[MikroTik-apparatuur] Ervaringen & Discussie

maandag 5 augustus 2019 01:38

Acties:

+1 Henk 'm!

Argh!

Het lukt ook niet om de goede te vinden #laat Deze zou de goede moeten zijn: https://www.fs.com/products/37922.html

Ik ga even kijken of ik die supout.rif kan regelen! In ieder geval nu de juiste informatie ook even doorgeven in het support ticket.

_@/'

maandag 5 augustus 2019 21:27

Acties:

0 Henk 'm!

XoReP

Deze https://www.ip-sa.com.pl/3524s-optic-p-1793.html gebruik ik ook op een XS4ALL lijntje zonder problemen. Overigens i.c.m. een Hex S

dinsdag 6 augustus 2019 07:16

Acties:

0 Henk 'm!

Steephh

Goed om te weten! Wat haal jij trouwens aan snelheid met die Hex S? :-) Wellicht iets leuks om bij mijn ouders neer te zetten.

_@/'

dinsdag 6 augustus 2019 17:32

Acties:

0 Henk 'm!

bundit

Ik heb zelf ook de RB4011iGS+RM en gebruik deze SFP module:
https://www.fs.com/de-en/products/39143.html
Cisco GLC-BX-20U Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 20km DOM Transceiver Module
#39143

Ook onder 6.45.3 zijn alle waardes netjes gevuld onder de interface. De Cisco uitvoering werd mij door onze FS.com account manager aangeraden voor mijn Mikrotik.

woensdag 25 september 2019 15:07

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Al enige tijd merken mijn vrouw en ik dat de Wi-Fi niet optimaal is. Ik ben (al lange tijd) in het bezit van een 951G-2HnD. Deze heeft altijd voldaan, ideaal apparaat, uitgebreide firewall in combinatie met VPN etc.

Waar we echter tegenaan lopen is dat, wanneer we bijvoorbeeld naast elkaar zitten op de bank (hemelsbreed ± 4 meter van de MT af, 2 standaard deuren er tussen), het lijkt alsof we elkaar 'storen', alsof de MT de pakketten niet meer bij de juiste telefoon kan krijgen. De browser stokt, websites laden niet meer en mails versturen e.d. lijkt zeer traag te gaan. Kijk ik in de MT naar het signaalniveau van beide apparaten, zijn deze prima (rond de -55 a -58). Zet ik de Wi-Fi op mijn telefoon uit en ga ik verder via 4G, duurt het ongeveer een minuutje waarna bij mijn vrouw ook alles weer lekker werkt. Het is echter niet altijd te reproduceren: Ene keer zorgt Wi-Fi inschakelen er voor dat we beide gewoon verder kunnen alsof er niets aan de hand is. Andere keer is het issue direct weer terug. Een vriend van mij, met de 5Ghz variant van deze router, ervaart dezelfde issue en heeft naar mijn weten inmiddels de Mikrotik vervangen.

Herkent iemand dit issue? Het lijkt zich alleen voor te doen wanneer de apparaten vlak bij elkaar zijn. Sta ik in de keuken en mijn vrouw op de bank, gaat het (vaak) goed.

Apparatuur:
MT: 951G-2HnD
Galaxy S6
Galaxy S6 / Galaxy S10.

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 26 september 2019 14:51

Acties:

0 Henk 'm!

SpikeHome

@The Executer Wat zijn je advance wifi instellingen?
Band? (bij mij 2Ghz-B/G/G)
Channel Width? (20Mhz)
Frequency Mode? (requlatory domain)
Country? (netherlands)
Antenna Gain ? (4)

donderdag 26 september 2019 15:11

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

SpikeHome schreef op donderdag 26 september 2019 @ 14:51:
@The Executer Wat zijn je advance wifi instellingen?
Band? (bij mij 2Ghz-B/G/G)
Channel Width? (20Mhz)
Frequency Mode? (requlatory domain)
Country? (netherlands)
Antenna Gain ? (4)

2 SSID's (Beide ingesteld via de quick set), 1 eigen en 1 gasten.
Band: 2Ghz B/G/N
Channel Width: 20/40Mhz CE
Frequency: Auto
Frequency mode: manuel-txpower
County: No country set
Antenna gain: 0

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 26 september 2019 15:17

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

@The Executer Dan zou ik de instellingen van @SpikeHome overnemen en het minst drukke kanaal (van 1, 6 of 11) kiezen. Kanaal kiezen doe je door een WiFi scan te doen.

Maar...persoonlijk zou ik overschakelen naar 5G in verband met bandbreedte en (minder) interferentie.

Eerst het probleem, dan de oplossing

donderdag 26 september 2019 15:21

Acties:

0 Henk 'm!

SpikeHome

@The Executer Inderdaad zoals @lier het al meld.

Zie dat ik bij Band de laatste G een N moest zijn natuurlijk.
Je kan ook alleen G en N kiezen of alleen N krijg je geen oude B of G connecties.
Of je moet spullen hebben die de oudere B en G gebruiken
Kijk even welke kanalen druk zijn bij je en kies dan 1, 6 of 11 (ik heb die op kanaal 1 Frequentie = 2412)

[ Voor 22% gewijzigd door SpikeHome op 26-09-2019 15:24 ]

donderdag 26 september 2019 15:39

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Probleem is dat de kanalen 1 / 6 / 11 allemaal reeds bezet zijn in de buurt. In totaal zijn er 25 28 Wi-Fi netwerken in mijn buurt:

Afbeeldingslocatie: https://tweakers.net/ext/f/8NmNIvUQeVMSKmhqsA5zSZXH/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/8NmNIvUQeVMSKmhqsA5zSZXH/full.png

Antenna gain: Ik begrijp dat wanneer deze op 0 staat, ik in principe de hoogte output-power zou moeten krijgen. Op zich heb ik met het bereik zelf geen problemen, wat ook gestaafd wordt de lage dBM waardes.

Instellingen aangepast inclusief land, waarna ik verplicht ben minimaal 3dB gain in te stellen. Deze voor nu op 4 gezet, overeenkomstig de instellingen van @SpikeHome. Daarnaast ook op 20Mhz gezet. We gaan eens kijken wat dit gaat doen!

@lier 5Ghz vereist een nieuwe router. Voordat het zover is wil ik kijken of deze nog kan voldoen. Verder voldoet deze volledig aan mijn eisen (Gigabit, VPN, firewalling etc). Qua CPU belasting kom ik met de VPN (L2TP met IP/sec) toch niet aan de max aangezien mijn Ziggo lijn maar 50/5 doet en hier dus al snel tegen de limieten van de upload aanloop.

Update: Inmiddels kanaal 11 geselecteerd. 1 en 6 kwamen op/rond -77 binnen, kanaal 11 op -83.

[ Voor 28% gewijzigd door The Executer op 26-09-2019 16:26 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 26 september 2019 20:29

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Je moet niet naar RSSI kijken, maar even op het knopje 'Freq. Usage' klikken in Winbox.

vrijdag 27 september 2019 08:34

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Thralas schreef op donderdag 26 september 2019 @ 20:29:
Je moet niet naar RSSI kijken, maar even op het knopje 'Freq. Usage' klikken in Winbox.

Dat overzicht begreep ik minder van dan onder Freq. Scanner. Heb nu gesorteerd op signal strength (sterkste boven), en hierbij gekeken welk kanaal (1, 6 of 11) als 'laatste' sterke genoemd werd. Dit was kanaal 11.

Gisteravond via de NUC (welke op Wi-Fi hangt) een RDP opgezet, maar scrollen was amper mogelijk. Gekeken naar de Wi-Fi adapter, 52Mbps... Hierop de instellingen toch maar even aangepast en kanaalselectie weer op auto gezet. Daarnaast de antenna gain op 3 i.p.v. 4 gezet. Wi-Fi adapter uitgezet en ingeschakeld, nu weer 144Mbps.

Verder nog niet kunnen testen, aangezien de vrouw er niet was

.

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 27 september 2019 09:15

Acties:

+1 Henk 'm!

SpikeHome

@The Executer
Nadeel van je wifi met kanalen op auto zetten is dat alle routers in je omgeving ook zo staan by default.
Ik zie zelf dat de kanalen continue wisselen dan van jezelf maar ook de andere.
Je zal ook bijna nooit mee maken dat 1, 6 of 11 helemaal vrij is.
Ik kijk welk in de buurt zitten en of ze wisselen van kanaal dan kies ik de minst drukke kanaal en laat die daarop vast staan.
Waarom je de Coutry op netherlands moet zetten is dat je router dan voldoet aan de Nederlandse eisen.
De 2011 die ik gebruik kan dacht ik 1W zenden maar dat mag maar 100mw zijn.
Bij mij bljft de gain op 4 en mag ik niet lager met de country op netherlands
Daarnaast de apparatuur die terug send doet ook niet meer vermogen dus heb je er eigenlijk niet zoveel aan.
Overigens detecteer ik bij mij 46 ap's in de buurt.

Eigenlijk moet je alle ap's in de buurt vast gaan zetten met om en om de kanalen 1, 6 en 11.

[ Voor 5% gewijzigd door SpikeHome op 27-09-2019 09:16 ]

zondag 6 oktober 2019 11:45

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Ik heb een hEX PoE met v6.41.3 draaien, nog een beginner met RouterOS maar ik zou graag de Cloud ddns functie gebruiken om van buiten af verschillende services (via poorten) die op mijn server draaien te bereiken.

Ik heb de Cloud functie aan staan maar dan bereik je dus altijd gewoon je RouterOS login page.
Je hebt in de UI onder Cloud geen enkele optie om vervolgens een local IP te kiezen. Kan dit wel?

zondag 6 oktober 2019 14:05

Acties:

+4 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op zondag 6 oktober 2019 @ 11:45:
Ik heb een hEX PoE met v6.41.3 draaien, nog een beginner met RouterOS maar ik zou graag de Cloud ddns functie gebruiken om van buiten af verschillende services (via poorten) die op mijn server draaien te bereiken.

Stop. Wat je éérst moet doen, is updaten. In die versie zit nog de Winbox vulnerability waarmee iedereen je users en wachtwoorden kan uitlezen, mits ze bij de Winbox-poort kunnen.

Ik heb de Cloud functie aan staan maar dan bereik je dus altijd gewoon je RouterOS login page.

De 'Cloud DNS'-functie is niet meer dan een 'gratis' domeinnaam dat naar je router verwijst. In hoeverre je vervolgens services wel-of-niet kunt bereiken hangt af van je firewall.

Controleer je firewallregels - standaard zou de beheersinterface niet toegankelijk moeten zijn vanaf het internet, tenzij je zèlf wijzigingen hebt aangebracht die dat toestaan.

Check even of je vanaf een externe verbinding (mobiel bv.) met Winbox bij je router kunt - dan zou ik herinstalleren via netinstall en nieuwe wachtwoorden kiezen - het is dan aannemelijk dat je router onderdeel is van een botnet. Simpelweg de settings wipen is dan niet voldoende.

Je hebt in de UI onder Cloud geen enkele optie om vervolgens een local IP te kiezen. Kan dit wel?

Dat adres verwijst naar het WAN-IP van je router. Als je daarop vervolgens apparaten van je LAN bereikbaar wilt maken dan zul je een portforward (NAT) aan moeten maken.

Wat de situatie nu ook is, zorg dat je zsm. up-to-date bent en hang nooit de beheersinterfaces van je router aan het internet - richt daarvoor een VPN in (al dan niet via je router).

zondag 6 oktober 2019 21:36

Acties:

0 Henk 'm!

Poecillia

Ik heb recent een Microtik router/accesspoint gekocht: pricewatch: MikroTik Routerboard RB952Ui-5ac2nD hAP ac lite De microtik wordt aangesloten via een LAN kabel op het KPN modem/router. Ik wil de Microtik router nu eigenlijk alleen maar als switch en accesspoint gebruiken, maar het lukt me niet om deze als zodanig in te stellen. Ik heb Winbox gedownload, maar raak het spoor kwijt in de mogelijkheden. Daarom graag wat hulp.

Standaard staat de Microtik router ingesteld op Home AP Dual. Er zijn een 2,4 en 5 Ghz accesspoint beschikbaar en er is internet via het netwerk. Het probleem is dat de Microtik een subnetwerk opbouwt en zelf IP adressen uitdeelt die in het normale netwerk niet te zien zijn. In diverse tutorials zag ik dat ik DHCP uit moet zetten en de gateway op het IP adres van de KPN router moet instellen. Als ik dat doe worden echter geen IP adressen meer uitgedeeld en is internet niet meer beschikbaar. Ik zag verder dat ik een bridge moet instellen en geen switch. Die bridge is er, maar ik zie onder switch ook een entry die ik niet weg krijg. Hieronder een schermprint van de huidige status van Winbox (sorry voor de grootte, maar anders mis ik detail)

Afbeeldingslocatie: https://tweakers.net/ext/f/DeGpF8isg920ZkSb6s6GtXVn/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/DeGpF8isg920ZkSb6s6GtXVn/full.jpg

zondag 6 oktober 2019 22:02

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Standaard is poort 1 'WAN' en de rest 'LAN' (met DHCP server). Jij wilt alles gewoon als 'LAN' gebruiken en geen NAT of routing doen.

ether1 toevoegen aan de bridge, DHCP server verwijderen en de DHCP client verhuizen van ether1 naar de brdige. Should do the trick.

