ik vlan_1_e1 ook in de bridge had

Ik heb die er uit gehaald, en alleen een bridge gelegd tussen vlan_1_e1 en ether 5 waar ik de IPTV op aansluit. Verder werkt alles eindelijk zoals ik het wil....

Het kan achteraf zo makkelijk zijn, maar als je alleen met consumentenrouters werkt en de basics niet snapt dan is het knap lastig

Thanx Thralas!

[ Voor 24% gewijzigd door maarud op 13-09-2014 15:39 ]

Acties:

donderdag 2 oktober 2014 14:02

ik kan dus zeggen dat mijn netwerk nu al een een week of twee stabiel draait met de setup van een aantal posts terug. Het enige wat mij stoort is dat op sommige plaatsen een wifi apparaat begint te twijfelen welke de sterkste is en zo de connectie dropt. Maar er toch nog relatief 60% signaal is. NU had ik gedacht om een mesh structuur te gaaan draaien. Heeft iemand hier praktische tips voor want de ROS heeft meer dan een standaard aan boord.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

donderdag 2 oktober 2014 14:10

MikroTik
Wifi

De RB850Gx2 is een paar dagen uit.

Lijkt me een mooi alternatief voor de RB951/RB2011 als je tegen performance issues aanloopt (wel de oude RB als AP gebruiken dan

).

Acties:

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Thralas schreef op donderdag 02 oktober 2014 @ 14:02:
De RB850Gx2 is een paar dagen uit.

Dat heeft lang geduurd!

Heb daarom zelf de Ubiquiti EdgeMax Lite aangeschaft.

Eerst het probleem, dan de oplossing

donderdag 2 oktober 2014 14:30

Acties:

zaterdag 4 oktober 2014 13:49

MikroTik
Wifi

De twee extra poorten op de RB850Gx2 vind ik wel een mooi voordeel ten opzichte van de ERL (voor m'n gevoel is 4/5 ideaal bij 'gemddeld' gebruik).

Maar verder vergelijken op papier lijkt lastig, gezien de verschillende architecturen (MIPS64 vs. PPC). Benieuwd naar de benchmarks..

Acties:

zondag 5 oktober 2014 11:45

MikroTik
Wifi

A challenger appears...

Afbeeldingslocatie: http://img.routerboard.com/mimg/997_l.jpg

cAP 2n

Heeft slechts 1 chain (tov. z'n geduchte UniFi-concurrent), maar is wel 2 tientjes goedkoper en integreert met Mikrotik's CAPsMAN. Maar geen roamingmagie, geloof ik..

Acties:

maandag 6 oktober 2014 08:53

Titaan fase 2/3

Oe! Ik had net een bestelling klaar staan voor een 2011 en 2 unifi uap's maar de cAP-2n is ook wel interessant omdat deze aan capsman te koppelen zijn.

Wat is wijsheid, de unifi AUP's of 2 Cap 2n's...

edit:
Ik ga denk ik de "gok" maar eens wagen voor de 2CAP-2n.

[ Voor 14% gewijzigd door allure op 05-10-2014 13:10 ]

Acties:

maomanna

Ik vind dat de unifi wel wat strakker is afgewerkt.

Voor de compatibiliteit zou je ervan uit mogen gaan dat de cap 2n makkelijker functioneert met de mikrotik 2011

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

maandag 6 oktober 2014 09:23

Acties:

_-= Erikje =-_

mwah, het integreert wellicht wat beter met Capsman enz, maar qua netwerk maakt het geen hol uit

maandag 6 oktober 2014 20:58

Acties:

maandag 6 oktober 2014 21:49

zou het volgende mogelijk zijn,

Thuis heb ik een ziggo internet abbé waarin de modem/router in bridge staat en dus heerlijk als puur modem fungeert. (alleen ether 1)

Ik weet dat het soms mogelijk lukt met Ziggo om een "2de" public ip te krijgen.
Ik heb zitten denken aan een mogelijkheid op de Mikrotik om dit op 1 of andere voor elkaar te krijgen dat je 2 public IPs krijgt.
Maar als ik voor de "wan" eth10 (welke het bij mij is) een 2de DHCP client probeer toe te voegen dan kan dit niet.
situatie schets:
Ziggo Modem Ether 1 => RB2011 Eth 10
Is dit mogelijk om dit op een andere manier te doen?

Zo nee..
Is er dan een mogelijkheid dat je bv ETH9 en ETH 10 in een switch modus zet waar er dan op beide een DHCP client draait, ofdat ETH 10 nog steeds de DHCP client is en dan ETH 9 daar als switch aanhangt zodat je daar bv een andere router aan kan hangen die ook een publiek IP krijgt dan.

Of zijn er andere mooiere oplossingen?

Acties:

Verwijderd

Staat je Ziggo modem in bridge of router mode? M.a.w: krijgt jouw Mikrotik een 192.168.xxx of 172.xxx binnen op eth10 of een echt IP bv. 82.45.xxx.xxx

Indien laatste, dan is het simpel. Gewoon de twee echte IP's, op Eth10 invullen, met ditto gateways (opvragen bij Ziggo).

dinsdag 7 oktober 2014 02:29

Acties:

dinsdag 7 oktober 2014 08:28

bridge.
Krijg een 94.XX.XX.XX adres.

Dus ipv een dhcp client een static ip invullen?

Acties:

FatalError

Nee!! Je moet echt nooit het IP adres dat je via DHCP krijgt vast invullen.
Voor jou kan dat als gevolg hebben dat je verbinding het niet meer doet op het moment dat Ziggo jouw IP adres niet meer in jouw regio toepast. IP blokken verhuizen soms van regio om overschotten/schaarste in adressen op te lossen.
Verder krijgt iemand anders gewoon jouw IP adres uitgedeelt, vervolgens heb jij en die andere klant een haperende verbinding.

If it ain't broken, tweak it!

dinsdag 7 oktober 2014 10:21

Acties:

woensdag 8 oktober 2014 16:05

MikroTik
Wifi

FatalError schreef op dinsdag 07 oktober 2014 @ 08:28:
Verder krijgt iemand anders gewoon jouw IP adres uitgedeelt, vervolgens heb j grat ARPij en die andere klant een haperende verbinding.