Firewall kun je daarna nog leegmaken, maar die zou geen effect meer moeten hebben.

maandag 7 oktober 2019 07:28

Acties:

0 Henk 'm!

SpikeHome

Jazco2nd schreef op zondag 6 oktober 2019 @ 11:45:
Ik heb een hEX PoE met v6.41.3 draaien, nog een beginner met RouterOS maar ik zou graag de Cloud ddns functie gebruiken om van buiten af verschillende services (via poorten) die op mijn server draaien te bereiken.

Ik heb de Cloud functie aan staan maar dan bereik je dus altijd gewoon je RouterOS login page.
Je hebt in de UI onder Cloud geen enkele optie om vervolgens een local IP te kiezen. Kan dit wel?

Bedoel je zoiets:
https://wiki.mikrotik.com..._Update_Script_for_dynDNS

maandag 7 oktober 2019 11:39

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Mijn oog is gevallen op dit beestje pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN.

Lekker rappe router, switch combi en wifi (2.4 en 5ghz) in een doosje voor 220 euro. Ik denk dat ik hier genoeg aan ga hebben voor een appartementje. Nog nooit eerder met Mikrotik gewerkt maar ach de protocollen blijven toch het zelfde

Alleen een beetje jammer dat hij nu bijna een jaar op de markt is en er zo weinig over te vinden is. Dat is dan weer wel erg vreemd.

Mocht ik hem binnen krijgen zal ik wat ervaring delen mbt een vpn tunnel opzetten en het verkeer middels pbr routeren over de tunnel. Ook wil ik de ISP modem in bridge mode zetten zodat de Mikrotik een publiek adresje krijgt. Kijken of het allemaal lukt.

[ Voor 3% gewijzigd door Yariva op 07-10-2019 11:56 ]

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

maandag 7 oktober 2019 11:53

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Yariva schreef op maandag 7 oktober 2019 @ 11:39:
Alleen een beetje jammer dat hij nu bijna een jaar op de markt is en er zo weinig over te vinden is. Dat is dan weer wel erg vreemd.

Mikrotik heeft een erg actieve community, daar kan je heel veel informatie vinden.

Mocht ik hem binnen krijgen zal ik wat ervaring delen mbt een vpn tunnel opzetten en het verkeer middels pbr routeren over de tunnel. Ook wil ik hem in bridge mode zetten. Kijken of het allemaal lukt.

Als je weet wat je moet doen dan is het een fluitje van een cent. Bedenk wel dat je dan alleen een accesspoint met heel veel poorten hebt. Weet natuurlijk niet hoe je hem uiteindelijk wil gaan gebruiken, maar als je hem echt alleen wil bridgen dan heb je niet de beste keuze gemaakt.

Eerst het probleem, dan de oplossing

maandag 7 oktober 2019 11:55

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

lier schreef op maandag 7 oktober 2019 @ 11:53:
[...]

Mikrotik heeft een erg actieve community, daar kan je heel veel informatie vinden.

[...]

Als je weet wat je moet doen dan is het een fluitje van een cent. Bedenk wel dat je dan alleen een accesspoint met heel veel poorten hebt. Weet natuurlijk niet hoe je hem uiteindelijk wil gaan gebruiken, maar als je hem echt alleen wil bridgen dan heb je niet de beste keuze gemaakt.

Whoops, ik bedoelde dat ik de ISP router in bridge mode ga configureren. Dan komt de Mikrotik iets beter tot zijn recht

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

maandag 7 oktober 2019 12:53

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Yariva schreef op maandag 7 oktober 2019 @ 11:55:
Whoops, ik bedoelde dat ik de ISP router in bridge mode ga configureren. Dan komt de Mikrotik iets beter tot zijn recht

Gelukkig!

Eerst het probleem, dan de oplossing

maandag 7 oktober 2019 14:02

Acties:

+1 Henk 'm!

nescafe

Wifi

@Yariva
Een aantal users rapporteert problemen met de wlan1-interface (5Ghz) die na enige tijd uitvalt. MT support heeft ook in deze thread gereageerd, maar zover ik kan overzien zijn de problemen nog niet opgelost:

https://forum.mikrotik.com/viewtopic.php?f=3&t=142298

Ik heb zelf de RB4011iGS+RM en die werkt perfect. Je zou een hAP ac² kunnen overwegen, die heeft best wel wat power alleen minder poorten (en geen SFP+).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 7 oktober 2019 14:14

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

nescafe schreef op maandag 7 oktober 2019 @ 14:02:
@Yariva
Een aantal users rapporteert problemen met de wlan1-interface (5Ghz) die na enige tijd uitvalt. MT support heeft ook in deze thread gereageerd, maar zover ik kan overzien zijn de problemen nog niet opgelost:

https://forum.mikrotik.com/viewtopic.php?f=3&t=142298

Ik heb zelf de RB4011iGS+RM en die werkt perfect. Je zou een hAP ac² kunnen overwegen, die heeft best wel wat power alleen minder poorten (en geen SFP+).

Thanks voor de link!

Die thread staat nu bijna een jaar open en er is nog niet een oplossing gevonden? Dat is wel slordig. Ik snap dat het goedkoop spul is en je niet de beste support kan verwachten. Maar dit hoeft ook niet.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

maandag 7 oktober 2019 15:15

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Het forum is geen bug registratie systeem. Je zou de releasenotes erop na moeten slaan om te kijken of het probleem verholpen is.

Eerst het probleem, dan de oplossing

maandag 7 oktober 2019 17:00

Acties:

0 Henk 'm!

Brecht.A

Dag iedereen,

Ik ben op zoek naar een VPN server om zelf extern vanop mijn laptop/telefoon verbinding te kunnen maken met mijn thuisnetwerk.
Momenteel heb ik een Fritz!box 7590 waar ik heel tevreden van ben, behalve de VPN snelheden.

Ik ben een leek in de materie, maar blijkbaar is een Microtik hEX een performante router die degelijke VPN snelheden kan aanbieden. Mijn verbinding thuis is momenteel 100/40Mbps, deze zal dus eerder de limiet zijn van de VPN throughput dan de hEX.

Het enige waarover ik twijfel is de moeilijkheidsgraad om de VPN op te zetten. Op m'n Fritz!box was ik klaar op 10min, ik denk dat het met de hEX net iets langer zal duren.
Zouden jullie dit toestel durven aanraden aan een leek? Ik wil me er gerust wat in verdiepen, uitzoeken, maar ik heb geen zin om er dagen mee bezig te zijn.

Bedankt!

maandag 7 oktober 2019 17:33

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Ja, Mikrotik gaat gepaard met een leercurve. Misschien ter voorbereiding deze blogpost eens doornemen:

https://blog.johannfenech...ik-l2tp-ipsec-vpn-server/

Het zal telkens eenvoudiger worden (kan ik je uit ervaring vertellen. Overigens kan ook alle stappen via de GUI gedaan worden...

Eerst het probleem, dan de oplossing

maandag 7 oktober 2019 17:46

Acties:

0 Henk 'm!

Poecillia

Thralas schreef op zondag 6 oktober 2019 @ 22:02:
Standaard is poort 1 'WAN' en de rest 'LAN' (met DHCP server). Jij wilt alles gewoon als 'LAN' gebruiken en geen NAT of routing doen.

ether1 toevoegen aan de bridge, DHCP server verwijderen en de DHCP client verhuizen van ether1 naar de brdige. Should do the trick.

Firewall kun je daarna nog leegmaken, maar die zou geen effect meer moeten hebben.

Bedankt voor je reactie. Ik probeer je opmerking te vertalen naar handelingen in Winbox, maar ik zie niet hoe. Hieronder nog maar eens de interfaces en bridge nadat ik de router terug gebracht heb naar fabrieksinstellingen. Als je zegt ether1 toevoegen aan de bridge bedoel je dan een entry in het schermpje dat verschijnt als ik op de tab bridge druk? Daar kan ik een nieuwe interface aanmaken maar als ik ether1 gebruik zegt hij dat deze al bestaat.
Afbeeldingslocatie: https://tweakers.net/ext/f/jjP8BkybXVVJuncdKSxq9sQ6/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/jjP8BkybXVVJuncdKSxq9sQ6/full.jpg

Sorry, ik besef dat ik te weinig verstand heb van routers om ze zelfstandig in te stellen. Ik zou er wel meer van willen weten in de toekomst, maar wil deze nu graag instellen zoals ik van plan was. Alvast bedankt voor de hulp.

maandag 7 oktober 2019 19:22

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Bridges hebben ports. Onder het tabblad 'ports' vind je de bestaande ports op de bridge 'bridge' (dat zal ether2 t/m 5 zijn).

Daar moet je dus een extra port aanmaken voor eth1 (op 'bridge') - dat is wat ik bedoel met 'toevoegen aan de bridge'.

Vervolgens is het goed om te weten dat voor een bridge geldt dat alle slave devices ('ports') niet meer zelfstandig horen te worden gebruikt (zoals een DHCP client op eth1). Dat is ook de reden dat die daar wegmoet (en in plaats daarvan op de bridge zelf, dat is feitelijk dan de koppeling naar je router, ongeacht welke poort de fysieke link verzorgt).

maandag 7 oktober 2019 20:09

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

@Poecillia Je zou eventueel (heb niet alles teruggelezen) een reset van je device kunnen doen zonder default configuration. Dan is het eenvoudig(er) om daarna een bridge te maken met alle interfaces. Maar net waar je voorkeur naar uit gaat.

Eerst het probleem, dan de oplossing

maandag 7 oktober 2019 20:52

Acties:

+1 Henk 'm!

Poecillia

Thralas schreef op maandag 7 oktober 2019 @ 19:22:
Bridges hebben ports. Onder het tabblad 'ports' vind je de bestaande ports op de bridge 'bridge' (dat zal ether2 t/m 5 zijn).

Daar moet je dus een extra port aanmaken voor eth1 (op 'bridge') - dat is wat ik bedoel met 'toevoegen aan de bridge'.

Vervolgens is het goed om te weten dat voor een bridge geldt dat alle slave devices ('ports') niet meer zelfstandig horen te worden gebruikt (zoals een DHCP client op eth1). Dat is ook de reden dat die daar wegmoet (en in plaats daarvan op de bridge zelf, dat is feitelijk dan de koppeling naar je router, ongeacht welke poort de fysieke link verzorgt).

Het is gelukt! Alles werkt alsof ik er een switch tussen heb zitten. Ook Spotify connect en toegang tot NAS werkt weer.

Wat me opviel is dat met het toevoegen van ether1 het Quick set scherm ook verandert van Home AP naar Wish AP. Als je terug gaat naar Home AP wordt ether1 weer gedisabled. Ik heb het IP adres van de gateway nog ingevoerd en DHCP, NAT en de firewall uit.

Het wifi van dit routertje vind ik niet geweldig. Twee muren en hij zit al op de grens, vooral bij 5G. Er zit ook geen uitwendige antenne in, valt hier nog wat aan te modden?

Bedankt voor de hulp, ik stond bijna op het punt hem terug te sturen. Maar hij functioneert goed en heeft veel mogelijkheden die in de toekomst misschien nog interessant zijn.

maandag 7 oktober 2019 21:11

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Poecillia schreef op maandag 7 oktober 2019 @ 20:52:
Het is gelukt! Alles werkt alsof ik er een switch tussen heb zitten. Ook Spotify connect en toegang tot NAS werkt weer.

Mooi.

Wat me opviel is dat met het toevoegen van ether1 het Quick set scherm ook verandert van Home AP naar Wish AP. Als je terug gaat naar Home AP wordt ether1 weer gedisabled. Ik heb het IP adres van de gateway nog ingevoerd en DHCP, NAT en de firewall uit.

Belangrijk detail: met quick set stel je in één keer een hoop zaken in, maar het houdt expliciet géén rekening met eventuele 'eigen' settings.

Je kunt het dus éénmaal gebruiken om snel wat zaken in te stellen, maar zodra je iets wijzgt buiten quick set om moet je er vanaf blijven.

Ook al kun je met quick set wel DHCP/NAT uitzetten, het gaat er volgens mij alsnog vanuit dat je hem als router wilt gebruiken tussen eth1 en eth2/3/4/5. Niet jouw situatie dus.

Het wifi van dit routertje vind ik niet geweldig. Twee muren en hij zit al op de grens, vooral bij 5G. Er zit ook geen uitwendige antenne in, valt hier nog wat aan te modden?

Ik durf te stellen dat het zéker niet minder is dan een willekeurige andere router: ze hebben genoeg ervaring met het bouwen van wireless devices, meer dan veel andere fabrikanten.

Er zijn wel een aantal zaken waar je rekening mee moet houden; bv. op 2.4 GHz nóóit 20/40 MHz kanaalbreedte (volgens mij is dat vervelend genoeg een default).

Voor 5 GHz zou ik niet anders verwachten: dat is hoe 5 GHz werkt en tevens de reden waarom het fatsoenlijk werkt itt. 2.4 GHz. Voorwaarde is wel dat je in dezelfde ruimte bevindt als je AP, alles daarbuiten is mazzel.

Maw. op 2.4 GHz settings controleren, en als het twee muren verder niet fatsoenlijk werkt op 5 GHz dan heb je waarschijnlijk baat bij méér access points.

maandag 7 oktober 2019 22:11

Acties:

0 Henk 'm!

Poecillia

Thralas schreef op maandag 7 oktober 2019 @ 21:11:
[...]