Ik neem aan dat Ziggo z'n zaakjes op orde heeft en z'n ARP table opbouwt adhv. DHCP leases. Ofwel, geen DHCP-lease? Dan geen routing.

Acties:

Newjersey

The Fatal schreef op maandag 06 oktober 2014 @ 20:58:
zou het volgende mogelijk zijn,

Thuis heb ik een ziggo internet abbé waarin de modem/router in bridge staat en dus heerlijk als puur modem fungeert. (alleen ether 1)

Ik weet dat het soms mogelijk lukt met Ziggo om een "2de" public ip te krijgen.
Ik heb zitten denken aan een mogelijkheid op de Mikrotik om dit op 1 of andere voor elkaar te krijgen dat je 2 public IPs krijgt.
Maar als ik voor de "wan" eth10 (welke het bij mij is) een 2de DHCP client probeer toe te voegen dan kan dit niet.
situatie schets:
Ziggo Modem Ether 1 => RB2011 Eth 10
Is dit mogelijk om dit op een andere manier te doen?

Zo nee..
Is er dan een mogelijkheid dat je bv ETH9 en ETH 10 in een switch modus zet waar er dan op beide een DHCP client draait, ofdat ETH 10 nog steeds de DHCP client is en dan ETH 9 daar als switch aanhangt zodat je daar bv een andere router aan kan hangen die ook een publiek IP krijgt dan.

Of zijn er andere mooiere oplossingen?

Dit is zeker mogelijk. Ik heb dezelfde opstelling met UPC geprobeert. Een switch tussen het modem en de mikrotik zetten. En de mikrotik met 2 utp's aansluiten op de switch. Dan de dhcp client activeren op deze 2 poorten activeren en klaar is Kees

donderdag 9 oktober 2014 20:02

Acties:

vrijdag 10 oktober 2014 10:47

Ik ben ook aan het kijken voor een mikrotik, maar twijfel of ik voor de CRS109-8G-1S-2HnD-IN ga. Zie ik het goed dat er een fan achter in de behuizing zit? Zo ja, is deze duidelijk hoorbaar?

Acties:

ihre

kasteleman schreef op donderdag 09 oktober 2014 @ 20:02:
Ik ben ook aan het kijken voor een mikrotik, maar twijfel of ik voor de CRS109-8G-1S-2HnD-IN ga. Zie ik het goed dat er een fan achter in de behuizing zit? Zo ja, is deze duidelijk hoorbaar?

Geen fan, volgens een Mikrotik Support medewerker op hun eigen forum: http://forum.mikrotik.com...c.php?f=3&t=87860#p442844

vrijdag 10 oktober 2014 17:50

Acties:

zaterdag 11 oktober 2014 13:33

Titaan fase 2/3

Heeft er hier iemand ervaring met CapsMan?
Ik heb 2 cAP's aangesloten op CapsMan en deze lijken ook prima te werken, totdat ik er daadwerkelijk data overheen stuur dan valt de SSID weg in in de logfile op de router wordt dan gelogd met een DTLS Teardown...

edit:
't leek een mismatch met een certificaat

[ Voor 9% gewijzigd door allure op 10-10-2014 20:36 ]

Acties:

SeppeD

kasteleman schreef op donderdag 09 oktober 2014 @ 20:02:
Ik ben ook aan het kijken voor een mikrotik, maar twijfel of ik voor de CRS109-8G-1S-2HnD-IN ga. Zie ik het goed dat er een fan achter in de behuizing zit? Zo ja, is deze duidelijk hoorbaar?

Ik heb deze hier staan en zit geen fan in

zaterdag 11 oktober 2014 15:43

Acties:

maandag 13 oktober 2014 01:49

SeppeD schreef op zaterdag 11 oktober 2014 @ 13:33:
[...]

Ik heb deze hier staan en zit geen fan in

In welke opstelling heb je hem staan en wat zijn je bevindingen?

Acties:

REPLAY

Tik een eitje

In welke webshops kopen jullie Mikrotik? Is er 1 aan te bevelen?

maandag 13 oktober 2014 08:57

Acties:

maandag 13 oktober 2014 09:30

Topicstarter

Ik heb hem bij InterProjekt vandaan, maar als je hem snel moet hebben dan zijn degene uit de pricewatch wel redelijk

Acties:

Newjersey

Ik heb hem bij Wifihouse.nl bestelt. Prijzen zijn goed te noemen. Service ook.

maandag 13 oktober 2014 12:58

Acties:

ihre

Ik heb er 2 van InterProjekt, die zijn ook redelijk snel (zondag besteld, woensdag in huis).

maandag 13 oktober 2014 23:11

Acties:

Hmmbob

Jep, Interprojekt. Inderdaad een dag of 3 levertijd.

Sometimes you need to plan for coincidence

maandag 13 oktober 2014 23:15

Acties:

Verwijderd

Newjersey schreef op maandag 13 oktober 2014 @ 09:30:
Ik heb hem bij Wifihouse.nl bestelt. Prijzen zijn goed te noemen. Service ook.

Mijne daar ook besteld.

vrijdag 17 oktober 2014 12:59

Acties:

vrijdag 17 oktober 2014 13:07

Hier een vraagje over VPN routing.

ik heb de volgende situatie:
Afbeeldingslocatie: https://dl.dropboxusercontent.com/u/32518921/Network.png

Vanuit mijn huis netwerk (192.168.88.0/24) wil ik over VPN een ander netwerk werk bereiken (192.168.0.0/24).
Dit wil ik door de router laten afhandelen.

De VPN opzetten lukt van uit de Mikrotik naar de andere kant (zie de mini screenshot bovenaan) en krijgt IP 10.10.10.1.remote adres 10.0.0.0.

Als ik via de terminal probeer te pingen naar 10.0.0.0 dan krijg ik time outs.
Als ik probeer te pingen naar 192.168.0.X dan krijg ik ook time outs.

Als ik de VPN opbouw vanaf mijn laptop en dan "send all traffic over VPN" dan kan ik alles goed bereiken. Ook als ik "Send all traffic over VPN" uitzet en manueel een route er in gooi dan werkt het ook.

Dus denk dat er iets fout gaat in routes/firewall op de router. Maar hier kom ik niet uit.
Heeft iemand een paar aanwijzingen hoe ik alleen het 192.168.0.X verkeer over de VPN kan laten gaan en al het andere gewoon over de WAN zoals het nu is.

Acties:

DennusB

The Fatal schreef op vrijdag 17 oktober 2014 @ 12:59:
Hier een vraagje over VPN routing.

ik heb de volgende situatie:
[afbeelding]

Vanuit mijn huis netwerk (192.168.88.0/24) wil ik over VPN een ander netwerk werk bereiken (192.168.0.0/24).
Dit wil ik door de router laten afhandelen.

De VPN opzetten lukt van uit de Mikrotik naar de andere kant (zie de mini screenshot bovenaan) en krijgt IP 10.10.10.1.remote adres 10.0.0.0.

Als ik via de terminal probeer te pingen naar 10.0.0.0 dan krijg ik time outs.
Als ik probeer te pingen naar 192.168.0.X dan krijg ik ook time outs.

Als ik de VPN opbouw vanaf mijn laptop en dan "send all traffic over VPN" dan kan ik alles goed bereiken. Ook als ik "Send all traffic over VPN" uitzet en manueel een route er in gooi dan werkt het ook.

Dus denk dat er iets fout gaat in routes/firewall op de router. Maar hier kom ik niet uit.
Heeft iemand een paar aanwijzingen hoe ik alleen het 192.168.0.X verkeer over de VPN kan laten gaan en al het andere gewoon over de WAN zoals het nu is.

Je moet m gewoon even duidelijk maken dat ie standaard een extra route mee pusht naar de clients

Owner of DBIT Consultancy | DJ BassBrewer

vrijdag 17 oktober 2014 13:09

Acties:

vrijdag 17 oktober 2014 13:39

Professioneel Prutser

Newjersey schreef op maandag 13 oktober 2014 @ 09:30:
Ik heb hem bij Wifihouse.nl bestelt. Prijzen zijn goed te noemen. Service ook.

Ik durf heb bijna niet te zeggen maar ik vind het ronduit schofterig om voor een RB951G-2Hnd 83 Euro excl. verzendkosten te vragen dus zeg even EUR 90 afgerond, terwijl de advies prijs nog geen 60 USD is ( 46.79 EUR ). Bij varia ( Duitsland, interprojekt had ze niet op voorraad ) heb ik hem destijds voor 76.64 EUR incl. DHL verzending naar NL gekocht en das begin dit jaar geweest. Is nu 10 Euro goedkoper bij varia als toen ik hem kocht, en bij interprojekt is hij 46 Euro nog wat, ( reken hier nog wel verzendkosten enz bij )

The Fatal schreef op vrijdag 17 oktober 2014 @ 12:59:

...

Probeer eens Push Route:

Bijv.

code:

1	push "route 10.0.0.0 255.0.0.0 10.15.32.33"

EDIT:

Zie hierboven dus

[ Voor 20% gewijzigd door ShadowBumble op 17-10-2014 13:22 ]

"Allow me to shatter your delusions of grandeur."

Acties:

vrijdag 17 oktober 2014 13:58

MikroTik
Wifi

ShadowBumble schreef op vrijdag 17 oktober 2014 @ 13:09:
Ik durf heb bijna niet te zeggen maar ik vind het ronduit schofterig om voor een RB951G-2Hnd 83 Euro excl. verzendkosten te vragen dus zeg even EUR 90 afgerond,

Kapitalisme

Afronden naar boven is wel flauw.

terwijl de advies prijs nog geen 60 USD is ( 46.79 EUR ).

Gezien het een dollarprijs is, is dat wel exlusief belastingen. Met 21% BTW kom je uit op EUR 56.61.

Interprojekt zit daar 1.5 euro boven, Varia-store 5. Mooie marge houden de twee shops in de pricewatch dan over, maar dat is hun goed recht. Bovendien bieden ze beide niet veel meer aan dan de RB951 en RB2011.

Kan het ze echt niet kwalijk nemen, maar tenzij het prijsverschil slechts 5 euro is haal ik m'n spul mooi elders

EDIT: Op de lijst van Mikrotik distributors in Nederland staan nog een paar shops, Mikroshop zit redelijk ver onder de pricewatch, maar doet dat voordeel grotendeels teniet door dure (en langzame) verzending.

[ Voor 15% gewijzigd door Thralas op 17-10-2014 14:02 ]

Acties:

vrijdag 17 oktober 2014 14:01

Professioneel Prutser

Thralas schreef op vrijdag 17 oktober 2014 @ 13:39:
Interprojekt zit daar 1.5 euro boven, Varia-store 5. Mooie marge houden de twee shops in de pricewatch dan over, maar dat is hun goed recht. Bovendien bieden ze beide niet veel meer aan dan de RB951 en RB2011.

Inderdaad beide ruim 20 Euro op een product van 56 vind ik dat toch bijzonder veel, daarom snapte ik ook niet dat er nog bij stond dat ze prima prijzen hadden

Thralas schreef op vrijdag 17 oktober 2014 @ 13:39:
Kan het ze echt niet kwalijk nemen, maar tenzij het prijsverschil slechts 5 euro is haal ik m'n spul mooi elders

Tuurlijk niet ze zijn de enige in de V&A die ze verkopen, daarom vind ik het ook zo schandalig, gelukkig is dit nu niet zo een Router dat hij heel erg mainstream en gebruikersvriendelijk dat hordes consumenten ze direct gaan aanschaffen/.

"Allow me to shatter your delusions of grandeur."

Acties:

vrijdag 17 oktober 2014 14:14

Hoe zijn jullie bevindingen eigenlijk mbt de wireless performance van de mikrotik producten? Ben nl helemaal klaar met die broadcomrouters met hun wisselende performance ondanks dat je helemaal niks verandert aan de instellingen

Acties:

The Executer

Lekker belangrijk!