Mooi.

[...]

Belangrijk detail: met quick set stel je in één keer een hoop zaken in, maar het houdt expliciet géén rekening met eventuele 'eigen' settings.

Je kunt het dus éénmaal gebruiken om snel wat zaken in te stellen, maar zodra je iets wijzgt buiten quick set om moet je er vanaf blijven.

Ook al kun je met quick set wel DHCP/NAT uitzetten, het gaat er volgens mij alsnog vanuit dat je hem als router wilt gebruiken tussen eth1 en eth2/3/4/5. Niet jouw situatie dus.

[...]

Ik durf te stellen dat het zéker niet minder is dan een willekeurige andere router: ze hebben genoeg ervaring met het bouwen van wireless devices, meer dan veel andere fabrikanten.

Er zijn wel een aantal zaken waar je rekening mee moet houden; bv. op 2.4 GHz nóóit 20/40 MHz kanaalbreedte (volgens mij is dat vervelend genoeg een default).

Voor 5 GHz zou ik niet anders verwachten: dat is hoe 5 GHz werkt en tevens de reden waarom het fatsoenlijk werkt itt. 2.4 GHz. Voorwaarde is wel dat je in dezelfde ruimte bevindt als je AP, alles daarbuiten is mazzel.

Maw. op 2.4 GHz settings controleren, en als het twee muren verder niet fatsoenlijk werkt op 5 GHz dan heb je waarschijnlijk baat bij méér access points.

Dat gelijk ook maar gedaan, maar in mijn onwetendheid kanaalbreedte 5 geprobeerd, maar dat levert geen verbinding op. Dus nu maar op enkel 20 gezet. Normaal zet je de antennes verticaal. Je ziet de positie niet bij dit apparaat. Is het de bedoeling dat hij hangt of dat hij op zijn pootjes staat?

maandag 7 oktober 2019 22:55

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Brecht.A schreef op maandag 7 oktober 2019 @ 17:00:
Het enige waarover ik twijfel is de moeilijkheidsgraad om de VPN op te zetten. Op m'n Fritz!box was ik klaar op 10min, ik denk dat het met de hEX net iets langer zal duren.

Realiseer je wel dat de hEX alleen die VPN throughput haalt met IPsec.

En dat IPsec niet ideaal is als road warrior setup. Het doorlaten van IPsec IP types is allesbehalve een gegeven. Kun je wel ondervangen met NAT-T, maar dan ben je nog gebonden aan 2 UDP-poorten (500/udp, 4500/udp).

Ik zou eerder een Raspberry Pi met Wireguard of iets snels (niet MikroTik) met OpenVPN gebruiken.

Als jij een IPsec VPN werkend krijgt binnen 10 minuten heb je mazzel. Als de settings aan beide zijden niet exact overeenkomen of er toch een poortje niet meewerkt dan is het handig als je weet hoe IPsec werkt. Allesbehalve foolproof als je het mij vraagt, integendeel..

Poecillia schreef op maandag 7 oktober 2019 @ 22:11:
[...]

Dat gelijk ook maar gedaan, maar in mijn onwetendheid kanaalbreedte 5 geprobeerd, maar dat levert geen verbinding op. Dus nu maar op enkel 20 gezet. Normaal zet je de antennes verticaal. Je ziet de positie niet bij dit apparaat. Is het de bedoeling dat hij hangt of dat hij op zijn pootjes staat?

20 MHz ja. Geen idee voor wat betreft de antennes, maar ik vermoed gewoon rechtop, tenzij het een TC-model is.

Ik zie overigens nu pas dat het een hAP lite betreft. Die heeft slechts één antenne op 5 GHz, dat is zéér mager en helpt ook zeker niet. Zou eigenlijk ook niet minder dan een hAP ac² nu nieuw kopen, maar dat is wellicht een beetje mosterd na de maaltijd (gigabit én 2x2 op 5 GHz).

In die zin vrees ik dat hij wel 'minder' is dan de gemiddelde router: miminaal 2x2 is wel vrij gangbaar voor alles dat geen smartphone of héle goedkope laptop is.

dinsdag 8 oktober 2019 08:51

Acties:

0 Henk 'm!

pyrofielo

Poecillia schreef op maandag 7 oktober 2019 @ 22:11:
[...]

Dat gelijk ook maar gedaan, maar in mijn onwetendheid kanaalbreedte 5 geprobeerd, maar dat levert geen verbinding op. Dus nu maar op enkel 20 gezet. Normaal zet je de antennes verticaal. Je ziet de positie niet bij dit apparaat. Is het de bedoeling dat hij hangt of dat hij op zijn pootjes staat?

interne antenne straalt uit in een bol dacht ik..
Maar idd 5Ghz heeft maar beperkte penetratie, daarbij is je routertje maar 100 mbit en single chain. Wel volledig functioneel dus je kan er zeker leuk mee stoeien.

Verder is het beter om meer zwakke APs op te hangen dan 1 hele sterke.

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

dinsdag 8 oktober 2019 16:58

Acties:

+1 Henk 'm!

nescafe

Wifi

Yariva schreef op maandag 7 oktober 2019 @ 14:14:
Die thread staat nu bijna een jaar open en er is nog niet een oplossing gevonden? Dat is wel slordig. Ik snap dat het goedkoop spul is en je niet de beste support kan verwachten. Maar dit hoeft ook niet.

.. en er is langverwacht nieuws:

quote: https://forum.mikrotik.co...t=142298&p=753980#p753980
We believe we have fixed the issue, but that particular fix has not yet been released. Wait for the next beta please.
Statistics: Posted by normis — Tue Oct 08, 2019 5:43 pm

Edit: bericht is alweer ingetrokken

Edit2 nu lijkt er beter nieuws:

quote: https://forum.mikrotik.co...t=142298&p=756878#p756878
Thanks everyone for the input, thanks to those who contacted support@mikrotik.com and provided detailed information, and a special thanks to @TimurA for helping us with the debugging.

We've just released public beta with the potential fix (6.46beta59). The included fix not only improves 5GHz stability for RB4011, but also for cAP-AC, hAP-AC^2, Audience and other devices with IPQ4019, QCA9984, QCA9888 chips.
Statistics: Posted by Reinis — Fri Oct 25, 2019 2:48 pm

[ Voor 33% gewijzigd door nescafe op 25-10-2019 14:01 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 29 oktober 2019 16:59

Acties:

0 Henk 'm!

zx9r_mario

Ik ben aan het kijken voor een oplossing voor threat management icm Mikrotik. Heeft iemand zoiets draaien?

dinsdag 29 oktober 2019 17:23

Acties:

0 Henk 'm!

jvanhambelgium

zx9r_mario schreef op dinsdag 29 oktober 2019 @ 16:59:
Ik ben aan het kijken voor een oplossing voor threat management icm Mikrotik. Heeft iemand zoiets draaien?

Wat is jouw definitie van "threat management" ? L7 inspectie als een IDS ? FW-rules met dynamische block-listen of zoiets ?

dinsdag 29 oktober 2019 17:40

Acties:

0 Henk 'm!

zx9r_mario

jvanhambelgium schreef op dinsdag 29 oktober 2019 @ 17:23:
[...]

Wat is jouw definitie van "threat management" ? L7 inspectie als een IDS ? FW-rules met dynamische block-listen of zoiets ?

Inspectie op L7 en dynamische FW rules om bad traffic te blocken. Zoiets als pfsense doet met snort, maar dan met Mikrotik en een IDS appliance.

dinsdag 29 oktober 2019 17:49

Acties:

0 Henk 'm!

jvanhambelgium

zx9r_mario schreef op dinsdag 29 oktober 2019 @ 17:40:
[...]

Inspectie op L7 en dynamische FW rules om bad traffic te blocken. Zoiets als pfsense doet met snort, maar dan met Mikrotik en een IDS appliance.

En wil je dan vb via een RouterOS API dynamisch zaken laten provisionen door een 3e party systeem ?
Sowieso voor L7-zaken is de Mikrotik nogal beperkt in processing power ...

Zelf heb ik wel eens met een script OP de Mikrotik zelf een aantal IP-lijsten laten ophalen die dan in een dynamische lijst verwerkt worden, maar ook dat is eigenlijk niet schaalbaar enkel voor de grotere Mikrotiks met wat geheugen.
Op de Mikrotik fora zijn verschillende van dit soort scripts te vinden, maar een goede source vinden die actueel is en de IP-lijsten up-to-date wil houden is niet evident. Betalende diensten zijn er wel natuurlijk.

dinsdag 29 oktober 2019 18:15

Acties:

0 Henk 'm!

zx9r_mario

jvanhambelgium schreef op dinsdag 29 oktober 2019 @ 17:49:
[...]

En wil je dan vb via een RouterOS API dynamisch zaken laten provisionen door een 3e party systeem ?
Sowieso voor L7-zaken is de Mikrotik nogal beperkt in processing power ...

Zelf heb ik wel eens met een script OP de Mikrotik zelf een aantal IP-lijsten laten ophalen die dan in een dynamische lijst verwerkt worden, maar ook dat is eigenlijk niet schaalbaar enkel voor de grotere Mikrotiks met wat geheugen.
Op de Mikrotik fora zijn verschillende van dit soort scripts te vinden, maar een goede source vinden die actueel is en de IP-lijsten up-to-date wil houden is niet evident. Betalende diensten zijn er wel natuurlijk.

Met een hosts file is het een basale oplossing. Ik zat eerder hier aan te denken, Mikrotik stuurt verkeer/logging door naar de IDS https://www.alienvault.co...uring-mikrotik-router.htm

dinsdag 29 oktober 2019 18:56

Acties:

0 Henk 'm!

jvanhambelgium

Zoals jij het aangeeft mag het helemaal geen probleem zijn. Is een simpele setup om wat logs van packet drop/passes door te sluizen naar je appliance.
Heb ik hier thuis ook al gedaan toen ik SPLUNK opgezet had. Basic stuff.

dinsdag 29 oktober 2019 20:38

Acties:

0 Henk 'm!

Yarisken

zx9r_mario schreef op dinsdag 29 oktober 2019 @ 18:15:
[...]

Met een hosts file is het een basale oplossing. Ik zat eerder hier aan te denken, Mikrotik stuurt verkeer/logging door naar de IDS https://www.alienvault.co...uring-mikrotik-router.htm

Ik heb een tijd terug dit opgezet met securityonion. Internet poort in mirror naar een andere poort die geconnecteerd was met een pc waar securityonion op draaide.
Andere optie die ik had geprobeerd was via netflow verkeer doorsturen naar graylog.
Is wel niet dynamisch blokkeren maar je hebt wel overzicht van verkeer en detection wat op je home router toekomt.

woensdag 30 oktober 2019 20:17

Acties:

0 Henk 'm!

sambaloedjek

Weet iemand of een RB4011 (zonder WiFi) in een 10” patch kast past? Dimensies van de RB zijn 228 x 120 x 30 mm. Gaat volgens mij net niet lukken?

donderdag 31 oktober 2019 10:05

Acties:

0 Henk 'm!

SpikeHome

sambaloedjek schreef op woensdag 30 oktober 2019 @ 20:17:
Weet iemand of een RB4011 (zonder WiFi) in een 10” patch kast past? Dimensies van de RB zijn 228 x 120 x 30 mm. Gaat volgens mij net niet lukken?

https://mikrotik.com/product/rb4011igs_rm
Bij de include parts staan er "ears" bij volgens mij om in een patchkast te monteren.

En bij de support en downloads (https://i.mt.lv/cdn/rb_files/1569926891RB4011-iGS-rm.pdf)
in de Quick Guide staat er ook wat over https://i.mt.lv/cdn/rb_files/1569926891RB4011-iGS-rm.pdf (bij mounting)

[ Voor 20% gewijzigd door SpikeHome op 31-10-2019 10:07 ]

donderdag 31 oktober 2019 11:49

Acties:

0 Henk 'm!

Yarisken

Allen, ik heb een test opgezet voor qradar om via netflow mijn verkeer te zien van de mikrotik. Enige wat ik niet te zien krijg is verkeer dat geblocked wordt van het internet. Is er een manier om dit wel via netflow te krijgen ? Ik had al gedacht om een firewall rule in te stellen voor een niet actief op zodat alle verkeer doorgaat. Iemand anders een idee ?

donderdag 31 oktober 2019 17:06

Acties:

0 Henk 'm!

jvanhambelgium

Yarisken schreef op donderdag 31 oktober 2019 @ 11:49:
Allen, ik heb een test opgezet voor qradar om via netflow mijn verkeer te zien van de mikrotik. Enige wat ik niet te zien krijg is verkeer dat geblocked wordt van het internet. Is er een manier om dit wel via netflow te krijgen ? Ik had al gedacht om een firewall rule in te stellen voor een niet actief op zodat alle verkeer doorgaat. Iemand anders een idee ?

Dat gaat wat lastig worden vrees ik. QRADAR kan toch ook gewoon SYSLOG parsen ?
Het enige dat ik zou kunnen bedenken is dat je "Drop" rules voorziet met nog wat extra informatie (vb je zet telkens een bepaalde DSCP value) zodat je toch iets heb om "dropped" verkeer te identificeren in de Netflow analyser als je rapportjes trekt enz.

Ik had zoiets perfect werkend met Splunk, kreeg dan al m'n DROPS binnen op Splink, netjes met dashboardje met GEO-lookup op de wereldkaart zodat je kon zien waar het IP-verkeer vandaan kwam etc,etc.

donderdag 31 oktober 2019 17:09

Acties:

0 Henk 'm!

Yarisken

jvanhambelgium schreef op donderdag 31 oktober 2019 @ 17:06:
[...]

Dat gaat wat lastig worden vrees ik. QRADAR kan toch ook gewoon SYSLOG parsen ?
Het enige dat ik zou kunnen bedenken is dat je "Drop" rules voorziet met nog wat extra informatie (vb je zet telkens een bepaalde DSCP value) zodat je toch iets heb om "dropped" verkeer te identificeren in de Netflow analyser als je rapportjes trekt enz.

Ik had zoiets perfect werkend met Splunk, kreeg dan al m'n DROPS binnen op Splink, netjes met dashboardje met GEO-lookup op de wereldkaart zodat je kon zien waar het IP-verkeer vandaan kwam etc,etc.

Inderdaad, lijkt me zeker de moeite om is te bekijken. Bedankt voor de tip.

donderdag 31 oktober 2019 18:59

Acties:

0 Henk 'm!

sambaloedjek

SpikeHome schreef op donderdag 31 oktober 2019 @ 10:05:
[...]

https://mikrotik.com/product/rb4011igs_rm
Bij de include parts staan er "ears" bij volgens mij om in een patchkast te monteren.

En bij de support en downloads (https://i.mt.lv/cdn/rb_files/1569926891RB4011-iGS-rm.pdf)
in de Quick Guide staat er ook wat over https://i.mt.lv/cdn/rb_files/1569926891RB4011-iGS-rm.pdf (bij mounting)

Wat zij beschrijven is mounting in een 19” rack. Mijn vraag betreft een 10” rack.

vrijdag 1 november 2019 07:33

Acties:

0 Henk 'm!

SpikeHome

sambaloedjek schreef op donderdag 31 oktober 2019 @ 18:59:
[...]

Wat zij beschrijven is mounting in een 19” rack. Mijn vraag betreft een 10” rack.

Ah!
Heb ik je eerste post niet goed gelezen
Bij een rack ga ik altijd uit van 19"

vrijdag 1 november 2019 19:38

Acties:

0 Henk 'm!

sambaloedjek

SpikeHome schreef op vrijdag 1 november 2019 @ 07:33:
[...]

Ah!
Heb ik je eerste post niet goed gelezen
Bij een rack ga ik altijd uit van 19"

Nevermind. Heb het al opgezocht: gaat niet lukken. Ruimte is 22cm Max binnen een 10 inch rack. De RB4011 heeft 8mm meer nodig. Jammer.

dinsdag 3 december 2019 13:22

Acties:

0 Henk 'm!

starpc

Hey tweakers.
ik heb een vraag. deze keer over UPnP.

het gaat om het volgende.
Ik heb uitraard UPnP aan staan bij "IP > UPnP Settings > vinkje bij "Enabled"

Nu probeer ik via Transmission op mijn iMac een auto poort toekenning toe doen.
en deze poort komt ook in het tabel er bij bij NAT (bij firewall)
dit geld ook voor mijn Qnap NAS.
bij alle 2 kommen de NAT poortjes via UPnP in auto in de tabel er bij. maar vervolgens zijn de porten niet te gebruiken. en blijft de poort on bereikbaar via UPnP.
als ik een manual Port forward doe bij NAT. werkt de port keurig, en heb ik dus geen probleem.

mijn UPnP interface's voor in en uit
In Port : Bridge local is internal.
de pppoe poort heeft het WAN adress.
out-port: pppoe is external. ik heb zelf uitraard al een paar uur mijn config zitten te bekijken.
of ik een duidelijke fout kon vinden evt in de PPPOE of ppp.
dit even Cross vergeleken met de config op netwerkje.

note: "mijn wan adress" is waar uitraard mijn WAN adress zou staan. maar heb ik nog even weg gehaald.

code:

# dec/03/2019 13:11:19 by RouterOS 6.45.7
# software id = K595-2MJ4
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local
add name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="GLASS Connectie" \
    l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] comment="Slaapkamer Voor 1" l2mtu=1598
set [ find default-name=ether3 ] comment="Slaapkamer 1, achterkant"
set [ find default-name=ether4 ] comment="slaapkamer Voor 2. (voor zolder)"
set [ find default-name=ether5 ] comment="Slaapkamer 2 achter.  "
set [ find default-name=ether6 ] comment="huis kamer"
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=3 band=5ghz-n/ac channel-width=\
    20/40mhz-Ce disabled=no frequency=5500 frequency-mode=superchannel \
    mac-address=B8:69:F4:D2:AA:9F mode=ap-bridge multicast-helper=disabled \
    name="wlan1 5G" radio-name=B869F4D2AA9F ssid="mijn ssid naamN" \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=3 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=netherlands disabled=no frequency=auto \
    frequency-mode=regulatory-domain mode=ap-bridge multicast-helper=disabled \
    name="wlan2 2.4G" ssid="mijn ssid naamN" wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless nstreme
set "wlan1 5G" enable-polling=no
set "wlan2 2.4G" enable-polling=no
/interface vlan
add interface=ether1 mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add interface=ether1 loop-protect=off mtu=1594 name=vlan1.7 vlan-id=7
add disabled=yes interface=ether6 name=vlan6.6 vlan-id=6
add interface=ether6 name=vlan6.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe user=\
    Mijn macadress@internet
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys supplicant-identity=\
    MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name="gast wifi" \
    supplicant-identity=""
/interface wireless
add keepalive-frames=disabled mac-address=BA:69:F4:B3:9C:F2 master-interface=\
    "wlan2 2.4G" multicast-buffering=disabled name="gast wifi" \
    security-profile="gast wifi" ssid="gast wifi" wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.10-192.168.10.99
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=guest ranges=192.168.100.100-192.168.100.254
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
add address-pool=guest disabled=no interface="gast wifi" name="gast DHCP"
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# no interface
add action=drop chain=forward in-interface=*24
# no interface
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface="wlan1 5G"
add bridge=bridge-local interface="wlan2 2.4G"
add bridge=bridge-local interface=ether6
add bridge=bridge-local disabled=yes interface=*1A
add bridge=bridge-local disabled=yes interface=vlan6.6
add bridge=bridge-local interface=ether10
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan6.7
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local interface=vlan6.6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=192.168.100.100 interface="gast wifi" network=192.168.100.1
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=1.88.192.0/24 dns-none=yes gateway=1.88.192.1
add address=192.168.10.0/24 dns-server=8.8.8.8 domain=thuis.local gateway=\
    192.168.10.250
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=udp
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=tcp
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=udp src-port=137-139
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=tcp src-port=137-139
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    mijn wan dst-port=80 protocol=tcp to-addresses=192.168.10.200
add action=dst-nat chain=dstnat comment=torrent dst-address=mijn wan adress \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.41 to-ports=3799
add action=dst-nat chain=dstnat comment=server dst-address=mijn wan \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=dst-nat chain=dstnat dst-address=mijn wan to-addresses=\
    192.168.10.63
add action=src-nat chain=src-nat src-address=192.168.10.63 to-addresses=\
    mijn wan
add action=masquerade chain=srcnat out-interface=bridge-local
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add disabled=yes interface=ether1 type=external
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface="wlan2 2.4G" leds="wlan2 2.4G_signal1-led,wlan2 2.4G_signal2-led\
    ,wlan2 2.4G_signal3-led,wlan2 2.4G_signal4-led,wlan2 2.4G_signal5-led" \
    type=wireless-signal-strength
add interface="wlan2 2.4G" leds="wlan2 2.4G_tx-led" type=interface-transmit
add interface="wlan2 2.4G" leds="wlan2 2.4G_rx-led" type=interface-receive
/system logging
add action=disk disabled=yes topics=upnp
/tool sniffer
set filter-interface=all filter-stream=yes streaming-enabled=yes \
    streaming-server=192.168.10.41
/tool user-manager database
set db-path=user-manager

dinsdag 3 december 2019 14:54

Acties:

+2 Henk 'm!

SpikeHome

@starpc
Waarom zou je upnp willen gebruiken?
Ik doe alleen maar poort vast open zetten die ik open zou willen hebben.
Nadeel van upnp is dat veel apparaten allerlei poorten open kunnen gaan zetten (tenminste als het werkt zoals het zou moeten

)

dinsdag 3 december 2019 17:18

Acties:

+1 Henk 'm!

jvanhambelgium

Inderdaad, UPNP op een firewall zou verboden moeten worden ! ;-)
Het kent geen concept van authenticatie dus eenders wat kan gaten beginnen prikken in je firewall!
A.F.Z.E.T.T.E.N !

/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add disabled=yes interface=ether1 type=external

Je moet de Wiki eens goed lezen, dit commando wil je niet opzetten! Want nu kan elk device op je netwerk, goedaardig of kwaadaardig vb gewoon je externe/ISP interface afzetten...

https://wiki.mikrotik.com/wiki/Manual:IP/UPnP

Nu, heb je ook al even wat debugging op gezet op de Mikrotik en effe gezien of daar iets boeiends voorbijkomt ?
UPNP is een sectie/topic waarop te debbuggen valt zodat je mogelijks een hoop meer info krijgt.

dinsdag 3 december 2019 19:04

Acties:

+1 Henk 'm!

nescafe

Wifi

Tja allow-disable-external-interface kun je uitzetten en je kunt je afvragen wat vervelender is: permanent geopende fixed poorten of dynamisch (randomized) gealloceerde poorten die alleen open staan als de applicatie actief is

Voor Chinees beveiligingsprut is het inderdaad ongewenst, maar daar spreekt @starpc niet over.

Anyway, UPnP op een kantoornetwerk is af te raden, voor thuisgebruik zou ik het niet direct zo sterk afwijzen.

@starpc, ik zie wel bijzonder weinig bescherming op je firewall. ether1, vlan1.4, vlan1.6 en vlan1.7 hebben zomaar toegang tot alle poorten op je router, iedereen kan andere protocollen dan tcp en udp gebruiken en alle genoemde interfaces inclusief pppoe hebben toegang tot je hele interne netwerk omdat er geen drop-rule op je forward chain zit (dit onder voorwaarde dat ze jouw router als gateway kunnen instellen, dat zal de provider wel afvangen, maar ik zou dit toch liever zelf blokkeren).

Ik zou toch aanraden even goed naar de standaardconfiguratie te kijken en deze zo nodig over te nemen: /system default-configuration print. In de default config kun je alle untrusted interfaces (ether1, vlan1.4, vlan1.6, vlan1.7 en pppoe) in je WAN interface list opnemen en daarmee zit je al veilig (en heb je gratis masquerade op pppoe en vlan1.4).

Daarnaast typisch dat iedereen proxy-arp overneemt van netwerkje.com. Volslagen onnodig op externe interfaces en potentieel hinderlijk.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 3 december 2019 23:44

Acties:

0 Henk 'm!

starpc

@SpikeHome om het makkelijker te maken. zou het eerste antwoord moeten zijn.
maar als niet werkt dan maar manueel de poortjes toevoegen.

@jvanhambelgium de Ether1 was een test opstelling. je gaat toch wat proberen. maar die staat uit.
en zal ik ook verwijderen uit de lijst

bijde dank voor de input.
@nescafe

u geeft goede info. maar ook ik ben nog aan het leren betreft deze router. het volgende zegt mij niet zo veel. of zou zo niet weten waar ik dat moet gaan toevoegen.

@starpc, ik zie wel bijzonder weinig bescherming op je firewall. ether1, vlan1.4, vlan1.6 en vlan1.7 hebben zomaar toegang tot alle poorten op je router, iedereen kan andere protocollen dan tcp en udp gebruiken en alle genoemde interfaces inclusief pppoe hebben toegang tot je hele interne netwerk omdat er geen drop-rule op je forward chain zit (dit onder voorwaarde dat ze jouw router als gateway kunnen instellen, dat zal de provider wel afvangen, maar ik zou dit toch liever zelf blokkeren).

Ik zou toch aanraden even goed naar de standaardconfiguratie te kijken en deze zo nodig over te nemen: /system default-configuration print. In de default config kun je alle untrusted interfaces (ether1, vlan1.4, vlan1.6, vlan1.7 en pppoe) in je WAN interface list opnemen en daarmee zit je al veilig (en heb je gratis masquerade op pppoe en vlan1.4).

ik heb wel dat uit gevoerd. en er een dump van gemaakt. zo dat ik het even op mijn gemak in een noteblokje kan lezen. uitraard heb ik even gelezen. en gezocht naar de fire wall regels.

ik kom daar een hoop firewall regels tegen.

code:

/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
                         /ip firewall {
                           filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
                           filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
                           filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
                           filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
                           filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
                           filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
                           filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
                           filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
                           filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
                           filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
                           filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed" }

deze heb ik toegevoegd aan mijn firewall filter

over de WAN lijst.

code:

/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
add interface=vlan1.4 list=WAN
add interface=vlan1.6 list=WAN (nu niet meer in deze lijst) 
add interface=vlan1.7 list=WAN
add interface=pppoe list=WAN

de genoemde interface's heb ik onder gebracht in de lijst WAN.
ik heb ook een poging gedaan tot een Fire wall regel te maken
deze

code:

1	add action=drop chain=forward disabled=yes out-interface-list=WAN

maar dan stopt het netwerk er mee. dus snel weer weg gehaald.

plus als ik

code:

1	filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

aan zet. stop de TV (Vlan1.6) er mee. dus deze maar uit de WAN lijst gehaald. KPN kasje vind dat niet zo leuk als er geknoeid word met het TV netwerk.