Wifi performance vindt ik goed te noemen. SGS4 + HTC One X, waar ik voorheen flink dataverlies had op mijn Ziggo Ubee modem, nu 0.0 meer. Bereik tot op zolder 4 strepen, zitten 2 betonnen vloeren tussen + hij hangt in de meterkast.

VPN performance van de RB951G-2HnD is wel drama: Via LT2P kom ik niet verder dan 1Mbps. PPTP trekt mijn 20mbit lijn van Ziggo vol.

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 17 oktober 2014 14:22

Acties:

maomanna

In kan me aansluiten bij het verhaal van the Executer.

Ook hier is het ontvangst op zolder prima (2 betonnen lagen en router in te MK)

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

vrijdag 17 oktober 2014 14:23

Acties:

vrijdag 17 oktober 2014 14:35

DennusB schreef op vrijdag 17 oktober 2014 @ 13:07:
[...]

Je moet m gewoon even duidelijk maken dat ie standaard een extra route mee pusht naar de clients

ShadowBumble schreef op vrijdag 17 oktober 2014 @ 13:09:
[...]
[...]

Probeer eens Push Route:

Bijv.
code:
1
push "route 10.0.0.0 255.0.0.0 10.15.32.33"
EDIT:

Zie hierboven dus

mijn router moet dat dus pushen naar de "LAN" Clients? (192.168.88.0/24)
Doe je dat door bij routes te doen?

Dus dan krijg ik soort van route 192.168.0.0 255.255.255.0 192.168.88.1 ?

Acties:

vrijdag 17 oktober 2014 14:42

MikroTik
Wifi

Nee, je VPN server moet die routes pushen.

Ik heb geen idee of Mikrotik die routes accepteert, en dat kan ik ook niet vinden op de wiki. Logischerwijs moet het wel zo zijn dat je routes naar 10.0.0.0/xx en 192.168.0.0/24 hebt onder IP -> Routes.

Als die niet vanzelf worden toegevoegd (al dan niet als de OpenVPN server ze pushed) dan moet je dat handmatig doen.

Acties:

vrijdag 17 oktober 2014 14:58

The Executer schreef op vrijdag 17 oktober 2014 @ 14:14:
Wifi performance vindt ik goed te noemen. SGS4 + HTC One X, waar ik voorheen flink dataverlies had op mijn Ziggo Ubee modem, nu 0.0 meer. Bereik tot op zolder 4 strepen, zitten 2 betonnen vloeren tussen + hij hangt in de meterkast.

VPN performance van de RB951G-2HnD is wel drama: Via LT2P kom ik niet verder dan 1Mbps. PPTP trekt mijn 20mbit lijn van Ziggo vol.

Jammer dat er geen variant is van de RB850Gx2 met wifi, dat zou wellicht een mooie combinatie zijn. Of ik zou die 2 moeten combineren. Iemand ook al ervaring met de RB850Gx2?

Acties:

vrijdag 17 oktober 2014 21:37

Thralas schreef op vrijdag 17 oktober 2014 @ 14:35:
Nee, je VPN server moet die routes pushen.

Ik heb geen idee of Mikrotik die routes accepteert, en dat kan ik ook niet vinden op de wiki. Logischerwijs moet het wel zo zijn dat je routes naar 10.0.0.0/xx en 192.168.0.0/24 hebt onder IP -> Routes.

Als die niet vanzelf worden toegevoegd (al dan niet als de OpenVPN server ze pushed) dan moet je dat handmatig doen.

De PPTP server die ik aan de andere kant heb kan dat niet. Deze draait namelijk op een synology NAS met het VPN package. Heb nooit iets kunnen vinden dat dit met PPTP op de synology werkt. Helaas.

Dus zal het aan de "client" kant, de mikrotik dus, moeten oplossen.

"update"

Na wat stoeien bleek dat mijn security profiel niet juist was, hier in stond een IP in dat niet klopte.
Na deze verwijderd te hebben en het default profiel gebruikt te hebben krijg ik het goede IP adres dat ik ook aan de " Server" kant zie dat er is uit gegeven.

[admin@HomeNetRouter] /interface> pptp-client monitor 0
status: connected
uptime: 41m32s
encoding: MPPE128 stateless
mtu: 1400
mru: 1450
local-address: 10.10.10.1
remote-address: 10.10.10.0

Dmv een static route te maken kan ik over de VPN vanuit de router het 192.168.0.X adres pingen.
1 ADC 10.10.10.0/32 10.10.10.1 pptp-out1 0
3 A S ;;; VPN
192.168.0.0/24 10.10.10.0

[admin@*.*] > ping 192.168.0.1
HOST SIZE TTL TIME STATUS
192.168.0.1 56 63 39ms
192.168.0.1 56 63 37ms
192.168.0.1 56 63 36ms
192.168.0.1 56 63 25ms

Alleen krijg het nog niet voor elkaar om die route aan het " normale" netwerk te knopen..
Eriks-MacBook-Pro:~ Erik$ ping 192.168.0.49
PING 192.168.0.49 (192.168.0.49): 56 data bytes
Request timeout for icmp_seq 0

Als ik ga zoeken naar info over VPN " site to site" oid dan kom ik alleen maar VPN server sites waarin uitgelegd staat dat al het traffic over de VPN moet gaan, maar dat wil ik dus niet....

[ Voor 52% gewijzigd door The Fatal op 17-10-2014 21:30 ]

Acties:

zaterdag 18 oktober 2014 12:13

MikroTik
Wifi

Staat je firewall wel goed?

Acties:

zaterdag 18 oktober 2014 18:03

Naar mijn idee wel:
5 ;;; VPN Client
chain=input action=accept src-address=192.168.88.0/24
dst-address=192.168.0.0/24 log=yes log-prefix=""

6 chain=input action=accept src-address=192.168.0.0/24
dst-address=192.168.88.0/24 log=no log-prefix=""

7 chain=input action=accept src-address=192.168.0.0/24
dst-address=10.10.10.0/24 log=no log-prefix=""

8 chain=input action=accept src-address=10.10.10.0/24
dst-address=192.168.0.0/24 log=no log-prefix=""

Acties:

zaterdag 18 oktober 2014 19:03

Weet iemand toevallig wat de throughput van de MikroTik CRS109-8G-1S-2HnD-IN is?
Kan deze bijvoorbeeld 100/100 verkeer over de WAN poort hebben? 200/200? 500/500?