Daarnaast typisch dat iedereen proxy-arp overneemt van netwerkje.com. Volslagen onnodig op externe interfaces en potentieel hinderlijk.

op welke interface kan ik dat het beste uit zetten. de config van netwerkje word over genomen om dat het lekker makkelijk is. en ik moet zelf ook zeggen dat ik zelf niet zo veel tijd heb om dat allemaal te gaan zitten schijven. dan ben ik even heel eerlijk, sorry. hahah

ik probeer wel van alles zo als u ziet. en zeg dit ook eerlijk. ik leer door fouten te maken.
$_/-\o_$ dank voor de hulp tot zo ver alle

dinsdag 3 december 2019 23:58

Acties:

+1 Henk 'm!

nescafe

Wifi

@starpc er zijn twee methoden om je firewall in te richten:

1. blokkeer specifieke adressen/protocollen en sta de rest toe
2. sta specifieke adressen/protocollen toe en blokkeer de rest

Het idee is dat de default config van MikroTik zoveel mogelijk volgens methode 2 is opgebouwd: alles blokkeren behalve hetgeen je toestaat. Vlan1.6 is typisch verkeer dat je wel toe wilt staan

Dus dat je ergens boven de drop-rule, inkomend verkeer van vlan1.6 naar je interne netwerk toestaat en dan met name (en alleen) UDP-verkeer.

add action=drop chain=forward disabled=yes out-interface-list=WAN

Deze regel is niet nodig, omdat de default firewall al een generieke drop-rule heeft. Als je dit wel zou willen gebruiken, dan dien je out-interface-list te wijzigen in in-interface-list.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 5 december 2019 11:38

Acties:

0 Henk 'm!

starpc

@nescafe de default configuratie heeft te veel effect op het IPTV singaal.
Wat trouwens via igmp snooping loopt.
Ook als ik in de firewall een regel maak
Dat de in interface bridge van iptv, chain=forward en action = accept.
Gaan de kasjes gek doen

donderdag 5 december 2019 19:42

Acties:

+1 Henk 'm!

nescafe

Wifi

@starpc
Ah okay, in general hadden de aanbevelingen niet zoveel met het upnp-probleem van doen. Kun je eens kijken of je dynamische nat-rules wel het goede dst-address hebben gekregen? Dat zou je eigen externe IP moeten zijn, maar ik heb dat ook wel eens zien verspringen.

Wat je ook kunt doen: de dynamische rules 'copyen', boven de dynamische rules slepen en net zo lang uitkleden (condities uitschakelen) tot je de counters ziet oplopen. Moeten er natuurlijk wel connecties worden gemaakt en van established connecties zul je de counter niet op zien lopen.

[ Voor 34% gewijzigd door nescafe op 05-12-2019 19:43 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 7 december 2019 19:45

Acties:

0 Henk 'm!

Hmmbob

Ik wil graag IPv6 gaan enablen, om klaar te zijn voor de toekomst. Alleen, want is nou een goede setup voor KPN?

Ik maak me vooral zorgen om de firewall settings - mijn IPv4 netwerk is goed afgeschermd en dat wil ik graag zo houden. Daarnaast moet mijn IPTV setup wel blijven werken :-)

Sometimes you need to plan for coincidence

zaterdag 7 december 2019 20:05

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

In principe hetzelfde als IPv4: uitgaand verkeer is toegestaan, inkomend alleen ESTABLISHED/RELATED.

Enige waar je rekening mee moet houden is dat IPv6 ICMP gebruikt voor NDP en MTU discovery. ICMPv6 allow any op INPUT lost het discoveryprobleem op.

maandag 9 december 2019 15:04

Acties:

0 Henk 'm!

Dr. Horrible

Sinds kort ben ik overgestapt op T-Mobile Thuis glas met een snelheid van 1gbps. De router die zij erbij leveren (een zyxel ding) voldoet bij mij niet, valt vaak weg. Ik ben dus op zoek naar een alternatief en Mikrotik ziet er erg interessant uit, maar toch kom ik er niet helemaal uit wat nou de beste oplossing is

de hAP ac² lijkt mij een mooie vervanging van mijn router, mogelijk/hopelijk later uitgebreid met nog 1 of 2 hAP ac lite's als access point. Echter zie ik de hAP ac² ook veel gebruikt worden als access point. Zou die krachtig genoeg zijn om als router en CAPsMAN te gebruiken?

edit: Het draait hier nu een paar dagen, en het draait super vloeiend. Had een post gevonden op het Mikrotik forum waarbij support staff aangaf dat dat prima kon. Erg tevreden op het moment, mooi systeem. Maar kan nog veel meer aan ingesteld worden

[ Voor 20% gewijzigd door Dr. Horrible op 14-12-2019 21:21 . Reden: Inmiddels aangeschaft ]

dinsdag 17 december 2019 00:46

Acties:

0 Henk 'm!

Basmeg

Ik heb een Mikrotik hEX s (RB760iGS) en een glasvezelabonnement bij Telfort. Internet en telefoon, geen TV. De ethernetkabel van de NT in ether1, de WAN poort van de Experiabox V10 in ether2 en m'n PC in ether3. De Mikrotik is geconfigureerd volgens onderstaand script. Het is nu of de telefoon werkt of m'n PC (internet) werkt. Ik krijg ze niet tegelijkertijd werkend. Ik vermoed dat het met routing te maken heeft maar ik kom er niet uit. Het lukt me niet om beide, telefoon en internet, via de Mikrotik te laten lopen. Wie kan mij helpen?

code:

# dec/16/2019 00:22:01 by RouterOS 6.42.10
# software id = FFGL-
#
# model = RB760iGS
# serial number = A8150AE4
/interface bridge
add name=bridge-LAN
add name=bridge-VoIP

/interface ethernet
set [ find default-name=ether1 ] comment="Ethernet 1 interface voor WAN" 
set [ find default-name=ether2 ] comment=\
    "Ethernet 2 interface voor Experiabox"
set [ find default-name=ether3 ] comment="Ethernet 3 interface voor LAN1"
set [ find default-name=ether4 ] comment="Ethernet 4 interface voor LAN2"
set [ find default-name=ether5 ] comment="Ethernet 5 interface voor LAN3-POE"

/interface vlan
add comment="Internet + telefonie NT" interface=ether1 name=vlan1.34 \
    vlan-id=34
add comment="Voip naar port 2 voor ExperiaBox" interface=ether2 name=vlan2.34 \
    vlan-id=34

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip pool
add name=DHCP-POOL ranges=192.168.1.100-192.168.1.199

/ip dhcp-server
add address-pool=DHCP-POOL disabled=no interface=bridge-LAN lease-time=3d \
    name=DHCP-LAN

/routing bgp instance
set default disabled=yes

/interface bridge port
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-VoIP interface=vlan2.34
add bridge=bridge-VoIP interface=vlan1.34

/ip address
add address=192.168.1.254/24 interface=bridge-LAN network=192.168.1.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge-VoIP

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.254 gateway=192.168.1.254

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-state=new
add action=drop chain=forward connection-state=untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=new
add action=drop chain=input connection-state=untracked
add action=drop chain=output connection-state=invalid
add action=accept chain=output connection-state=established
add action=accept chain=output connection-state=related
add action=accept chain=output connection-state=new
add action=drop chain=output connection-state=untracked
add action=drop chain=forward
add action=drop chain=input
add action=drop chain=output

/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-LAN to-addresses=\
    0.0.0.0
add action=masquerade chain=srcnat out-interface=bridge-VoIP to-addresses=\
    0.0.0.0

/system clock
set time-zone-name=Europe/Amsterdam

/system routerboard settings
set silent-boot=no

dinsdag 17 december 2019 11:57

Acties:

0 Henk 'm!

SpikeHome

Dr. Horrible schreef op maandag 9 december 2019 @ 15:04:
Sinds kort ben ik overgestapt op T-Mobile Thuis glas met een snelheid van 1gbps. De router die zij erbij leveren (een zyxel ding) voldoet bij mij niet, valt vaak weg. Ik ben dus op zoek naar een alternatief en Mikrotik ziet er erg interessant uit, maar toch kom ik er niet helemaal uit wat nou de beste oplossing is

de hAP ac² lijkt mij een mooie vervanging van mijn router, mogelijk/hopelijk later uitgebreid met nog 1 of 2 hAP ac lite's als access point. Echter zie ik de hAP ac² ook veel gebruikt worden als access point. Zou die krachtig genoeg zijn om als router en CAPsMAN te gebruiken?

edit: Het draait hier nu een paar dagen, en het draait super vloeiend. Had een post gevonden op het Mikrotik forum waarbij support staff aangaf dat dat prima kon. Erg tevreden op het moment, mooi systeem. Maar kan nog veel meer aan ingesteld worden

Als je glas verbinding hebt zou ik eerder voor een Mikrotik 4011 gaan.

dinsdag 17 december 2019 13:01

Acties:

0 Henk 'm!

Dr. Horrible

SpikeHome schreef op dinsdag 17 december 2019 @ 11:57:
[...]

Als je glas verbinding hebt zou ik eerder voor een Mikrotik 4011 gaan.

Een beetje mosterd na de maaltijd (hangt er al allemaal) maar ben wel benieuwd wat ik nu eventueel zou missen (in theorie zou ik nog een 4011 toe kunnen voegen en dan de hAP AC² als extra access point kunnen gebruiken)

Volgens de stats op Mikrotik.com zou ik 2 gbit moeten kunnen halen op de hAP AC² en 10gbit op de Mikrotik 4011 . Natuurlijk is de 4011 toffer maar volgens mij overkill voor zelfs een gigabit glas wan.

dinsdag 17 december 2019 14:10

Acties:

0 Henk 'm!

SpikeHome

Dr. Horrible schreef op dinsdag 17 december 2019 @ 13:01:
[...]

Een beetje mosterd na de maaltijd (hangt er al allemaal) maar ben wel benieuwd wat ik nu eventueel zou missen (in theorie zou ik nog een 4011 toe kunnen voegen en dan de hAP AC² als extra access point kunnen gebruiken)

Volgens de stats op Mikrotik.com zou ik 2 gbit moeten kunnen halen op de hAP AC² en 10gbit op de Mikrotik 4011 . Natuurlijk is de 4011 toffer maar volgens mij overkill voor zelfs een gigabit glas wan.

Volgens mij ga je die 2gb echt niet halen hoor als je wat firewall regels gaat toepassen.
Mijn 2011 haal zonder fastrack niet eens de 200mb

dinsdag 17 december 2019 14:51

Acties:

0 Henk 'm!

chaoscontrol

https://www.servethehome....qrm-review-insane-switch/

Leuk ding voor thuis.

Inventaris - Koop mijn meuk!

dinsdag 17 december 2019 16:03

Acties:

0 Henk 'm!

Dr. Horrible

SpikeHome schreef op dinsdag 17 december 2019 @ 14:10:
[...]

Volgens mij ga je die 2gb echt niet halen hoor als je wat firewall regels gaat toepassen.
Mijn 2011 haal zonder fastrack niet eens de 200mb

Met de default firewall regels (en inderdaad fasttrack aan) haal ik op speedtests gewoon netjes 1 gigabit/s. Met kleinere pakketten gaat dat moeilijker worden, sure, maar lijkt nu best afdoende die hAP

maandag 30 december 2019 20:33

Acties:

0 Henk 'm!

peterstr

Thralas schreef op vrijdag 11 november 2016 @ 09:51:
[...]

Aha! Men ondersteunt dus óók EAP-TTLS (de handleiding noemt enkel PEAP, dat ondersteunt MikroTik niet).

Scherp. Ik zou - als het eenmaal werkt met bovenstaand voorbeeld - echter wel de Ziggo root toevoegen en verifiëren, certificate checking geheel negeren is niet zo netjes securitywise.

Ik ben aan het testen geweest om middels de procedure van "dhr-soulslayer" verbinding te maken met een Wifispot bij 1 van mijn buren. Ik krijg echter authenticatie failures en timeouts. Ik werk met een SXTSQ-lite2 draaiend met RouterOS 6.46.1. Deze versie is verschillend van die Soulslayer gebruikte in 2016. De opgegeven commando regel moet nu namelijk worden uitgevoerd in "interfaces wireless security" (security profile).

Ik weet even niet of er aan de Ziggo kant nog zaken zijn gewijzigd sinds 2016.

Is er iemand die met succes een Mikrotik met een Ziggo Wifispot heeft verbonden?

via mijn laptop werkt het overigens wel.

[ Voor 2% gewijzigd door peterstr op 31-12-2019 09:57 . Reden: toevoeging ]

maandag 30 december 2019 21:06

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Wat zeggen de logs? Al dan niet met debugging enabled. Je kunt ook een packet capture aanzetten en de EAP-sessie in Wireshark bekijken om te zien of dat er zinnig uitziet (voor zover dat nuttig is met TTLS).