Uiteraard probeer ik m'n aankoop van een firewall nu te richten op de toekomst en is het niet ondenkbaar
dat de snelheid volgend jaar naar 200/200 of 500/500 zal gaan.

Tevens zie ik op verschillende websites niks staan over de mogelijkheid tot het opzetten van VPN tunnels
met dit apparaat. Ook bij de Routerbord modellen niet. Klopt dit? Is dit een functionaliteit die mist?

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

zaterdag 18 oktober 2014 19:09

Titaan fase 2/3

Op de CRS draait RouterOS en hiermee is het wel mogelijk om VPN tunnels aan te maken.

Over de throughput kan ik je niets vertellen.

Acties:

zaterdag 18 oktober 2014 19:39

allure schreef op zaterdag 18 oktober 2014 @ 19:03:
Op de CRS draait RouterOS en hiermee is het wel mogelijk om VPN tunnels aan te maken.
Over de throughput kan ik je niets vertellen.

Klopt het dat er qua specificaties op dat gebied, hiermee bedoel ik zaken als:
- Aantal tunnels
- SSL VPN en/of IPSEC
- Throughput over VPN

Waarom staat daar niks over op de website..dit zijn toch zaken die een keuze behoorlijk kunnen beïnvloeden.

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

zondag 19 oktober 2014 00:26

Titaan fase 2/3

Ik ben het met je eens dat het vreemd is dat dit niet ergens duidelijk in specificaties is opgenomen.

Op de voorlaatste pagina staan ook nog wat specs voor wat betreft VPN.
http://download2.mikrotik.com/what_is_routeros.pdf

Heb je de manual van RouterOS al bekeken?
http://wiki.mikrotik.com/wiki/Manual:TOC
http://wiki.mikrotik.com/...iki/Manual:TOCi/Main_Page

[ Voor 35% gewijzigd door allure op 18-10-2014 19:43 ]

Acties:

zondag 19 oktober 2014 01:14

Dat ziet er inderdaad goed uit, meer informatie over VPN tunnels en genoeg mogelijkheden zo te zien.
Wat ik mij wel afvraag is wat RouterOS voor toevoeging geeft. Zijn alle modellen ook niet met WebFig te bereiken?

Is RouterOS verplicht om bepaalde functionaliteiten aan te spreken? Wat is het voordeel van RouterOS
ten opzichte van WebFig?

Of zijn dit twee verschillende dingen? Ik begrijp het niet zo goed denk ik. Daarbij heb je voor RouterOS een
licentie nodig...is RouterOS daarmee verplicht en heb je sowieso een licentie nodig bij gebruik van een MikroTik?

[ Voor 4% gewijzigd door UniPer op 19-10-2014 00:27 ]

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

zondag 19 oktober 2014 02:02

UniPer schreef op zondag 19 oktober 2014 @ 00:26:
Dat ziet er inderdaad goed uit, meer informatie over VPN tunnels en genoeg mogelijkheden zo te zien.
Wat ik mij wel afvraag is wat RouterOS voor toevoeging geeft. Zijn alle modellen ook niet met WebFig te bereiken?

Is RouterOS verplicht om bepaalde functionaliteiten aan te spreken? Wat is het voordeel van RouterOS
ten opzichte van WebFig?

Of zijn dit twee verschillende dingen? Ik begrijp het niet zo goed denk ik. Daarbij heb je voor RouterOS een
licentie nodig...is RouterOS daarmee verplicht en heb je sowieso een licentie nodig bij gebruik van een MikroTik?

RouterOS draait op de mikrotik via webfig/ winbox kan je de router in stellen en de licentie bepaalt hoeveel tunnel je kan aanmaken als ik mij goed herinner.

Als iedereen een klein beetje luier was, zouden er een heleboel problemen zo de wereld uit zijn

Acties:

zondag 19 oktober 2014 13:03

Ik begrijp het al, een RouterBoard is standaard voorzien van een license, daar hoef je niks voor te kopen.
Je kunt echter een RouterOS draaien op een PC/VM waarmee dit een volwaardige firewall wordt.

Hiervoor kun je een licentie aanschaffen bij MikroTik, zie: http://wiki.mikrotik.com/wiki/Manual:License

Het kan dus heel interessant zijn om een RouterBoard thuis neer te zetten en een VM met RouterOS op m'n remote site.

Of begrijp ik het verkeerd?

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

zondag 19 oktober 2014 14:09

Titaan fase 2/3

Dat zie je helemaal goed.

Al is het misschien qua stroomverbruik niet zo economisch.

Acties:

ShadowAS1

IT Security Nerd

UniPer schreef op zondag 19 oktober 2014 @ 02:02:
Ik begrijp het al, een RouterBoard is standaard voorzien van een license, daar hoef je niks voor te kopen.
Je kunt echter een RouterOS draaien op een PC/VM waarmee dit een volwaardige firewall wordt.

Hiervoor kun je een licentie aanschaffen bij MikroTik, zie: http://wiki.mikrotik.com/wiki/Manual:License

Het kan dus heel interessant zijn om een RouterBoard thuis neer te zetten en een VM met RouterOS op m'n remote site.

Of begrijp ik het verkeerd?

Klopt, wij hebben er zo een draaien op een oude(re) HP ESXi server. Draait als een zonnetje

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 19 oktober 2014 15:28

Acties:

zondag 19 oktober 2014 15:57

Het enigste wat ik niet kan vinden blijft de firewall en vpn throughput. Toch niet geheel onbelangrijk.

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

zondag 19 oktober 2014 17:17

MikroTik
Wifi

Da's een makkie. De CRS109-8G-1S-2HnD-IN heeft dezelfde SoC (ar9344) en klokfrequentie als de RB951G-2HnD.