Overigens is er wel het één en ander veranderd aan de MikroTik-zijde sinds 2016: die ondersteunt nu ook PEAP. Zou je ook nog kunnen proberen.

woensdag 1 januari 2020 00:23

Acties:

0 Henk 'm!

starpc

Basmeg schreef op dinsdag 17 december 2019 @ 00:46:
Ik heb een Mikrotik hEX s (RB760iGS) en een glasvezelabonnement bij Telfort. Internet en telefoon, geen TV. De ethernetkabel van de NT in ether1, de WAN poort van de Experiabox V10 in ether2 en m'n PC in ether3. De Mikrotik is geconfigureerd volgens onderstaand script. Het is nu of de telefoon werkt of m'n PC (internet) werkt. Ik krijg ze niet tegelijkertijd werkend. Ik vermoed dat het met routing te maken heeft maar ik kom er niet uit. Het lukt me niet om beide, telefoon en internet, via de Mikrotik te laten lopen. Wie kan mij helpen?

zie anders even mijn KPN config. evt kan je daar wat uit halen.
ik heb wel het mac adress over genomen bij het aan melden bij kpn.
en de vlan 7 stuur ik eigelijk direct via een VLAN via een IGMP switch naar de Experia box die heel zielug aleen SIP/voip server is.

daar is die goed genoeg voor

..
(helaas nog steeds geen sip gegevens van KPN gehad. hoop dat KPN ze SVP, ASAP geeft.)
jha ik weet KPN en Telford is anders op gebouwd. Bij kpn moet je nog een PPPoe sessie opstarten
bij Telford is dit niet nodig.
ik ben niet echt een expert. maar ik denk dat de fout als volgt is.
De NTu (media converter waar glas binnen komt) geeft 1 IP adress (of KPN) zo dat evt de KPN monteur de lijn kan testen zonder experia box.

ik zie idd dat bij Telford dat het allemaal iets minder Complex is.
bij KPN heb je te dealen met 3 VLans.
Vlan 6 voor internet
Vlan 4 voor TV
Vlan 7 voor Telefoon.

bij Telford loopt dit over Vlan 34, als ik het allemaal goed snap.
van de Teleford Site haal ik het volgende.

Glasvezel instellingen:
WAN Protocol: MAC Encapsulated Routing
WAN1 1p/VLAN ID: 1/34
WAN3 1p/VLAN ID: 5/4
PPPoE passthrough function: Enable
IP-adres: 192.168.2.254
Duplex Mode: Auto
Max Bit Rate: Auto
DHCP Server, pool Start IP: 192.168.2.1
DHCP Server, pool End IP: 192.168.2.252
Bron:Telford eigen modem

ik heb wat voor je gezocht, Telford werkt met IPoE ipv PPPoe..
daar waar ik voor KPN nog niets zie. en PPPoe gewoon nog steeds goed moet zijn. (Als iemand daar tips over kan geven spv dan wil ik uitraard al een config maken zo dat ik makkelijk over kan)
evt een IGMP in richten. of aan zetten. anders weet de switch niet welk verkeer waar heen moet, en loopt idd de boel vast. al heb je geen TV dus dat zou geen probleem mogen zijn.

daar over gesproken. mijn oma gaat ook over op KPN netwerk in januari. en er is al gezegd. als er problemen zijn mag u de apparatuur omruilen. dus ik ga er van uit dat er het een en ander gaat veranderen qua netwerk.
dus ik hou mijn hart vast. aan gezien de xs4all er ook bij komt en deze ook weer andere settings heeft.
KPN moet toch naar een standaard. en liefst houd ik mijn mooi configie

liever een ramp voor zijn. dan gezeur..

je heb er niets aan met met de Telford aansluiting maar hier onder is een dump van mijn KPN config.
zo als ik dat zelf altijd zeg. ik simuleer de KPN box. inclusief IGMP snooping. dus op alle poortjes TV en internet. wat tot een tijd geleden niet kon, maar via een software update toegevoegd is aan de Mikrotik Router OS.

-EDIT
ik zie dat je de vraag ook gesteld heb op Telford forum.
als ik had geweten dat het simpel weg daar aan lag. had ik een minder lang uitleg gemaakt.
maar ik heb wel zitten denken. kan je niet gewoon de expira box opnemen in een bridge.
en dan je WAN port ( ether 1) een mac adress cloon doen. dus wan adress over nemen van je Experia box.

note: "mijn wan adress" is waar uitraard mijn WAN adress zou staan. maar heb ik nog even weg gehaald. en niet zomaar copy paste.

code:

# dec/03/2019 13:11:19 by RouterOS 6.45.7
# software id = K595-2MJ4
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local
add name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="GLASS Connectie" \
    l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] comment="Slaapkamer Voor 1" l2mtu=1598
set [ find default-name=ether3 ] comment="Slaapkamer 1, achterkant"
set [ find default-name=ether4 ] comment="slaapkamer Voor 2. (voor zolder)"
set [ find default-name=ether5 ] comment="Slaapkamer 2 achter.  "
set [ find default-name=ether6 ] comment="huis kamer"
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=3 band=5ghz-n/ac channel-width=\
    20/40mhz-Ce disabled=no frequency=5500 frequency-mode=superchannel \
    mac-address=B8:69:F4:D2:AA:9F mode=ap-bridge multicast-helper=disabled \
    name="wlan1 5G" radio-name=B869F4D2AA9F ssid="mijn ssid naamN" \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=3 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=netherlands disabled=no frequency=auto \
    frequency-mode=regulatory-domain mode=ap-bridge multicast-helper=disabled \
    name="wlan2 2.4G" ssid="mijn ssid naamN" wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless nstreme
set "wlan1 5G" enable-polling=no
set "wlan2 2.4G" enable-polling=no
/interface vlan
add interface=ether1 mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add interface=ether1 loop-protect=off mtu=1594 name=vlan1.7 vlan-id=7
add disabled=yes interface=ether6 name=vlan6.6 vlan-id=6
add interface=ether6 name=vlan6.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe user=\
    Mijn macadress@internet
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys supplicant-identity=\
    MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name="gast wifi" \
    supplicant-identity=""
/interface wireless
add keepalive-frames=disabled mac-address=BA:69:F4:B3:9C:F2 master-interface=\
    "wlan2 2.4G" multicast-buffering=disabled name="gast wifi" \
    security-profile="gast wifi" ssid="gast wifi" wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.10-192.168.10.99
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=guest ranges=192.168.100.100-192.168.100.254
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
add address-pool=guest disabled=no interface="gast wifi" name="gast DHCP"
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# no interface
add action=drop chain=forward in-interface=*24
# no interface
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface="wlan1 5G"
add bridge=bridge-local interface="wlan2 2.4G"
add bridge=bridge-local interface=ether6
add bridge=bridge-local disabled=yes interface=*1A
add bridge=bridge-local disabled=yes interface=vlan6.6
add bridge=bridge-local interface=ether10
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan6.7
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local interface=vlan6.6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=192.168.100.100 interface="gast wifi" network=192.168.100.1
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=1.88.192.0/24 dns-none=yes gateway=1.88.192.1
add address=192.168.10.0/24 dns-server=8.8.8.8 domain=thuis.local gateway=\
    192.168.10.250
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=udp
add action=drop chain=forward comment=NETbios disabled=yes dst-port=137-139 \
    in-interface=pppoe protocol=tcp
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=udp src-port=137-139
add action=drop chain=forward comment=NETbios disabled=yes out-interface=\
    pppoe protocol=tcp src-port=137-139
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    mijn wan dst-port=80 protocol=tcp to-addresses=192.168.10.200
add action=dst-nat chain=dstnat comment=torrent dst-address=mijn wan adress \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.41 to-ports=3799
add action=dst-nat chain=dstnat comment=server dst-address=mijn wan \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=dst-nat chain=dstnat dst-address=mijn wan to-addresses=\
    192.168.10.63
add action=src-nat chain=src-nat src-address=192.168.10.63 to-addresses=\
    mijn wan
add action=masquerade chain=srcnat out-interface=bridge-local
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
add disabled=yes interface=ether1 type=external
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    interface=vlan1.4 upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface="wlan2 2.4G" leds="wlan2 2.4G_signal1-led,wlan2 2.4G_signal2-led\
    ,wlan2 2.4G_signal3-led,wlan2 2.4G_signal4-led,wlan2 2.4G_signal5-led" \
    type=wireless-signal-strength
add interface="wlan2 2.4G" leds="wlan2 2.4G_tx-led" type=interface-transmit
add interface="wlan2 2.4G" leds="wlan2 2.4G_rx-led" type=interface-receive
/system logging
add action=disk disabled=yes topics=upnp
/tool sniffer
set filter-interface=all filter-stream=yes streaming-enabled=yes \
    streaming-server=192.168.10.41
/tool user-manager database
set db-path=user-manager

[/quote]

nescafe schreef op donderdag 5 december 2019 @ 19:42:
@starpc
Ah okay, in general hadden de aanbevelingen niet zoveel met het upnp-probleem van doen. Kun je eens kijken of je dynamische nat-rules wel het goede dst-address hebben gekregen? Dat zou je eigen externe IP moeten zijn, maar ik heb dat ook wel eens zien verspringen.

Wat je ook kunt doen: de dynamische rules 'copyen', boven de dynamische rules slepen en net zo lang uitkleden (condities uitschakelen) tot je de counters ziet oplopen. Moeten er natuurlijk wel connecties worden gemaakt en van established connecties zul je de counter niet op zien lopen.

sorry dat ik een tijd niet gereageerd heb. maar het gaat mij even te boven, en snap niet echt wat u bedoelt.
uitraard waardeer u bijdragen.
ik moet nog veel leren over Router board.
zo wil ik ook nog steeds een apart wifi netwerk voor Gasten. wat nog steeds niet wil. maar goed. stap voor stap.. i know

@SpikeHome en @Dr. Horrible
ik heb een RB4011iGS+5HacQ2HnD aan de NTu van KPN hangen, zit er over te denken nog een Sfp te kopen en de glas lijn direct in de RB4011 te prikken.

had hier voor de RB2011 met wifi. ( onthoud mij even het hele model nummer)
ik ben voor de RB4011iGS+5HacQ2HnD gegaan om dat ik zo blij was met de RB2011. dat ik graag een upgrade wilde naar 5Ghz wifi .. aan gezien de rb2011 alleen 2,4 deed. maar wilde naar 5 jaar ook wel weer wat nieuws.

donderdag 2 januari 2020 10:59

Acties:

+1 Henk 'm!

peterstr

Thralas schreef op maandag 30 december 2019 @ 21:06:
Wat zeggen de logs? Al dan niet met debugging enabled. Je kunt ook een packet capture aanzetten en de EAP-sessie in Wireshark bekijken om te zien of dat er zinnig uitziet (voor zover dat nuttig is met TTLS).

Overigens is er wel het één en ander veranderd aan de MikroTik-zijde sinds 2016: die ondersteunt nu ook PEAP. Zou je ook nog kunnen proberen.

Het lijkt nu te werken

.
Zit nu op een andere plek in huis waardoor de signaal sterkte van de Wifispot een stuk beter is.
Ik had voorheen ook al eens PEAP geprobeerd maar dat werkte toen ook niet.
Maar de eerste poging op de huidige plek was met MSCHAP wat niet werkte. Na het omschakelen naar PEAP werkt het nu wel.

Dank voor het meedenken.

donderdag 2 januari 2020 23:56

Acties:

0 Henk 'm!

Basmeg

[quote]starpc schreef op woensdag 1 januari 2020 @ 00:23:
[...]

-EDIT
ik zie dat je de vraag ook gesteld heb op Telford forum.
als ik had geweten dat het simpel weg daar aan lag. had ik een minder lang uitleg gemaakt.
maar ik heb wel zitten denken. kan je niet gewoon de expira box opnemen in een bridge.
en dan je WAN port ( ether 1) een mac adress cloon doen. dus wan adress over nemen van je Experia box.