Dus je kunt de performance van de RB951G of RB2011 gebruiken als reference. Benchmarks op de site zijn beperkt bruikbaar, realistischere cijfers zijn tenminste 200 Mbit/s aan NAT + firewall en ~20 Mbit/s max over een encrypted tunnel/VPN.

Verkijk je dus ook niet op de CRS, ze zien er fancy uit, maar bieden enkel wat extra poorten + switching features ten opzichte van de RB951G/RB2011.

Acties:

zondag 19 oktober 2014 19:33

Dat vermoede had ik al een beetje, vandaar dat ik best wel nieuwsgierig ben naar de RB850G2 met dual core 500 Mhz en ik dus nog steeds twijfel wat ik zal doen.

Acties:

zondag 19 oktober 2014 22:59

20 mbit maar over de tunnel? Dat is niet heel veel. Ik ga eens even kijken wat de beste aankoop is.

De CRS109 of de RB2011.

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

maandag 20 oktober 2014 13:08

Thralas schreef op vrijdag 17 oktober 2014 @ 21:37:
Staat je firewall wel goed?

The Fatal schreef op zaterdag 18 oktober 2014 @ 12:13:
Naar mijn idee wel:
5 ;;; VPN Client
chain=input action=accept src-address=192.168.88.0/24
dst-address=192.168.0.0/24 log=yes log-prefix=""

6 chain=input action=accept src-address=192.168.0.0/24
dst-address=192.168.88.0/24 log=no log-prefix=""

7 chain=input action=accept src-address=192.168.0.0/24
dst-address=10.10.10.0/24 log=no log-prefix=""

8 chain=input action=accept src-address=10.10.10.0/24
dst-address=192.168.0.0/24 log=no log-prefix=""

iemand hier nog een idee over?

Acties:

maandag 20 oktober 2014 17:07

MikroTik
Wifi

Input? Dat moet de forward chain zijn, lijkt me.

Als het dan nog niet werkt: gebruik de packet sniffer of torch icm. LOG rules in je firewall om te zien wat er misgaat (in ieder geval aan de Mikrotikzijde). Daarmee moet je eruit kunnen komen.

Acties:

dinsdag 21 oktober 2014 14:16

thanks,
Had de input en forward verkeerd geïnterpreteerd.
Weer een klein stapje verder, maar nog niet werkend.
Als ik met torch en logfile kijk zie ik wel uitgaande pakketten gaan, maar er komt nog niks terug.

Acties:

dinsdag 21 oktober 2014 15:04

Inmiddels antwoord van de sales desk van Mikrotik.
Hun geven het volgende aan als het neerkomt op throughput waarbij ik geïnformeerd heb over mogelijkheden
voor de lijnen 100/100 - 200/200 en 500/500.

Hello,

For 500/500Mbps you will need to look at CCR Series
IF 200/200Mbps don't have extensive queues and firewall you should be fine with CRS
109, but Encrypted VPN will max out CPU and <50Mbps.

For 100/100 CRS109 should be sufficient.

Regards,
Janis M.

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

dinsdag 21 oktober 2014 15:08

UniPer schreef op dinsdag 21 oktober 2014 @ 14:16:
Inmiddels antwoord van de sales desk van Mikrotik.
Hun geven het volgende aan als het neerkomt op throughput waarbij ik geïnformeerd heb over mogelijkheden
voor de lijnen 100/100 - 200/200 en 500/500.

[...]

RB951G-2HnD (600Mhz) Gigabit port test RouterOS
Mode Configuration 64 byte 512 byte 1518 byte
kpps Mbps kpps Mbps kpps Mbps
Bridging none (fast path) 269.6 176.9 232.0 983.7 81.0 995.3
Bridging 25 bridge filter rules 87.6 57.5 86.0 364.6 81.0 995.3
Routing none (fast path) 226.9 148.8 210.0 890.4 81.0 995.3
Routing 25 simple queues 106.6 69.9 103.9 440.5 81.0 995.3
Routing 25 ip filter rules 60.5 39.7 59.6 252.7 56.8 698.0

Voor de RB850Gx2 kreeg ik het volgende tabelletje door:

kpps Mbps kpps Mbps kpps Mbps
446.7 293.0 424.1 1,798.2 162.4 1,995.6
203.2 133.3 199.0 843.8 162.4 1,995.6
336.9 221.0 341.1 1,446.3 162.4 1,995.6
314.6 206.4 299.3 1,269.0 162.4 1,995.6
120.3 78.9 119.2 505.5 114.8 1,410.7

En nu nog wijs worden uit de getalletjes en dit vertalen naar alledaags gebruik.......

Acties:

dinsdag 21 oktober 2014 15:23

Professioneel Prutser

kasteleman schreef op dinsdag 21 oktober 2014 @ 15:04:
[...]
Voor de RB850Gx2 kreeg ik het volgende tabelletje door:

En nu nog wijs worden uit de getalletjes en dit vertalen naar alledaags gebruik.......

Zolang je het verschil tussen kpps (kilo packets per second) en Mbps kent en de packetsize dan is het vrij simpel te vertalen

Over het algemeen krijg ik mijn RB951G toch niet over de zeik met een 200/20 Mbit lijn met een "normale" firewall met NAT en vlans.

"Allow me to shatter your delusions of grandeur."

Acties:

dinsdag 21 oktober 2014 15:52

ShadowBumble schreef op dinsdag 21 oktober 2014 @ 15:08:
[...]

Zolang je het verschil tussen kpps (kilo packets per second) en Mbps kent en de packetsize dan is het vrij simpel te vertalen Over het algemeen krijg ik mijn RB951G toch niet over de zeik met een 200/20 Mbit lijn met een "normale" firewall met NAT en vlans.

Ik ga binnenkort kijken of dat wel lukt met een 500/500 lijn

En dan met de CRS109

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

Acties:

dinsdag 21 oktober 2014 16:22

Professioneel Prutser

UniPer schreef op dinsdag 21 oktober 2014 @ 15:23:
[...]

Ik ga binnenkort kijken of dat wel lukt met een 500/500 lijn En dan met de CRS109

Ik vermoed van niet

want de RB2011 die dezelfde soc gebruikt is al eens getest op een 500/500 lijn en dat haalde hij niet ( staat in 1 van de comments op de RB2011 review van Pogostokje om precies te zijn deze reactie ).