Dank voor je meedenken.
Ik heb de Experiabox gekoppeld aan ether2. In Winbox zie ik de mogelijkheid om een mac adres te spoofen 'uitgegrijsd'.
Ben nu op vakantie maar zodra ik terug ben ga ik er verder mee.

vrijdag 3 januari 2020 12:37

Acties:

0 Henk 'm!

Tacoos

i am i

Sinds een week heb ik een Mikrotik HEX en ik probeer nu mijn Experiabox V9 te vervangen door de Hex.
Kwa internet loopt dat prima, maar met IPTV heb ik nog wat moeite. Ik volg de stappen zoals in netwerkje.com, toch werkt niet alles
Op ether4 krijgt de settop box wel signaal, maar dat stokt na 2 seconden.
Wat zit er nog fout in mijn config?

code:

# jan/03/2020 13:08:55 by RouterOS 6.46.1
# software id = G1LH-ARVC
#
# model = RB750Gr3
# serial number = xxxx
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-LAN protocol-mode=none
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] l2mtu=1598
/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=thuisnetwerk ranges=192.168.10.40-192.168.10.99
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=\
    default-ipv6 user=1234@provider
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge-LAN interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.10.250/24 interface=bridge-local network=192.168.10.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no \
    interface=vlan1.4 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.101 comment="Decoder 2" dhcp-option-set=IPTV \
    mac-address=00:02:9B:F6:DD:31 server=dhcp-thuis
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.68.10.250 domain=thuis.local \
    gateway=192.168.10.250
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input in-interface=pppoe-client protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe-client protocol=tcp \
    reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp \
    reject-with=icmp-port-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Needed for internet" \
    out-interface=pppoe-client src-address=192.168.0.0/16
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=\
    217.166.0.0/16 out-interface=vlan1.4
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe-client type=external
/ipv6 firewall filter
add action=accept chain=input connection-state=established in-interface=\
    pppoe-client
add action=accept chain=input connection-state=related in-interface=\
    pppoe-client
add action=accept chain=input in-interface=pppoe-client protocol=icmpv6
add action=accept chain=input comment="DHCPv6 for public addresses" \
    dst-address=fe80::/64 dst-port=546 in-interface=pppoe-client log-prefix=\
    DHCPv6 protocol=udp
add action=reject chain=input in-interface=pppoe-client reject-with=\
    icmp-port-unreachable
add action=accept chain=forward connection-state=related in-interface=\
    pppoe-client
add action=accept chain=forward connection-state=established in-interface=\
    pppoe-client
add action=reject chain=forward in-interface=pppoe-client reject-with=\
    icmp-no-route
/ipv6 nd
set [ find default=yes ] disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=bridge-LAN
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 78% gewijzigd door Tacoos op 03-01-2020 13:10 ]

Doe maar gewoon, dan doe je al gek genoeg...

vrijdag 3 januari 2020 12:55

Acties:

0 Henk 'm!

nescafe

Wifi

Kun je een reguliere export plaatsen?

/export file=myConfig hide-sensitive

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 januari 2020 13:10

Acties:

0 Henk 'm!

Tacoos

i am i

nescafe schreef op vrijdag 3 januari 2020 @ 12:55:
Kun je een reguliere export plaatsen?

/export file=myConfig hide-sensitive

done, zie originele post

Doe maar gewoon, dan doe je al gek genoeg...

vrijdag 3 januari 2020 13:40

Acties:

0 Henk 'm!

nescafe

Wifi

Het idee van interface lists is dat je geen firewall rules meer hoeft aan te maken voor pppoe-client. Dus voeg pppoe-client toe aan je WAN interface list en verder de dubbele rules inzake pppoe-client. Voeg ook vlan1.4 aan interface list WAN toe, dan is je separate masquerade voor IPTV overbodig.

Proxy-arp is overbodig (netwerkje.com?).

Daarnaast mis ik een forward-rule die udp-verkeer van vlan1.4 naar je router (LAN) toestaat en een input rule die udp-verkeer van vlan1.4 naar de router toestaat (voor het in stand houden van je multicast-stream).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 januari 2020 16:57

Acties:

0 Henk 'm!

Tacoos

i am i

nescafe schreef op vrijdag 3 januari 2020 @ 13:40:
Het idee van interface lists is dat je geen firewall rules meer hoeft aan te maken voor pppoe-client. Dus voeg pppoe-client toe aan je WAN interface list en verder de dubbele rules inzake pppoe-client. Voeg ook vlan1.4 aan interface list WAN toe, dan is je separate masquerade voor IPTV overbodig.

Proxy-arp is overbodig (netwerkje.com?).

Daarnaast mis ik een forward-rule die udp-verkeer van vlan1.4 naar je router (LAN) toestaat en een input rule die udp-verkeer van vlan1.4 naar de router toestaat (voor het in stand houden van je multicast-stream).

Die laatste lukt me nog niet?

Doe maar gewoon, dan doe je al gek genoeg...

vrijdag 3 januari 2020 19:07

Acties:

0 Henk 'm!

nescafe

Wifi

Misschien gaat je interfacing niet helemaal goed.

Bridge "bridge" (ether2, ether4, ether5, 192.168.88.1/24)
Bridge "bridge-LAN" (ether3, igmp-proxy, igmp-snooping)
Bridge "bridge-local" (192.168.10.250/24)

Bridge-local is niet gekoppeld aan fysieke interfaces, bridge geeft dhcp maar geen igmp en bridge-LAN heeft geen dhcp maar wel igmp (proxy+snooping).

Is het niet handiger om deze drie samen te gooien naar een bridge, of als je wilt segmenteren, om bridge-LAN te voorzien van ip-address + dhcp-server + dhcp-network? Of anders "bridge" toe te voegen aan je igmp-proxy?

Daarbij zou ik evt. meerdere interne bridges in interface list LAN plaatsen.

Tacoos schreef op vrijdag 3 januari 2020 @ 16:57:
[...]

Die laatste lukt me nog niet?

Voorbeeldje (verplaats de firewall rules naar boven de final drop in de chain)

code:

/interface list
add name=IPTV
/interface list member
add interface=vlan1.4 list=IPTV
/ip firewall filter
add action=accept chain=input in-interface-list=IPTV protocol=igmp
add action=accept chain=input in-interface-list=IPTV protocol=udp
add action=accept chain=forward in-interface-list=IPTV protocol=udp

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 5 januari 2020 19:43

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Ik zit nog op 6.41.3 en moet dus updaten. Echter dat is onmogelijk, not enough disk space.
Ik heb al op het forum gekeken, maar heb geen oplossing gevonden.
Onder Files vind ik alleen een mapje "flash" met niks erin.

Ik draai gewoon een default config met vrij weinig aanpassingen.

Hoe kan MikroTik nou een update uitbrengen die te groot is?
Ik probeer nu alleen deze packages erop te zetten:

advanced-tools
dhcp
security
system

Via de webconfig>Files. Dat past wel (package wireless niet, maar dit is een hEX POE die heeft toch geen ingebouwde wireless). Is dit een goed idee?

Ddurf ik eigenlijk niet te rebooten want dan wordt de update dus daadwerkelijk uitgevoerd.. ben bang dat ik nog verder van huis ben als tijdens de update packages missen.

[ Voor 3% gewijzigd door Jazco2nd op 05-01-2020 19:45 ]

zondag 5 januari 2020 19:47

Acties:

0 Henk 'm!

nescafe

Wifi

Maak een export van de config en installeer inderdaad alleen de packages die je denkt nodig te hebben. Advanced tools kan eventueel later. Na de update maak je een nieuwe export en controleer je via een diff of alles er nog inzit.

Als het niet lukt kun je ook een netinstall doen (indien gewenst met behoud van config), hoewel mij dat altijd wel wat pogingen kost voor het werkt.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 5 januari 2020 20:04

Acties:

0 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zondag 5 januari 2020 @ 19:47:
Maak een export van de config en installeer inderdaad alleen de packages die je denkt nodig te hebben. Advanced tools kan eventueel later. Na de update maak je een nieuwe export en controleer je via een diff of alles er nog inzit.

Als het niet lukt kun je ook een netinstall doen (indien gewenst met behoud van config), hoewel mij dat altijd wel wat pogingen kost voor het werkt.

Dank. Maar is er geen mogelijkheid ruimte vrij te maken? Ik moet updaten (niet dat ik het wil) omdat deze versie een security flaw bevat. Ik koos juist ooit Mikrotik omdat het mij rockstable leek en mogelijkheid gaf mijn wifi APs van stroom te voorzien. Maar dit is wel haast amateuristisch te noemen van Mikrotik..

zondag 5 januari 2020 20:09

Acties:

0 Henk 'm!

nescafe

Wifi

Tja daar kan ik niet veel aan toevoegen. Het probleem speelt bij de apparaten met 16 MB flash en relatief weinig geheugen. Je kunt alle files wissen (zonder npk wordt geen update uitgevoerd) en rebooten om geheugen vrij te maken, mogelijk gaat het dan beter. Maar het standaard antwoord van MikroTik is netinstall.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 5 januari 2020 20:14

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

nescafe schreef op vrijdag 3 januari 2020 @ 13:40:
Proxy-arp is overbodig (netwerkje.com?).

Vergeet die immer malle source matched MASQUERADE rules niet.

Masqueraden doe je op outgoing-interface; daar op source IP matchen krijg je ooit nog spijt van.

Jazco2nd schreef op zondag 5 januari 2020 @ 20:04:
Dank. Maar is er geen mogelijkheid ruimte vrij te maken?

Wacht even, upload je naar de map /flash of de root? Dat laatse zou vziw. ook prima moeten werken (dat is gewoon RAM).

zondag 5 januari 2020 20:59

Acties:

0 Henk 'm!

nescafe

Wifi

Volgens mij is uploaden naar /flash via webfig niet mogelijk, dus het gaat idd om te weinig RAM.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 5 januari 2020 21:21

Acties:

+1 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zondag 5 januari 2020 @ 20:09:
Tja daar kan ik niet veel aan toevoegen. Het probleem speelt bij de apparaten met 16 MB flash en relatief weinig geheugen. Je kunt alle files wissen (zonder npk wordt geen update uitgevoerd) en rebooten om geheugen vrij te maken, mogelijk gaat het dan beter. Maar het standaard antwoord van MikroTik is netinstall.

nescafe schreef op zondag 5 januari 2020 @ 20:59:
Volgens mij is uploaden naar /flash via webfig niet mogelijk, dus het gaat idd om te weinig RAM.

naar root.
Maar ik heb de bestanden verwijderd, vervolgens gereboot. Ik hoorde aan de piepjes dat er 2x een reboot plaats vond. Wat blijkt: hij is nu geupdate! Vreemd want ik had de bestanden gewist. Maar misschien zijn via de normale update procedure (webconfig > system > packages) toch de benodigde bestanden gedownload. Ik zag ze alleen niet via Files.
Het mapje flash was leeg..

Vreemd maar dus wel op de laatste stable versie nu..

vrijdag 10 januari 2020 20:21

Acties:

0 Henk 'm!

starpc

@Tacoos kijk anders ook even naar mijn config (vorige pagina)
evt heb je daar wat aan.

Deze lijnen heb ik voor mijn Config

routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
interface=vlan1.4 upstream=yes

de Kasjes krijgen een DHCP van KPN. via
deze lijnen
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"

let wel 192.168.10.255 is mijn DHCP range. als jij een andere range gebruikt. dien je dit te veranderen.

en

/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal

wat ik ook nog moest doen was in de fire wall een NAT regel maken

/ip firewall nat
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
213.75.112.0/21 out-interface=vlan1.4

TV werkt hier helemaal. ook heel belangrijk is de Snooping aan te zetten op je "Bride Local" interface

over TV gesproken. ik heb een probleem met een van mijn Kasjes.
het leuke aan het gesprek met een medewerker was dat hij eerst zei. dat mag niet hoor een eigen router.
en toen later dood leuk zei " maar ik heb zelf ook"
dit kwam om dat hij mijn Experia box will uit lezen. die achter mijn Mikrotik staat als SIP/Voip ding. die een Vlan 7 krijgt.
nu wil KPN dat ik mijn Experia box weer ga aan sluiten, zo dat ze de Experia box kunne uitlezen. en zo kunnen zien waarom het kasje geen beeld geeft.. je snapt m al...zucht.....

ik ben dus met het heldere idee gekomen om een "pass trough" te maken.

dit als volgt.
de NTU is op port 1 aan gesloten. (wan)
en wil via een bridge, Tagged weg sturen naar een 2 de switch die in ook Vlan doet. Un-tagged aan bieden aan de WAN port van de Experia box. en dan 1 port op de zelfde Switch gebruiken tagged terug te sturen naar de Mikrotik. om vervolgens untagged aan te dieden aan de Bridge-local.

en uitraard Vlan 4,6,7 uit te zetten op de WAN port
de DHCP server.
en ook de PPPoe cient (evt)

dan zou ik toch via de Experia doos even internet moeten hebben, en dan dat de mikrotik dan ook nog steeds netwerk heeft.

ik heb daar voor de volgende dingen bedacht, kan zijn dat ik wat vergeet. dit wil ik zo doen om dat ik moelijk bij de Mikrotik kan. eigelijk gewoon niet. deze config is bedacht en gebaseerd op theorie. nog niet getest.
graag tip's of wat ik anders zou kunnen doen. maar naar mijn idee ziet het er netjes uit.

code:

/interface vlan
add disabled=yes interface=ether6 name="Lan from expirabox 6.100" vlan-id=100
add disabled=yes interface=ether6 name="WAN to Expirabox 6.60" vlan-id=60

/interface bridge
add disabled=yes name="pass trough WAN" vlan-filtering=yes

/interface bridge port
add bridge="pass trough WAN" interface=ether1
add bridge="pass trough WAN" interface="WAN to Expirabox 6.60"
add bridge=bridge-local interface="Lan from expirabox 6.100"

vrijdag 10 januari 2020 21:59

Acties:

0 Henk 'm!

Hmmbob

Ik denk niet dat dat gaat werken, want je kan maar 1 pppoe sessie hebben. Die gaat je experiabox meteen opzetten, dus dan heeft je mikrotik niets. Of andersom.

Maar dan sleutel je heel even die experiabox ertussen? Duurt niet heel lang...

Sometimes you need to plan for coincidence

zaterdag 11 januari 2020 23:56

Acties:

0 Henk 'm!

Tacoos

i am i

starpc schreef op vrijdag 10 januari 2020 @ 20:21:
@Tacoos kijk anders ook even naar mijn config (vorige pagina)
evt heb je daar wat aan.

Deze lijnen heb ik voor mijn Config

routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
interface=vlan1.4 upstream=yes

de Kasjes krijgen een DHCP van KPN. via
deze lijnen
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"

let wel 192.168.10.255 is mijn DHCP range. als jij een andere range gebruikt. dien je dit te veranderen.

en

/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip ipsec proposal

wat ik ook nog moest doen was in de fire wall een NAT regel maken

/ip firewall nat
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
213.75.112.0/21 out-interface=vlan1.4

TV werkt hier helemaal. ook heel belangrijk is de Snooping aan te zetten op je "Bride Local" interface

[... snip... ]

nescafe schreef op vrijdag 3 januari 2020 @ 19:07:
Misschien gaat je interfacing niet helemaal goed.
[... snip... ]

Ik kreeg het gevoel dat mijn set-up een rommeltje was.
Daarbovenop had ik moeite jullie tips te volgen; de mikrotik interface is lastiger te doorgronden dan ik had verwacht.
Het plan was dus deze week wat info over routeros door te spitten en wat tutorials te volgen en dan verder te gaan met de tips en de setup.
Door omstandigheden heb ik daar minder tijd aan kunnen besteden dan gehoopt.
Bovendien vinden mijn gamende kinderen al dat gepruts van papa met de internetverbinding niet leuk

Vandaag heb ik de basis set-up van de grond af aan opnieuw gevolgd, de bridges gekoppeld zoals @nescafe had geconstateerd dat niet klopte en nu werkt alles naar behoren

Edit 2: te vroeg gejuicht!; tv doet het bridged, maar dan werken de menu's op de settops werken niet en laten alleen maar zien: wissel uw ontvanger.
Als ik routed probeer, krijgen ze geen ip adres

[ Voor 8% gewijzigd door Tacoos op 12-01-2020 19:04 ]

Doe maar gewoon, dan doe je al gek genoeg...

maandag 13 januari 2020 11:05

Acties:

0 Henk 'm!

nescafe

Wifi

Geen ip-adres betekent dat je dhcp-config nog niet in orde is. Heb je de juiste options gedeclareerd en gekoppeld aan je server?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 13 januari 2020 21:57

Acties:

+1 Henk 'm!

Tacoos

i am i

nescafe schreef op maandag 13 januari 2020 @ 11:05:
Geen ip-adres betekent dat je dhcp-config nog niet in orde is. Heb je de juiste options gedeclareerd en gekoppeld aan je server?

Net mijn config nog eens naast die van @starpc gelegd op de vorige pagina en de fout gevonden; Ik had ether 3 en 4 voor tv toegewezen aan bridge-iptv, maar die moesten gewoon aan bridge-local worden gekoppeld en bridge-iptv aan vlan1.4. En igmp snooping moest dus aan staan voor bridge-local ipv bridge-iptv.

TV werkt nu routed, alle opties zoals netflix en youtube via de settop van KPN werken ook.
Telefoon en internet zelf werkten al.
Helemaal netjes is de set-up nog niet (proxy-arp staat bijvoorbeeld nog aan...), maar voor vanavond vind ik het genoeg

Doe maar gewoon, dan doe je al gek genoeg...

maandag 20 januari 2020 13:10

Acties:

+1 Henk 'm!

starpc

Hmmbob schreef op vrijdag 22 februari 2019 @ 21:54:
@starpc en @BubbaNL Mijn config, KPN Glasvezel met Wifi+gastnetwerk. Gastnetwerk wordt niet op een apart VLAN gezet, maar in de firewall gescheiden op basis van IP-ranges.

[*Knip*]

ik heb is een kop koffie gepakt. en er is voor gaan zitten. aan gezien ik nu wat meer vertouwen heb, en Router OS wat beter snap, en dus toch wel de mensen die op bezoek komen niet op mijn prive netwerk wil. als ik het maar dat ze niet met mijn Google home kunnen gaan spelen, of sonos, of wat kunnen gaan casten op mijn TV. is het mij gelukt om iig een gaste netwerk te krijgen. sorry dat ik het toen niet snapte.
u bent een held $_/-\o_$

nu nog even denken hoe ik de gasten op het gaste net krijg.
denk dat het beste is om gewoon de WPA key te veranderen van het Prive netwerk.
zit te denken om iets te doen met Trused MAC adressjes. maar of dat veel zin heeft ??
enige wat ik nu wil is dat er wat limitaties op komen.
up / down speed limit. en uitraard torrents, en streaming niet toegestaan.

maandag 20 januari 2020 15:08

Acties:

+1 Henk 'm!

Hmmbob

starpc schreef op maandag 20 januari 2020 @ 13:10:
[...]
nu nog even denken hoe ik de gasten op het gaste net krijg.
denk dat het beste is om gewoon de WPA key te veranderen van het Prive netwerk.
zit te denken om iets te doen met Trused MAC adressjes. maar of dat veel zin heeft ??
enige wat ik nu wil is dat er wat limitaties op komen.
up / down speed limit. en uitraard torrents, en streaming niet toegestaan.

Ik heb inderdaad simpelweg een aparte netwerknaam (XXXX-Gast) en een apart, relatief simpel, wachtwoord. Het wordt in de firewall helemaal afgeschermd van mijn eigen Wifi+LAN en kan alleen naar internet, dus dit voldoet voor mij. Ik heb er ook geen restricties op: de mensen die dit netwerk gebruiken bij ons gebruiken het eigenlijk alleen maar voor Whatsapp ofzo... Plus, als zij wél een keer mijn 200mbit lijn dicht trekken wordt die lijn ook een keer goed gebruikt

Oftewel: kosten-baten analyse: voor mij was het alle moeite niet waard.

Sometimes you need to plan for coincidence

maandag 20 januari 2020 16:09

Acties:

0 Henk 'm!

starpc

Hmmbob schreef op maandag 20 januari 2020 @ 15:08:
[...]

Ik heb inderdaad simpelweg een aparte netwerknaam (XXXX-Gast) en een apart, relatief simpel, wachtwoord. Het wordt in de firewall helemaal afgeschermd van mijn eigen Wifi+LAN en kan alleen naar internet, dus dit voldoet voor mij. Ik heb er ook geen restricties op: de mensen die dit netwerk gebruiken bij ons gebruiken het eigenlijk alleen maar voor Whatsapp ofzo... Plus, als zij wél een keer mijn 200mbit lijn dicht trekken wordt die lijn ook een keer goed gebruikt

Oftewel: kosten-baten analyse: voor mij was het alle moeite niet waard.

gelukkig heb ik ook hier ook een 200/200 lijn. het is gewoon een brain storm.
en moet ook wel zeggen. dicht trekken gaat ze niet lukken, aan gezien ik alleen een 2,4Ghz netwerk heb voor de gasten.

--EDIT--
ik kon het toch niet laten, om er even mee te gaan spelen. en het is dus heerlijk simpel

code:

1 2	/queue simple add dst=pppoe max-limit=5M/5M name="gaste limiet" target=WiFi-Gastnetwerk

ik heb gewoon even gekeken wat u deed bij
DHCP, Adress,Pool. uitraard had ik deze dingen opgericht maar ik kon het niet uitstaan dat het mij niet lukte.
dus heb voor het gemak maar u DHCP range overgenomen voor de gaste DHCP.
uitraard virtual wifi had ik al. maar kreeg er geen Internet op.
eigelijk had ik de nat regeltjes nodig.
het enige wat ik moest aan passen was dat de DHCP range die gebruikt word in de config voor de prive DHCP range. maar dat is niet zo een groot punt.

, en zo leren we elke keer wel weer wat over netwerking. en over Routerboard OS.
iig toen ik begon met de RB2011 5 jaar terug. was ik blij dat de config van Netwerkje. werkend kreeg.
later een managed switch (GS105Ev2) toe kon voegen voor beneden om Vlan 7 Tagged aan te bieden aan aan de ExplodiaDoos

en Vlan 4 op 1 poortje voor de TV. en 2 poortjes netwerk van af de Bridge-local.

later overwogen om naar een andere Router te gaan om dat KPN IGMP snooping verplicht ging stellen.
en Router OS dit niet deed. dit als melding via Mail. met als boodschap, we gaan het TV platform aan passen.
en we sturen u een nieuwe router, want de Experia box doet niet wat wij willen. (hahahha)

en toen uitvond dat er extra software pakjes waren die Snooping toevoeging deden op de Rb2011.
toen even uit gezocht hoe dit op te zetten.
ook een avond aan besteed. en werkend gekregen. om dat ik toch al had bedacht om een andere router te gaan nemen. het besluit genomen om de rb4011 met Wifi (2,4 & 5ghz) te nemen. en deze op de zelfde manier in te gaan richten. als de RB2011. eigelijk had ik dit 5 jaar geleden nooit gedacht te gaan zeggen. maar de Router OS router is nu mijn grootste vriend. een kennis van mij wilde laast dus ook een Asus router met Asuswrt-Merlin gaan inrichten voor ze KPN (tv-telefoon-internet) verbinding. zelfs met wat hulp van mij en mijn config laten zien betrekking tot de ip tv. kreeg hij het niet voor elkaar. alles moet in dat ding met custom scripts. en ander gezeur.
waar alles in de Mikrotik redelijk voor de hand is.

[ Voor 3% gewijzigd door starpc op 20-01-2020 18:46 ]

zaterdag 25 januari 2020 15:13

Acties:

0 Henk 'm!

ari3

Hoe debuggen jullie routing en VLAN problemen op MikroTik routers? Ik lees dingen over het gebruik van de Torch maar zover ik kan zien toont dit alleen dat verkeer op een bepaalde bestemming niet aankomt, niet waardoor het geblokkeerd wordt of welk configuratie item daarvoor verantwoordelijk is.

Mijn probleem staat hier in een eigen omgeschreven. Helaas geen reacties, is dit forum een betere plek om te posten?

"Kill one man, and you are a murderer. Kill millions of men, and you are a conqueror. Kill them all, and you are a god." -- Jean Rostand

zondag 26 januari 2020 11:59

Acties:

0 Henk 'm!

Laagheim

@ari3 Ik heb zelf geen mikrotik apparatuur dus neem mijn tips niet al te serieus (zit te denken om een 10 gbe switchje te kopen vandaar dat ik hier wat zit te neuzen) maar als je het vlan dat niet werkt precies zo heb geconfigureerd als je andere vlans kan het dan niet ergens anders in je netwerk zitten? Heb je bijv. er een switch hangen die de vlan id uit het signaal stripped? Sluit een cliënt rechtstreeks op de poort aan en kijk wat er gebeurd.

zondag 26 januari 2020 12:52

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

ari3 schreef op zaterdag 25 januari 2020 @ 15:13:
Hoe debuggen jullie routing en VLAN problemen op MikroTik routers? Ik lees dingen over het gebruik van de Torch maar zover ik kan zien toont dit alleen dat verkeer op een bepaalde bestemming niet aankomt, niet waardoor het geblokkeerd wordt of welk configuratie item daarvoor verantwoordelijk is.

Torch (of packet capture) laat altijd al het verkeer op de interface zien, ook als het gefilterd wordt. In die zin is het inderdaad maar de helft van het verhaal. Om je (bridge) firewall te valideren kun je beter wat LOG-regels invoegen, dan kun je ook zien hoe ver je verkeer komt.

Maargoed, voor switching issues heb je daar meestal niet veel aan. (arp)ping en de arp table zijn daar de voornaamste gereedschappen.

Helaas geen reacties, is dit forum een betere plek om te posten?

Nu wel

dinsdag 4 februari 2020 22:17

Acties:

0 Henk 'm!

starpc

Laagheim schreef op zondag 26 januari 2020 @ 11:59:
@ari3 Ik heb zelf geen mikrotik apparatuur dus neem mijn tips niet al te serieus (zit te denken om een 10 gbe switchje te kopen vandaar dat ik hier wat zit te neuzen) maar als je het vlan dat niet werkt precies zo heb geconfigureerd als je andere vlans kan het dan niet ergens anders in je netwerk zitten? Heb je bijv. er een switch hangen die de vlan id uit het signaal stripped? Sluit een cliënt rechtstreeks op de poort aan en kijk wat er gebeurd.

zo lang de Switch VLAN aan kan. vaak is dit een managed switch.
een "domme" switch stript idd je VLAN er uit. sommige "domme" switchen geven wel Vlans door. om dat of de software dat toelaat, of de hardware het ondersteund.
sim is gewoon de vuist regel.
Ga je aan de gang met VLAN. Gebruik dan hardware die VLAN ondersteunt. en beheerd kan worden.
ik heb zelf een RB4011 icm een GS105Ev2.
en daar laat ik tagged VLAN ID 6 en id 7 op binnen komen. daar heb ik multicast uit gezet.
en gaat Un-tagged naar de juiste poortjes. zo dat het TV kasje en de Exeria box, die alleen voor SIP/VOIP er staat. kunnen werken.
uitraard deze vlans ook Tagged aanbieden via de mikrotik. uitraard maakt het niet echt veel uit.
ik heb ook al een MikroTik gecombineerd met een Linksys E2000 die op DDWRT draait. en daar ook een Simple Vlan config gemaakt. en ook dat werkt prima. zolang dit maar op de juiste
tagged ID's binnen komt
Un-tagged naar de jusite poortjes gaat.
zo lang je dit goed doet. moet het geen probleem zijn.

Onderwerpen