"Allow me to shatter your delusions of grandeur."

Acties:

dinsdag 21 oktober 2014 22:23

MikroTik
Wifi

ShadowBumble schreef op dinsdag 21 oktober 2014 @ 15:08:
Zolang je het verschil tussen kpps (kilo packets per second) en Mbps kent en de packetsize dan is het vrij simpel te vertalen Over het algemeen krijg ik mijn RB951G toch niet over de zeik met een 200/20 Mbit lijn met een "normale" firewall met NAT en vlans.

De RB850Gx2 lijkt dus grofweg tweemaal zo vlot als de RB951G. Carefully tuned zou je toch een heel eind in de buurt van de 500 Mbit/s real-world TCP throughput moeten kunnen komen zou ik zeggen.

Vooral die tuning is kritisch, een bwtest van m'n RB951G naar een x86 RouterOS-VM ging van slechts ~90 Mbit/s naar 130-140 Mbit/s toen ik wat ongebruikte mangling rules uitschakelde.

Hetzelfde geldt voor firewall rules, als je tegen een bottleneck aanloopt lijkt het me zinnig om even goed naar de rule order te kijken, en waar nodig extra chains invoegen (jammer dat je rules niet overzichtelijk per-chain kunt zien in winbox, dan had ik al een stuk meer zin gehad in dat karwei).

Acties:

Verwijderd

Thralas schreef op zaterdag 04 oktober 2014 @ 13:49:
A challenger appears...

[afbeelding]
cAP 2n

Heeft slechts 1 chain (tov. z'n geduchte UniFi-concurrent), maar is wel 2 tientjes goedkoper en integreert met Mikrotik's CAPsMAN. Maar geen roamingmagie, geloof ik..

Ik zit eraan te denken om hem te kopen. Zie alleen niet zo snel een NL winkel die hem al verkoopt. Iemand al ervaringen mee toevallig?

woensdag 22 oktober 2014 12:22

Acties:

woensdag 22 oktober 2014 16:24

Titaan fase 2/3

Ik heb bij mijn ouders 2 van deze cAP's weggehangen, Boven en beneden een.
Deze worden geconfigureerd vanaf de CAPsMAN op de 2011.

Deze draaien nu op 11G, de cAP's moeten ook op 11N kunnen draaien maar ik had nog niet de tijd om dit voor elkaar te krijgen. 11G gaat iig vlekkeloos...

[ Voor 37% gewijzigd door allure op 22-10-2014 12:24 ]

Acties:

ingo92

Sinds een paar weken hebben wij hier thuis de KPN Experiabox vervangen voor een RB2011UiAS-2HnD-IN, om eindelijk eens van het gezeur met o.a. de Xbox af te zijn. Ik heb hem grotendeels geconfigureerd volgens de uitleg op netwerkje.com, gecombineerd met uitleg uit dit topic. Het apparaat functioneert grotendeels naar wens, echter hebben wij twee problemen met de WiFi:
- Deze is nogal instabiel, zelfs als je er naast zit verlies je de verbinding of kan er geen verbinding gemaakt worden.
- Als er TV gekeken wordt valt de draadloze snelheid volledig weg (van plusminus 80 Mbps naar nog geen 0,5).

Volgens mij liggen beide aan de Wifi-module in het board: als ik een andere router vanaf dezelfde plek op hetzelfde kanaal laat zenden werkt die prima, en tijdens TV kijken blijft de bedrade snelheid gewoon op peil. We gebruiken nu dan ook grotendeels de twee 'versterkings'-AP's die elders in het huis op zwakke plekken hangen.

De configuratie van het board: (http://pastebin.com/PCEYFGgF)

code:

# oct/22/2014 16:09:58 by RouterOS 6.15
# software id = D878-190M
#
/interface bridge
add l2mtu=1594 name=bridge-iptv
add arp=proxy-arp l2mtu=1598 name=bridge-local
add l2mtu=1594 name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-gateway speed=\
    1Gbps
set [ find default-name=ether2 ] speed=1Gbps
/interface pptp-server
add name=pptp-in1 user=""
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1 discover=no
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway l2mtu=1594 name=vlan1.6 vlan-id=6
add interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7
add disabled=yes interface=ether10 name=vlan10.4 vlan-id=4
add interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7
/ip neighbor discovery
set vlan1.6 discover=no
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=wireless \
    supplicant-identity="" wpa-pre-shared-key=WIFIPASS wpa2-pre-shared-key=\
    WIFIPASS
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=netherlands disabled=\
    no l2mtu=2290 mode=ap-bridge security-profile=wireless ssid=wbd65_web
/ip neighbor discovery
set wlan1 discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip pool
add name=thuisnetwerk ranges=192.168.100.51-192.168.100.200
/ip dhcp-server
add address-pool=thuisnetwerk authoritative=yes disabled=no interface=\
    bridge-local lease-time=1h30m name=dhcp-thuis
/port
set 0 name=serial0
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,mschap2 \
    default-route-distance=1 dial-on-demand=no disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe \
    password=kpn profile=default service-name="" use-peer-dns=no user=\
    MACADDRESS@direct-adsl
/ip neighbor discovery
set pppoe discover=no
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-iptv interface=vlan1.4
add bridge=bridge-iptv interface=ether6
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-iptv interface=ether7
add bridge=bridge-tel interface=vlan10.7
add bridge=bridge-iptv disabled=yes interface=vlan10.4
/interface pptp-server server
set enabled=yes max-mru=1460 max-mtu=1460
/ip address
add address=192.168.100.250/24 interface=bridge-local network=192.168.100.0
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.100.144 comment="TP Link beneden" mac-address=\
    F8:1A:67:95:BC:BE server=dhcp-thuis
add address=192.168.100.132 client-id=1:0:1d:d8:2d:21:c9 comment=Xbox \
    mac-address=00:1D:D8:2D:21:C9 server=dhcp-thuis
add address=192.168.100.145 comment="TP Link praktijk" mac-address=\
    F8:1A:67:95:B4:08 server=dhcp-thuis
add address=192.168.100.147 comment="MB Live Duo" mac-address=\
    00:90:A9:B6:98:47 server=dhcp-thuis
add address=192.168.100.149 comment="Brother printer" mac-address=\
    78:E4:00:A6:07:3E server=dhcp-thuis
add address=192.168.100.143 client-id=1:9c:b6:54:58:c8:75 comment="HP 8600" \
    mac-address=9C:B6:54:58:C8:75 server=dhcp-thuis
add address=192.168.100.142 comment=OpenELEC mac-address=00:21:6B:0A:09:80 \
    server=dhcp-thuis
add address=192.168.100.141 comment=X360XBMC mac-address=00:13:77:B2:91:53 \
    server=dhcp-thuis
add address=192.168.100.133 client-id=1:0:4:20:2d:e9:68 comment=Internetradio \
    mac-address=00:04:20:2D:E9:68 server=dhcp-thuis
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.250 domain=thuis.local \
    gateway=192.168.100.250
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.100.0/24 comment="LAN Access" list=support
/ip firewall filter
add chain=input in-interface=pppoe protocol=icmp
add chain=input connection-state=related
add chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 \
    protocol=udp src-address=!192.168.100.0/24
add chain=input comment=VPN dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Port scanners to list " \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\
    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" \
    src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
    ICMP protocol=icmp
add action=drop chain=input comment=\
    "Block all access to the winbox - except to support list" dst-port=8291 \
    protocol=tcp src-address-list=!support
add action=drop chain=input comment=\
    "Block all access to the webfig - except to support list" dst-port=80 \
    protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
    jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=\
    established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" \
    src-address-list=support
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 \
    limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=\
    icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
    protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
/ip traffic-flow
set cache-entries=4k
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/lcd
set backlight-timeout=5m
/lcd interface
set sfp1 interface=sfp1
set ether1-gateway interface=ether1-gateway
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
set wlan1 interface=wlan1
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2,ether3,ether4,ether5,ether6,ether\
    7,ether8,ether9,ether10,wlan1"
/ppp secret
add local-address=192.168.100.250 name=wbd65 password=VPNPASS profile=\
    default-encryption remote-address=192.168.10.130 service=pptp
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes primary-ntp=50.7.160.12 secondary-ntp=213.136.0.252

Heeft er iemand last van dezelfde problemen, of een tip om het te verhelpen? Alvast bedankt!

[ Voor 80% gewijzigd door ingo92 op 22-10-2014 17:33 . Reden: Verduidelijking TV probleem ]

woensdag 22 oktober 2014 16:57

Acties:

woensdag 22 oktober 2014 17:34

Titaan fase 2/3

Volgens mij heb ik een soortgelijk iets met de TV-app van Ziggo, Het geluid gaat prima echter hangt het beeld zo af een toe een halve seconde.

Acties:

ingo92

Het gaat bij mij om de snelheid van de Wifi, de TV doet het op zich prima ;-) Ik heb mijn bericht even iets verduidelijkt.

woensdag 22 oktober 2014 20:20

Acties:

Verwijderd

Ik heb zelf wel wat problemen met wifi. In mijn slaapkamer heb ik nog amper bereik. De afstand van de router is niet zo groot, maar ik verwacht eerlijk gezegd dat het gewoon komt door de muren die er tussen zitten.

Daarom was ik zelf ook aan het denken om een AP aan te schaffen. Er zijn wel wat tweaks die je zou kunnen uitproberen (de wiki staat er echt vol mee). Maar zelf heb ik er nog geen oplossing op gevonden. Moet wel bekennen dat ik er ook nog niet erg veel tijd voor heb gehad om er goed naar te kijken.

donderdag 23 oktober 2014 00:14

Acties:

Verwijderd

Voordat je iets aanschaft, kijk even met InSSIDer welke kanalen in je slaapkamer aanwezig zijn. Ook op welke kanaal jouw Mikrotik zit. Verander anders het kanaal naar eentje die minder "druk" is.

donderdag 23 oktober 2014 10:58

Acties:

donderdag 23 oktober 2014 16:40

MikroTik
Wifi

ingo92 schreef op woensdag 22 oktober 2014 @ 16:24:
- Deze is nogal instabiel, zelfs als je er naast zit verlies je de verbinding of kan er geen verbinding gemaakt worden.
- Als er TV gekeken wordt valt de draadloze snelheid volledig weg (van plusminus 80 Mbps naar nog geen 0,5).

Klinkt erg vreemd, gezien het IPTV-netwerk in principe niet meer is dan een simpele bridge van de twee interfaces toch?

Heb je met de profiling tool gekeken naar de CPU utilisation van je RB? Is daar wat aan te zien?

Ik-weet-ook-niets-beters-idee: wat als je de bridged IPTV config omklust naar iets dat enkel gebruik maakt van de switch chip (als dat kan, ik gebruik de vlanning features van de switch chip niet echt)? Dan MOET het werken, zou je zeggen.

If all else fails, try MikroTik support..

Verwijderd schreef op donderdag 23 oktober 2014 @ 00:14:
Voordat je iets aanschaft, kijk even met InSSIDer welke kanalen in je slaapkamer aanwezig zijn. Ook op welke kanaal jouw Mikrotik zit. Verander anders het kanaal naar eentje die minder "druk" is.

Vergeet ook niet dat RouterOS twee hele mooie profiling tools heeft. Eentje die de werkelijke channel utilisation laat zien (ergens onder wireless) en de spectral-history tool, handig om non-APs op te sporen.

[ Voor 23% gewijzigd door Thralas op 23-10-2014 11:00 ]

Acties:

ingo92

Ik heb het CPU-gebruik gecheckt, en dat komt niet boven de 5% bij TV-kijken. Firewall uitschakelen helpt ook niks (was te proberen), dus daar zit ook geen foutje. Ik ga me komend weekend maar eens verdiepen in de switch-chip, wellicht dat dat inderdaad helpt.

donderdag 23 oktober 2014 19:14

Acties:

Verwijderd

Welke OS versie draait er nu op de RB?

woensdag 5 november 2014 09:26

Acties: