[MikroTik-apparatuur] Ervaringen &amp; Discussie

zaterdag 8 februari 2020 21:42

@starpc Sowieso moet je nog in de forward chain ICMPv6 toestaan naar je interne netwerk. ICMPv6 is namelijk een essentieel onderdeel van IPv6.

En zeker in jou geval als je de MTU op de PPPoE sessie niet expliciet op 1500 zet maar standaard op 1492 krijg je rare dingen als je het al het inkomende ICMPv6 verkeer blokkeert. Overigens kan je de MTU wel netjes op 1500 want KPN en XS4ALL ondersteunen gewoon RFC4638.

Acties:

zaterdag 8 februari 2020 22:09

ik222 schreef op donderdag 6 februari 2020 @ 21:16:
@starpc Sowieso moet je nog in de forward chain ICMPv6 toestaan naar je interne netwerk. ICMPv6 is namelijk een essentieel onderdeel van IPv6.

En zeker in jou geval als je de MTU op de PPPoE sessie niet expliciet op 1500 zet maar standaard op 1492 krijg je rare dingen als je het al het inkomende ICMPv6 verkeer blokkeert. Overigens kan je de MTU wel netjes op 1500 want KPN en XS4ALL ondersteunen gewoon RFC4638.

ik ben ook even nog aan het rond kijken geweest. en vond ook ergens in een config voor een edge router dat de MTU op 1500 kan. dus deze ook maar even daar op gezet.
maar, u reactie wijst er op dat ik zelf dus ook al goed aan het experimenteren ben geweest.

ik heb even goed gekeken naar de regels.
maar

code:

1	add action=accept chain=input in-interface=pppoe protocol=icmpv6"

of is het verstandig om er een regel bij te maken

code:

1	add action=accept chain=forward in-interface=pppoe out-interface=Bridge-local protocol=icmpv6"

in de config van netwerkje.nl staat

code:

1 2	/ipv6 nd set [ find default=yes ] advertise-dns=no disabled=yes

na deze aan gezet te hebben. krijg ik netjes mijn IPv6 adres op mijn laptop. en telefoon.
mijn ipv6 fire wall regels zien er nu zo uit.

code:

/ipv6 firewall filter
add action=accept chain=input connection-state=established in-interface=pppoe
add action=accept chain=input connection-state=related in-interface=pppoe
add action=accept chain=input in-interface=pppoe protocol=icmpv6
add action=accept chain=input comment="DHCPv6 for public addresses" \
    dst-address=fe80::/64 dst-port=546 in-interface=pppoe log-prefix=DHCPv6 \
    protocol=udp
add action=reject chain=input in-interface=pppoe reject-with=\
    icmp-port-unreachable
add action=accept chain=forward connection-state=related in-interface=pppoe
add action=accept chain=forward connection-state=established in-interface=\
    pppoe
add action=reject chain=forward in-interface=pppoe reject-with=icmp-no-route
add action=accept chain=input connection-state=established disabled=yes \
    in-interface=pppoe
add action=accept chain=input connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=input disabled=yes in-interface=pppoe protocol=icmpv6
add action=accept chain=input connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=input comment="DHCPv6 for public addresses" disabled=\
    yes dst-address=fe80::/64 dst-port=546 in-interface=pppoe log-prefix=\
    DHCPv6 protocol=udp
add action=reject chain=input disabled=yes in-interface=pppoe reject-with=\
    icmp-port-unreachable
add action=accept chain=forward connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=forward connection-state=established disabled=yes \
    in-interface=pppoe
add action=reject chain=forward disabled=yes in-interface=pppoe reject-with=\
    icmp-no-route

hopelijk is dit de goede manier ?

[ Voor 39% gewijzigd door starpc op 08-02-2020 21:55 ]

Acties:

zaterdag 8 februari 2020 22:13

Ja op zich wel, maar ik zou dus inderdaad nog een extra regel aanmaken voor IPv6 in de forward chain. Input is namelijk alleen naar de firewall zelf, forward is voor het gerouteerde verkeer naar clients erachter. En ICMPv6 moet ook voor je clients werken.

Acties:

donderdag 13 februari 2020 11:03

ik222 schreef op zaterdag 8 februari 2020 @ 22:09:
Ja op zich wel, maar ik zou dus inderdaad nog een extra regel aanmaken voor IPv6 in de forward chain. Input is namelijk alleen naar de firewall zelf, forward is voor het gerouteerde verkeer naar clients erachter. En ICMPv6 moet ook voor je clients werken.

ik heb mijn complete Firewall regels even gedeeld.als je deze nog even kunt door nemen, en kijken of ik dat goed doe. ik ben nog aan het leren op gebied van doorsturen en firewall.
$_/-\o_$
maar alvast dank voor het helpen.

Edit:
de IPv6 config werkt nu.
alleen waar ik niet blij mee ben ik dat ik geen Controle heb over de DNS.
en deze graag naar een Pi hole adress wil hebben

[ Voor 12% gewijzigd door starpc op 09-02-2020 12:17 ]

Acties:

d3nnisc

Goedemorgen,

Ik ben al een kleine twee weken aan het vechten met mijn thuis netwerk.
En hoop dat iemand mij hiermee zou kunnen helpen.

Setup is als volgt:

Ziggo in bridge mode > 960PGS > CRS112-8P-4S > RB260GSP

Er zijn een aantal vlan inc DHCP geconfigureerd en op zich werkt dat netjes tot aan de CRS112.
Echter nu probeer ik een 2de TRUNK aan te maken op de CRS112 naar een RB260GSP.
En hier gaat het compleet fout.
Ben hier al twee weken mee bezig en mij lukt het niet hoop dat iemand van jullie het ziet.
ik post de config voor de 960 en de CRS112 hieronder

code:

[admin@MikroTik] > export hide-sensitive
# feb/13/2020 10:54:09 by RouterOS 6.46.3
# software id = DUZM-C24Q
#
# model = 960PGS
# serial number = 89F908C80057
/interface bridge
add arp=proxy-arp name=bridge-lan
/interface ethernet
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=CC:2D:E0:67:F7:FE
/interface bonding
add mode=802.3ad name=bond1 slaves=sfp1,ether5
/interface vlan
add interface=bond1 name=Boon vlan-id=30
add interface=bond1 name=MGMT vlan-id=99
add interface=bond1 name=TV vlan-id=20
add interface=bond1 name=WIFI vlan-id=10
add interface=bond1 name=vlan1 vlan-id=1
/interface ethernet switch port
set 4 vlan-mode=check
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=10.0.0.2-10.0.0.254
add name=dhcp_pool2 ranges=192.168.85.2-192.168.85.254
add name=dhcp_pool3 ranges=192.168.87.2-192.168.87.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-lan name=lan-dhcp
add address-pool=dhcp_pool1 disabled=no interface=WIFI name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=TV name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=Boon name=dhcp3
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=bond1
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=bridge-lan list=LAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
add address=192.168.99.1/24 interface=vlan1 network=192.168.99.0
add address=10.0.0.1/24 interface=WIFI network=10.0.0.0
add address=192.168.85.1/24 interface=TV network=192.168.85.0
add address=192.168.87.1/24 interface=Boon network=192.168.87.0
/ip dhcp-server network
add address=10.0.0.0/24 gateway=10.0.0.1
add address=192.168.85.0/24 gateway=192.168.85.1
add address=192.168.87.0/24 gateway=192.168.87.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input in-interface=ether1 protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=ether1 protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=ether1 protocol=udp reject-with=icmp-port-unreachable
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge-lan log=yes log-prefix=!public_from_LAN out-interface=!bridge-lan
/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=ether1 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=ether1 src-address=192.168.87.0/24
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=ether1 src-address=192.168.85.0/24
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=ether1 src-address=10.0.0.0/24
/ip route
add disabled=yes distance=1 gateway=192.168.88.1
/ip service
set www-ssl disabled=no
/system clock
set time-zone-name=Europe/Amsterdam
/tool graphing interface
add interface=ether1

CRS112

code:

[admin@MikroTik] > export hide-sensitive
# feb/13/2020 11:00:07 by RouterOS 6.46.2
# software id = WVBL-ZJA5
#
# model = CRS112-8P-4S
# serial number = 9B200B6190DB
/interface bridge
add name=bridge
add name=bridge-trunk
add name=bridge-vlan1
add name=bridge-vlan10
add name=bridge-vlan20
add name=bridge-vlan30
/interface ethernet
set [ find default-name=sfp9 ] mac-address=C4:AD:34:38:69:F3
/interface vlan
add interface=bridge name=MGMT vlan-id=99
/interface bonding
add mode=802.3ad name=bond_1-2 slaves=sfp9,ether8
/interface vlan
add interface=bond_1-2 name=Boon vlan-id=30
add interface=bond_1-2 name=TV vlan-id=20
add interface=bond_1-2 name=WIFI vlan-id=10
add interface=bond_1-2 name=vlan1 vlan-id=1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=bond_1-2
add bridge=bridge-vlan10 interface=WIFI
add bridge=bridge-vlan20 interface=ether2
add bridge=bridge-vlan20 interface=TV
add bridge=bridge-vlan30 interface=ether3
add bridge=bridge-vlan30 interface=Boon
/interface ethernet switch ingress-vlan-translation
add new-customer-vid=1 ports=ether1
/interface ethernet switch vlan
add ports=switch1-cpu,ether1 vlan-id=1
add ports=switch1-cpu,ether1 vlan-id=10
add ports=switch1-cpu,ether1 vlan-id=20
add ports=switch1-cpu,ether1 vlan-id=30
/interface list member
add interface=sfp9 list=WAN
add interface=bridge-vlan10 list=LAN
/ip address
add address=192.168.99.2/24 interface=vlan1 network=192.168.99.0
add address=192.168.85.2/24 interface=TV network=192.168.85.0
add address=192.168.87.2/24 interface=Boon network=192.168.87.0
add address=10.0.0.2/24 interface=WIFI network=10.0.0.0
add address=192.168.88.2/24 interface=bridge network=192.168.88.0
/ip dns
set servers=8.8.8.8
/ip route
add distance=1 gateway=192.168.99.1
/system clock
set time-zone-name=Europe/Amsterdam
[admin@MikroTik] >

Het is na al het proberen echt een rommeltje geworden.
Hoor graag wat en waar ik het fout doe.

groet,

Dennis

zondag 1 maart 2020 15:47

Acties:

zondag 1 maart 2020 15:51

Wifi

Ik kom echt niet uit het volgende:

1 Ubuntu Budgie 19.10 pc ("FujitsuServer") waarbij sharing aanstaat, dus ik verwacht dat remote desktop werkt en bestanden zichtbaar zijn voor andere pc's in het netwerk. Verbonden met hEX POE router via kabel. Het ip adres is gereserveerd en is 192.168.88.10

1 Ubuntu Budgie 19.10 laptop. Verbonden met hEX POE router via kabel.

Op de pc heb ik aanstaan:
screen sharing
media sharing
CUPS printer sharing

Op de laptop zie ik zowel de printer als ook "FUJITSUSERVER" in de file manager onder Network. Maar iets printen kan niet en de mappen bekijken ook niet (connection refused). Ik kan zelfs niet naar http://ipadresvanFujitsuServer:631 om CUPS van de host te bekijken.
Screensharing verbinden lukt ook niet.

Het lijkt erop dat de MikroTik voorkomt dat er directe verbindingen worden gemaakt tussen verschillende pc's in het netwerk. Dat de computers elkaar wel vinden komt volgens mij door het Avahi/mdns protocol.

Hoe kan ik dit oplossen?

Acties:

zondag 1 maart 2020 17:29

MikroTik nerd

MikroTik
Wifi
Accesspoints

Als beide interfaces, waarop de Ubuntu machines op aangesloten zijn, onderdeel uitmaken van een bridge dan klinkt het voor mij meer een Ubuntu configuratie probleem. Tenzij er nog iets van een firewall tussen zit. Kan je beide Ubuntu machines een vast IP adres geven en deze vervolgens met een netwerkkabel direct op elkaar aansluiten?

Eerst het probleem, dan de oplossing

Acties:

woensdag 25 maart 2020 12:17

Wifi

lier schreef op zondag 1 maart 2020 @ 15:51:
Als beide interfaces, waarop de Ubuntu machines op aangesloten zijn, onderdeel uitmaken van een bridge dan klinkt het voor mij meer een Ubuntu configuratie probleem. Tenzij er nog iets van een firewall tussen zit. Kan je beide Ubuntu machines een vast IP adres geven en deze vervolgens met een netwerkkabel direct op elkaar aansluiten?

Dat is wel een goede test..
Ik heb dit gedaan, vervolgens handmatig ip adressen toegewezen door eerst de juiste interface te zoeken:

code:

ip a l

PC: eno1
Laptop: enp1s0

Vervolgens handmatig ip adressen toegewezen:
PC:

code:

1	sudo ip ad add 10.0.0.10/24 dev eno1

Laptop:

code:

1	sudo ip ad add 10.0.0.20/24 dev eno1

ping test gedaan: succes.

Vervolgens media en screensharing aan/uit gezet en de cups server herstart op de pc.
Helaas kan ik nog steeds nergens bij op de laptop.

Het lijkt er dus op dat je gelijk hebt.. maar het is mij niet duidelijk in welke richting ik dit verder moet debuggen. Het zijn beide verse 19.10 installs (had hetzelfde probleem al met 19.04). Er is geen firewall ingesteld op beide systemen.

Acties:

Theone098

Heeft iemand nieuwe inzichten voor de config n.a.v. het vrijgeven van het modem door KPN? Zie https://www.kpn.com/servi...nstellen-en-gebruiken.htm

Ik zie iets over DHCP option 50. Die ken ik nog niet. Ook wordt DHCP option 28 niet genoemd (die ik nu wel heb).

Option 50 lijkt mij een standaard feature? Deel hetzelfde adres uit als beschikbaar, zo niet geef een ander adres?

Ik heb Internet en IPTV, zonder telefonie/voip.

[ Voor 21% gewijzigd door Theone098 op 25-03-2020 12:20 ]

woensdag 25 maart 2020 12:52

Acties:

woensdag 25 maart 2020 13:02

MikroTik
Wifi

Fijn dat ze dat eindelijk online hebben gezet.

Theone098 schreef op woensdag 25 maart 2020 @ 12:17:
Ik zie iets over DHCP option 50. Die ken ik nog niet. Ook wordt DHCP option 28 niet genoemd (die ik nu wel heb).

Ik snap niet wat je met 'het wel hebben' van option 28 bedoelt. Je hoeft in ieder geval weinig te sleutelen aan de MikroTik DHCP client: enkel option 60 moet je expliciet toevoegen.

De rest (veelal herhaald uit incorrecte guides) was altijd al onnodig/bijgeloof.

Option 50 lijkt mij een standaard feature? Deel hetzelfde adres uit als beschikbaar, zo niet geef een ander adres?

Het tekstje slaat als een tang op een varken, en option 50 kan ik inderdaad ook niet plaatsen.

Wat ze lijken te bedoelen is dat je DHCP client de classless static route option (121) moet ondersteunen/gebruiken, de rest doet m.i. niet echt terzake.

Acties:

Hmmbob

Nieuwsberichtje op de FP: nieuws: KPN biedt vrije modemkeuze

Wat vooral nieuw is, zijn de VoIP gegevens. Zal eens kijken of ik die gegevens kan gebruiken op mijn GSM.

Sometimes you need to plan for coincidence

woensdag 25 maart 2020 13:28

Acties:

Theone098

Thralas schreef op woensdag 25 maart 2020 @ 12:52:
Fijn dat ze dat eindelijk online hebben gezet.

[...]

Ik snap niet wat je met 'het wel hebben' van option 28 bedoelt. Je hoeft in ieder geval weinig te sleutelen aan de MikroTik DHCP client: enkel option 60 moet je expliciet toevoegen.

De rest (veelal herhaald uit incorrecte guides) was altijd al onnodig/bijgeloof.

Mooi, ik had DHCP option 28 inderdaad uit een guide (netwerkje.com).

option60: IPTV_RG
option28: het broadcast adres van je subnet, bijvoorbeeld 192.168.10.255 als je de basis configuratie hebt gevolgd.

Thralas schreef op woensdag 25 maart 2020 @ 12:52:
Het tekstje slaat als een tang op een varken, en option 50 kan ik inderdaad ook niet plaatsen.

Wat ze lijken te bedoelen is dat je DHCP client de classless static route option (121) moet ondersteunen/gebruiken, de rest doet m.i. niet echt terzake.

De tekst is mijn vertaling van het onderstaande:

Requested IP Address

This option is used in a client request (DHCPDISCOVER) to allow the
client to request that a particular IP address be assigned.

The code for this option is 50, and its length is 4.

Code Len Address
+-----+-----+-----+-----+-----+-----+
| 50 | 4 | a1 | a2 | a3 | a4 |
+-----+-----+-----+-----+-----+-----+

Volgens mij is dit geen optie die je moet instellen, maar een eis aan de router om dit te ondersteunen (RFC 2132).

[ Voor 8% gewijzigd door Theone098 op 25-03-2020 13:34 ]

woensdag 25 maart 2020 14:02

Acties:

woensdag 25 maart 2020 14:20

MikroTik
Wifi

Theone098 schreef op woensdag 25 maart 2020 @ 13:28:
De tekst is mijn vertaling van het onderstaande:

[..]

Volgens mij is dit geen optie die je moet instellen, maar een eis aan de router om dit te ondersteunen (RFC 2132).

Ik doelde op het stukje van KPN, niet dat van jou. En klopt, dat maakt de vermelding daar extra merkwaardig.

Acties:

Theone098

Thralas schreef op woensdag 25 maart 2020 @ 14:02:
[...]

Ik doelde op het stukje van KPN, niet dat van jou. En klopt, dat maakt de vermelding daar extra merkwaardig.

Ah, ok. Ja merkwaardig inderdaad, vandaar mijn opmerking in eerste instantie.

woensdag 25 maart 2020 15:55

Acties:

Zapp-it

Nou, even wat informatie die ik afgelopen zaterdag heb gehoord van een 2e lijn medewerker van XS4ALL (dus niet bevestigd), die vertelde mij dat KPN in de toekomst de Fritz!Box gaat uitleveren, KPN fixed IP nummers gaat invoeren en nog wat andere dingen die gebackport gaan worden van het XS4ALL netwerk naar het KPN netwerk, dus misschien is (DHCPDISCOVER) optie een mogelijke indicatie dat KPN bezig is met inderdaad fixed IP.

woensdag 25 maart 2020 18:40

Acties:

Thasaidon

If nothing goes right, go left

In mijn zoektocht naar een manier om mijn Mikrotik te gebruiken op mijn Solcon glasvezel (wat me overigens nog niet gelukt is), kwam ik deze tegen.

https://www.wirelessinfo.be/mikrotik-kpn-glasvezel/

Ik weet niet in hoeverre deze nog actueel is, maar wellicht hebben KPN gebruikers hier wat aan.

[ Voor 6% gewijzigd door Thasaidon op 25-03-2020 18:41 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 25 maart 2020 19:00

Acties:

maandag 30 maart 2020 21:41

MikroTik
Wifi

Zapp-it schreef op woensdag 25 maart 2020 @ 15:55:
KPN fixed IP nummers gaat invoeren

offtopic:
Die zijn in de praktijk al jaren fixed, ondanks het gebrek aan garanties. Zelfs niet gekoppeld aan een MAC maar simpelweg aan je aansluiting.

Acties:

maandag 30 maart 2020 22:33

Wifi

Ik heb mijn Mikrotik gereset zonder mijn NAT rules te backuppen

Nu ik toch opnieuw mag beginnen, wil ik gelijk een probleempje oplossen:
stel ik heb een webserver draaien op 192.168.88.10:8080. Ik kan poort 8080 wel openen zodat ik van buitenaf erbij kom. En ik kan via DynamicDNS een domein eraan koppelen: jazco.crabdance.com.
Hier kan ik dan buiten mijn netwerk bij.
Maar als ik thuiszit en naar jazco.crabdance.com gaat werkt het niet. Dit probleempje heb ik altijd maar genegeerd.
Daarnaast kan het publieke IP adres van mijn router wijzigen.. dus ik wil dat IP adres niet meer in portforwarding regels vastleggen. Dat is wel wat je doet als je de Hairpin NAT uitleg volgt uit de wiki.

Ik heb nu 2 methodes gevonden (Hairpin nat en een aanpassing daarop).

Deze lijkt alleen te werken als mijn ISP mij een statisch IP adres geeft (op de plek van ?????) en wil ik daarom vermijden:

code:

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-addresses=?????? to-addresses=192.168.88.10
add action=src-nat chain=srcnat disabled=no src-addresses=192.168.88.10 to-addresses=??????
add action=masquerade chain=srcnat disabled=no dst-addresses=192.168.88.0/24 src-addresses=192.168.88.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1

Dit alternatief lijkt me erg eenvoudig. Voordat ik het test, is dit veilig?

code:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.10 protocol=tcp dst-port=22000 out-interface=LAN 
add action=masquerade chain=srcnat comment="NAT" out-interface=WAN
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.10 protocol=tcp dst-port=22000 out-interface=LAN action=masquerade

Acties:

woensdag 1 april 2020 22:38

MikroTik
Wifi

Ik weet niet waar je dat vandaan hebt, maar dat ziet er gek uit.

Je moet gewoon exact doen wat er hier staat: Hairpin NAT.

Het enige probleem is de dstnat rule (die niets met hairpin te maken heeft):

code:

1	/ip firewall nat add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2

Omdat je dst-address niet kunt gebruiken kun je deze vervangen door een incoming interface in combinatie met dst-addr-type=local en dan werkt het ook wel.

Acties:

woensdag 1 april 2020 23:06

mijn hair pin regels zien er zo uit. ook op de link van Thralas.

code:

/ip firewall nat
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
   <wan-ip> dst-port=<poort num>protocol=tcp to-addresses=<locaal-ip-server>
    to-ports=<poort num>
add action=masquerade chain=srcnat out-interface=bridge-local

"bridge-local" is uitraard jouw LAN bridge Interface.

Acties:

donderdag 2 april 2020 17:56

@Jazco2nd Mijn versie van hairpin dan ook maar:

code:

1 2	/ip firewall nat add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.77.5 dst-port=80,443 protocol=tcp src-address=192.168.77.0/24

Acties:

vrijdag 3 april 2020 12:13

Wifi

Thralas schreef op maandag 30 maart 2020 @ 22:33:
Ik weet niet waar je dat vandaan hebt, maar dat ziet er gek uit.

Je moet gewoon exact doen wat er hier staat: Hairpin NAT.

Het enige probleem is de dstnat rule (die niets met hairpin te maken heeft):
code:
1
/ip firewall nat add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80  action=dst-nat to-address=192.168.1.2
Omdat je dst-address niet kunt gebruiken kun je deze vervangen door een incoming interface in combinatie met dst-addr-type=local en dan werkt het ook wel.

starpc schreef op woensdag 1 april 2020 @ 22:38:
mijn hair pin regels zien er zo uit. ook op de link van Thralas.
code:
1
2
3
4
5
/ip firewall nat
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
   <wan-ip> dst-port=<poort num>protocol=tcp to-addresses=<locaal-ip-server>
    to-ports=<poort num>
add action=masquerade chain=srcnat out-interface=bridge-local
"bridge-local" is uitraard jouw LAN bridge Interface.

Jef61 schreef op woensdag 1 april 2020 @ 23:06:
@Jazco2nd Mijn versie van hairpin dan ook maar:
code:
1
2
/ip firewall nat
add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.77.5 dst-port=80,443 protocol=tcp src-address=192.168.77.0/24

Dank voor de voorbeelden. Ik heb het nu zo werken, idd met local interface:

code:

ip firewall nat   

add action=masquerade chain=srcnat dst-address=192.168.88.10 src-address=192.168.88.0/24  

add action=masquerade chain=srcnat dst-address-type=local dst-address=!192.168.88.1 src-address=192.168.88.0/24  

add action=dst-nat chain=dstnat dst-port=22000 in-interface=vlan-internet protocol=tcp to-addresses=192.168.88.10 to-ports=22000 

add action=dst-nat chain=dstnat dst-port=21027 in-interface=vlan-internet protocol=tcp to-addresses=192.168.88.10 to-ports=21027

Ik ontdek nu dat de 2e poort die ik forward nog niet open lijkt te zijn. Misschoen nog ff rebooten straks.

Acties:

vrijdag 3 april 2020 12:22

Wifi

Zijn hier ervaringen met PiHole icm een MikroTik router?

Je DNS in RouterOS aanpassen naar het lokale IP van je PiHole is een eitje:

IP > DNS > Servers: vul het IP van je PiHole in.
DHCP Server > Networks > (klik op het adres) > DNS Servers: vul het IP van je PiHole in.
DHCP Client > (klik op de interface): Vinkje weghalen bij "Use Peer DNS".

Dit zorgt ervoor dat alle clients standaard de PiHole als DNS server gebruiken, tenzij op een client een andere DNS server wordt ingevuld. Je forceert het dus niet. Vind ik perfect, handig als je op een client even een andere DNS server wil testen.

Maar nu komt het probleem:
PiHole denkt nu dat ALLE DNS verzoeken van de router afkomstig zijn. Er kan geen onderscheid worden gemaakt tussen de clients. Hiervoor moet de router dit door kunnen geven. Dit staat hier uitgelegd onder optie 2: https://discourse.pi-hole...e-as-their-dns-server/245

In het PiHole topic is het niemand gelukt dit voor elkaar te krijgen met een MikroTik router.

Maar juist dankzij de veelzijdigheid van MikroTik en RouterOS zou dit toch wel mogelijk moeten zijn?

Acties:

vrijdag 3 april 2020 12:33

MikroTik nerd

MikroTik
Wifi
Accesspoints

@Jazco2nd kan je hier een IPCONFIG /ALL posten van een client? Zoals je het vertelt, heb je het goed ingesteld. Ik begrijp alleen niet waarom de PiHole denkt dat alles van jouw MikroTik router afkomstig is. Wnat DNS requests zouden direct vanaf de client door je PiHole afgehandeld moeten worden.

Eerst het probleem, dan de oplossing

Acties:

peterstr

@Jazco2nd
Op dit moment gebruik ik PI-Hole even niet maar ik heb dat met mijn mikrotik wel aan de praat gekregen met de DHCP option=6.
Je pushed dan het PI-Hole adres als DNS adres naar alle clients in plaats van dat je client allemaal de router als dns server krijgen die deze aanvragen dan omleid naar PI-Hole waardoor de PI-Hole denkt dat alles van router afkomstig is.

Dat is optie 2 op de URL die jij had staan.

Dan moet je op je mikrotik niet de PI-Hole als DNS gebruiken maar de originele externe DNS bijv die van google of je ISP.

DHCP option 6 geeft aan de client door welke DNS server ze moetn gebruiken dus hier moet je dan je PI-Hole adres in zetten. en op je pihole zeg je dat je router de dns server is. En dan is de cirkel weer rond.

Via de microtik commandline stel je dat als volgt in:

/ip dhcp-server option
add code=6 name=dnstest value="'ip van je pihole'"

Je moet even met de quotes bekijken welke je nodig hebt. In de gui kan ook maar dan moet het IP-Addres tussen enkele quotes zetten in het value veld.

[ Voor 33% gewijzigd door peterstr op 03-04-2020 13:17 ]

vrijdag 3 april 2020 13:25

Acties:

vrijdag 3 april 2020 14:49

MikroTik
Wifi

Je hoeft helemaal niet handmatig een DHCP option in te stellen met option 6, dat is nu juist wat /ip dhcp-server network dns-server doet:

the DHCP client will use these as the default DNS servers. Two comma-separated DNS servers can be specified to be used by the DHCP client as primary and secondary DNS servers

Dat is wat @Jazco2nd al probeerde. Zojuist getest: dat werkt hier prima, ik krijg exact die DNS-server geserveerd, niets meer. Zeker weten dat je de lease wel refreshed hebt op de client?

En check even of je geen v6 servers gebruikt

[ Voor 5% gewijzigd door Thralas op 03-04-2020 13:26 ]

Acties:

vrijdag 3 april 2020 15:11

Thralas schreef op vrijdag 3 april 2020 @ 13:25:
En check even of je geen v6 servers gebruikt

IPv6 bedoel je? Kan dat problemen geven? (edit: snap het denk ik al, je bedoelt openbare IPv6 DNS-servers)
Ik heb mijn PiHole op IPv6 staan en voor zover ik weet heb ik er geen problemen mee.

code:

ipconfig /all
DNS Servers . . . . . . . . . . . : 2001:984:xxxx:77::14
                                    2001:984:xxxx:77::15
                                    192.168.77.14
                                    192.168.77.15

[ Voor 35% gewijzigd door Jef61 op 03-04-2020 15:24 ]

Acties:

vrijdag 3 april 2020 15:54

Wifi

Thralas schreef op vrijdag 3 april 2020 @ 13:25:
[...]
Dat is wat @Jazco2nd al probeerde. Zojuist getest: dat werkt hier prima, ik krijg exact die DNS-server geserveerd, niets meer. Zeker weten dat je de lease wel refreshed hebt op de client?

En check even of je geen v6 servers gebruikt

lier schreef op vrijdag 3 april 2020 @ 12:22:
@Jazco2nd kan je hier een IPCONFIG /ALL posten van een client? Zoals je het vertelt, heb je het goed ingesteld. Ik begrijp alleen niet waarom de PiHole denkt dat alles van jouw MikroTik router afkomstig is. Wnat DNS requests zouden direct vanaf de client door je PiHole afgehandeld moeten worden.

Je hebt gelijk, ik zie wel queries per IP adres. Ik was overtuigd dat ik gisteren alle 3 stappen had uitgevoerd, maar ik had alleen DNS aangepast bij DHCP server. Nu ik alle 3 stappen heb uitgevoerd gaat dit stukje goed.

Wat mist zijn de hostnames van de clients. Je ziet dus niet "iPhone Jazco" bijvoorbeeld, maar alleen IP adressen.
In de PiHole heb ik ook Conditional Forwarding aanstaan, router IP adres en domeinnaam "MikroTik" ingevuld (dit staat onder System>Identity, default waarde).

Het enige wat niet werkt is dat de PiHole geen hostnames ziet. Verder gaat het goed.

[ Voor 15% gewijzigd door Jazco2nd op 03-04-2020 15:12 ]

Acties:

vrijdag 3 april 2020 19:18

MikroTik
Wifi

Jef61 schreef op vrijdag 3 april 2020 @ 14:49:
IPv6 bedoel je? Kan dat problemen geven?

Ik doelde op de situatie waar je óók IPv6 DNS servers krijgt van je MikroTik - v6 ansich is geen probleem.

Acties:

TF0

Jazco2nd schreef op vrijdag 3 april 2020 @ 15:11:
[...]

[...]

Je hebt gelijk, ik zie wel queries per IP adres. Ik was overtuigd dat ik gisteren alle 3 stappen had uitgevoerd, maar ik had alleen DNS aangepast bij DHCP server. Nu ik alle 3 stappen heb uitgevoerd gaat dit stukje goed.

Wat mist zijn de hostnames van de clients. Je ziet dus niet "iPhone Jazco" bijvoorbeeld, maar alleen IP adressen.
In de PiHole heb ik ook Conditional Forwarding aanstaan, router IP adres en domeinnaam "MikroTik" ingevuld (dit staat onder System>Identity, default waarde).

Het enige wat niet werkt is dat de PiHole geen hostnames ziet. Verder gaat het goed.

Om terug te komen op je oorspronkelijke vraag: ik draai hier al aardig lang MikroTik + Pi-hole, sommige clients mèt optie 6 (als ik te veel gezeur heb, dan gaat een bepaald apparaat gewoon om de Pi-hole heen

), het gros van de apparaten zonder. Alles komt netjes bij Pi-hole binnen.
Ik heb het echter niet zo hard afgeschermd dat het de enige DNS server is die gebruikt kan worden, dat vond ik overkill voor thuis.

offtopic:
Ik heb conditional forwarding uitstaan.
Ik heb zelf alle namen in Pi-hole gegooid om het leesbaar te houden. Even de hosts file met "sudo nano /etc/hosts" bewerken.
IP adres [tab] naam.
Dan kun je meteen je apparaten bereiken met die namen, superhandig.

vrijdag 3 april 2020 21:07

Acties:

vrijdag 3 april 2020 21:10

Wifi

TF0 schreef op vrijdag 3 april 2020 @ 19:18:
[...]

Om terug te komen op je oorspronkelijke vraag: ik draai hier al aardig lang MikroTik + Pi-hole, sommige clients mèt optie 6 (als ik te veel gezeur heb, dan gaat een bepaald apparaat gewoon om de Pi-hole heen ), het gros van de apparaten zonder. Alles komt netjes bij Pi-hole binnen.
Ik heb het echter niet zo hard afgeschermd dat het de enige DNS server is die gebruikt kan worden, dat vond ik overkill voor thuis.

offtopic
Ik heb conditional forwarding uitstaan.
Ik heb zelf alle namen in Pi-hole gegooid om het leesbaar te houden. Even de hosts file met "sudo nano /etc/hosts" bewerken.
IP adres [tab] naam.
Dan kun je meteen je apparaten bereiken met die namen, superhandig.
[/offtopic]

Juist je stukje offtopic vind ik interessant. Goed idee.

Maar Conditional Forwarding doet toch ook helemaal niks icm Mikrotik/RouterOS? Met of zonder ik zie geen verschil.

Acties:

TF0

Jazco2nd schreef op vrijdag 3 april 2020 @ 21:07:
[...]

Juist je stukje offtopic vind ik interessant. Goed idee.

Maar Conditional Forwarding doet toch ook helemaal niks icm Mikrotik/RouterOS? Met of zonder ik zie geen verschil.

Ik weet niet of ik het ooit geprobeerd heb

.

maandag 6 april 2020 22:41

Acties:

maandag 6 april 2020 22:59

Wifi

Er gebeurd toch nog iets geks bij mij.
Ik kan remotely een webservice die thuis draait bereiken door naar externIP:9000 te gaan (dankzij de Hairpin NAT regel), maar als ik met mijn LAN ben verbonden werkt externIP:9000 niet. Alleen localIP:9000.

Ik wil dat de app op mijn telefoon die dit adres nodig heeft, altijd externIP:9000 kan gebruiken, ongeacht of ik op LAN of extern zit. Anders moet ik telkens het adres wijzigen in mijn telefoon.

Ik dacht dat ik daarvoor alleen in-interface hoefde te wijzigen in deze regel (ipv vlan-internet):

code:

1	add action=dst-nat chain=dstnat dst-port=9000 in-interface=vlan-internet protocol=tcp to-addresses=192.168.88.10 to-ports=9000

Heb oa "all-ethernet" geprobeerd maar dat had geen effect.
Nu heb ik (eerst backup gemaakt) een hoop lopen kloten en uiteindelijk een backup van mijn regels teruggezet want het werd een puinhoop, en ik heb het nog steeds niet werkend gekregen.

Dit is nu mijn firewall.. ik gebruik gewoon de default settings + hairpin NAT rules.
192.168.88.1 = router
192.168.88.10 = PC
vlan-internet = mijn internet interface (T-Mobile SFP)

code:

/ip firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

add action=masquerade chain=srcnat out-interface=vlan-internet

add action=masquerade chain=srcnat dst-address=192.168.88.10 src-address=192.168.88.0/24

add action=masquerade chain=srcnat dst-address=!192.168.88.1 dst-address-type=local src-address=192.168.88.0/24

add action=dst-nat chain=dstnat dst-port=8384 in-interface=vlan-internet protocol=tcp to-addresses=192.168.88.10 to-ports=8384

add action=dst-nat chain=dstnat dst-port=9000 in-interface=all-ethernet protocol=tcp to-addresses=192.168.88.10 to-ports=9000

add action=dst-nat chain=dstnat dst-port=22000 in-interface=vlan-internet protocol=tcp to-addresses=192.168.88.10 to-ports=22000

Acties:

dinsdag 7 april 2020 11:11

Alle rules die ik nodig heb om portforward en hairpin mogelijk te maken van poort 80 en 443:

code:

/ip firewall filter
add action=accept chain=forward comment="NAT hairpin" in-interface=vlan77 out-interface=vlan77

/ip firewall nat
add action=dst-nat chain=dstnat comment=portforward dst-address=<wan-ip-nummer> dst-port=80 protocol=tcp to-addresses=192.168.77.5 to-ports=80
add action=dst-nat chain=dstnat comment=portforward dst-address=<wan-ip-nummer> dst-port=443 protocol=tcp to-addresses=192.168.77.5 to-ports=443
add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.77.5 dst-port=80,443 protocol=tcp src-address=192.168.77.0/24

Acties:

dinsdag 7 april 2020 11:17

Wifi

Jef61 schreef op maandag 6 april 2020 @ 22:59:
Alle rules die ik nodig heb om portforward en hairpin mogelijk te maken van poort 80 en 443:

code:

/ip firewall filter
add action=accept chain=forward comment="NAT hairpin" in-interface=vlan77 out-interface=vlan77

/ip firewall nat
add action=dst-nat chain=dstnat comment=portforward dst-address=<wan-ip-nummer> dst-port=80 protocol=tcp to-addresses=192.168.77.5 to-ports=80
add action=dst-nat chain=dstnat comment=portforward dst-address=<wan-ip-nummer> dst-port=443 protocol=tcp to-addresses=192.168.77.5 to-ports=443
add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.77.5 dst-port=80,443 protocol=tcp src-address=192.168.77.0/24

Ook als ik jouw regels toepas, is het resultaat hetzelfde. Ja ik heb portforwarding, maar nee, het werkt niet als je binnen je netwerk naar wanIP:port toe gaat. Dat werkt alleen buiten het netwerk

Acties:

dinsdag 7 april 2020 11:23

Jazco2nd schreef op dinsdag 7 april 2020 @ 11:11:
[...]

Ook als ik jouw regels toepas, is het resultaat hetzelfde. Ja ik heb portforwarding, maar nee, het werkt niet als je binnen je netwerk naar wanIP:port toe gaat. Dat werkt alleen buiten het netwerk

Staan de rules wel in de juiste volgorde, dus niet eerst een 'deny all' met daarna een 'allow rule' oid?
Heb je al in de log gekeken naar relevante meldingen?
Log meldingen hebben mij al vaak weer op het juiste spoor gezet.

Acties:

dinsdag 7 april 2020 11:26

Wifi

Jef61 schreef op dinsdag 7 april 2020 @ 11:17:
[...]

Staan de rules wel in de juiste volgorde, dus niet eerst een 'deny all' met daarna een 'allow rule' oid?
Heb je al in de log gekeken naar relevante meldingen?
Log meldingen hebben mij al vaak weer op het juiste spoor gezet.

Ja daar zeg je wat. Ik heb de regels niet zelf gemaakt, dit zijn gewoon de default settings na een update & reset. Heb alleen de hairpin regels toegevoegd. Maar ik zie wel degelijk een "Drop all not incoming from LAN" en daarna een aantal specifieke accepts:

Afbeeldingslocatie: https://i.ibb.co/tPRZnp9/Screenshot-2020-04-07-at-11-19-53.png

Afbeeldingslocatie: https://i.ibb.co/tPRZnp9/Screenshot-2020-04-07-at-11-19-53.png

Acties:

dinsdag 7 april 2020 11:33

Jazco2nd schreef op dinsdag 7 april 2020 @ 11:23:
[...]

Ja daar zeg je wat. Ik heb de regels niet zelf gemaakt, dit zijn gewoon de default settings na een update & reset. Heb alleen de hairpin regels toegevoegd. Maar ik zie wel degelijk een "Drop all not incoming from LAN" en daarna een aantal specifieke accepts:

[Afbeelding]

Ja, ik denk dat je de drop rules naar onderen moet verplaatsen, eventueel de log aanzetten op die drop ruels, dan moet er wel uit te komen zijn.

Edit: Die laatste accept op 11 doet bv niets.

[ Voor 3% gewijzigd door Jef61 op 07-04-2020 11:28 ]

Acties:

dinsdag 7 april 2020 11:40

Wifi

Jef61 schreef op dinsdag 7 april 2020 @ 11:26:
[...]

Ja, ik denk dat je de drop rules naar onderen moet verplaatsen, eventueel de log aanzetten op die drop ruels, dan moet er wel uit te komen zijn.

Edit: Die laatste accept op 11 doet bv niets.

ha dat is de eerste regel van jou die ik vanochtend probeerde!

code:

1 2	ip firewall filter add action=accept chain=forward comment="NAT hairpin" in-interface=vlan77 out-interface=vlan77

Ik ga met het log aan de slag.

[ Voor 14% gewijzigd door Jazco2nd op 07-04-2020 11:34 ]

Acties:

dinsdag 7 april 2020 11:56

Ik was nog even naar jou hairpin rules aan het kijken:
Ik kan daar het dst-address niet in vinden?

Acties:

dinsdag 7 april 2020 12:03

Wifi

Ik volgde gewoon: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Daar staat helemaal geen /ip firewall filter regel genoemd.
Op basis van voorbeelden hier heb ik toch 1 toegevoegd en dat is regel 11 in het screenshot. Dat is jouw regel.

In de /ip firewall nat regels die ik heb gequote gebruik ik ipv dst-address een interface (suggestie hier), omdat mijn wan IP kan veranderen.

Acties:

dinsdag 7 april 2020 13:37

Zo te zien is die regel 11 idd niet nodig omdat boven de drop's al een 'accept' all staat.

Wat betreft de hairpin rule:
Probeer het anders eens uit met WAN IP-nummer, zoals in het voorbeeld.
Verfraaien/verbeteren is gemakkelijker vanuit een werkende situatie.

Acties:

dinsdag 7 april 2020 14:38

Wifi

Ik had 1 fout gemaakt: de srcnat regel bevatte als out-interface mijn WAN interface (vlan-internet) terwijl daar je LAN interface hoort te staan volgens Hairpin.
Met het WAN IP expliciet ingevuld werkt het nu en kan een lokale client dus naar 85.441.261.21:22000.

code:

1
2
3

add chain=srcnat out-interface=WAN action=masquerade
add action=masquerade chain=srcnat dst-address=192.168.88.10 dst-port=22000 out-interface=bridge protocol=tcp src-address=192.168.88.0/24
add action=dst-nat chain=dstnat dst-address=85.441.261.21 dst-port=22000 protocol=tcp to-addresses=192.168.88.10

Dit zijn nu de enige NAT regels.

@Thralas jouw suggestie heeft niet gewerkt, als ik de laatste regel (dst-nat) vervangen door deze:

code:

1	add action=dst-nat chain=dstnat in-interface=vlan-internet dst-addr-type=local dst-port=22000 protocol=tcp to-addresses=192.168.88.10

Kan een locale client niet meer naar 85.441.261.21:22000.

De vraag is dus nog steeds hoe je dit voor elkaar krijgt wanneer je geen statisch IP adres hebt?
Nu wijzigt mijn ISP het niet vaak, maar na een stroomuitval bijvoorbeeld, al is het maar kort (stekker Mikrotik eruit) heb ik toch een ander IP.

[ Voor 22% gewijzigd door Jazco2nd op 07-04-2020 13:46 ]

Acties:

nescafe

Wifi

Een combinatie van dst-address-type=local en dst-address=!192.168.88.0/24 (indien je niet meerdere interne subnetten hebt) zou kunnen

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 7 april 2020 14:47

Acties:

woensdag 15 april 2020 12:48

Wifi

nescafe schreef op dinsdag 7 april 2020 @ 14:38:
Een combinatie van dst-address-type=local en dst-address=!192.168.88.0/24 (indien je niet meerdere interne subnetten hebt) zou kunnen

Dat werkt inderdaad! Thanks!!

Acties:

zaterdag 18 april 2020 23:06

aan gezien KPN nu de SIP vrijgegeven heeft, hebben we er een leuke uitdaging bij.
ik wil de 100% de KPN box niet meer zien, of aan gesloten hebben. als dat niet nodig is.
dus heb ik besloten een gigaset N510 IP PRO op de kop te tikken. deze aan te sluiten op de RB4011 (2,4/5ghz wifi versie)

en met behulp van de gegevens. en ook op het KPN form, instellingen gevonden voor een gigaset N300. welke eigelijk gelijk is. allen de pro heb ik voor een paar 10tjes via marktplaats scoren. zelfs goedkoper als de N300 nieuw. dus dat is nice.
eigelijk stelt het allemaal niet zo veel voor, wachtwoord er in (even via de KPN service tool een eigen WW verzinnen), Proxy server adres opgeven. STUN server gegevens er in kloppen.
en opslaan, en activeren.

aan gezien ik al DECT telefoon's heb, deze er op aan gekoppeld.
in eerste instantie leek dit allemaal wel goed te gaan.
bellen naar de telefoon's jha gaat over, bellen naar de GSM.. ja gaat ook over.
zal wel goed zijn.

alleen heb ik dus niet verder gekeken als dat mijn internet kabel lang is.
bij Gesprek ontvangen op de N510 gaat het goed. en heb ik aan 2 kanten geluid.

maar bij een Gesprek starten van af de N510..... blijft het still. aan 2 kanten van de lijn.
ik heb eert gedacht dat het aan mijn DECT set lag, evt toch niet geschikt voor de N510 ?.

om zekker te zijn, even de V10 aan gesloten op het KPN punt. en de N510 daar weer achter.
en geluid, bij in en uit gaande gesprekken, gelukkig de N510 en mijn Dect sets staan dus goed ingesteld om te bellen en gebeld te worden.

nu dus het probleem. ik ga niet over een nacht ijs. en probeer uitraard eerst veel zelf, maar tot nu toe. geen succes met betrekking tot het uitgaande bellen.

wat ik al geprobeert heb ik de SIP service port uit zetten. wat eigelijk meteen advies 1 is als je op internet even googled op SIP problemen met RouterOS / Mikrotik.

maar dat helpt niet.

dus nu de vraag. wie kan mij helpen om de N510 werkend te krijgen. ik zelf denk dat het een NAT Probleem is.
en dat de audio word tegen gehouden (niet tot stand kan komen) om dat er iets geblokkeerd word voor mijn gevoel.

uitraard mijn Config

code:

# apr/15/2020 12:41:10 by RouterOS 6.46.4
# software id = K595-2MJ4
#
# model = RB4011iGS+5HacQ2HnD

/interface bridge
add disabled=yes igmp-snooping=yes name="Pass trough-bridge"
add igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local
add name=bridge-tel
add name=gast
add name=smart-bridge
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="GLASS Connectie" \
    l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] comment="Slaapkamer Voor 1" l2mtu=1598
set [ find default-name=ether3 ] comment="Slaapkamer 1, achterkant"
set [ find default-name=ether4 ] comment="slaapkamer Voor 2. (voor zolder)"
set [ find default-name=ether5 ] comment="Slaapkamer 2 achter.  (logeer)"
set [ find default-name=ether6 ] comment="huis kamer"
set [ find default-name=ether7 ] comment="VOIP N510" disabled=yes
set [ find default-name=ether10 ] poe-out=off
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-Ce \
    country=no_country_set disabled=no frequency=5500 frequency-mode=\
    superchannel mac-address=B8:69:F4:D2:AA:9F mode=ap-bridge \
    multicast-helper=disabled name="wlan1 5G" radio-name=B869F4D2AA9F ssid=\
    "KPN 300N" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=5 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=netherlands disabled=no frequency=auto mode=ap-bridge \
    multicast-helper=disabled name="wlan2 2.4G" ssid="KPN 300N" \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set "wlan1 5G" enable-polling=no
set "wlan2 2.4G" enable-polling=no
/interface vlan
add disabled=yes interface=ether6 name="Lan from Expira 6.60" vlan-id=60
add disabled=yes interface=ether6 name="WAN to Experia 6.100" vlan-id=100
add interface=ether1 mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add interface=ether1 loop-protect=off mtu=1594 name=vlan1.7 vlan-id=7
add interface=ether2 name=vlan2.6 vlan-id=6
add interface=ether6 name=vlan6.6 vlan-id=6
add interface=ether6 name=vlan6.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe user=\
    <mac-adress-VD-V10>@internet
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
add exclude=all include=none name=gast2020
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys supplicant-identity=\
    MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name="gast wifi" \
    supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=smartwifi \
    supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=newkey \
    supplicant-identity=MikroTik
/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
    BA:69:F4:B3:9C:F2 master-interface="wlan2 2.4G" multicast-buffering=\
    disabled name=gasten-wifi security-profile="gast wifi" ssid=gasten-wifi \
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no hide-ssid=yes keepalive-frames=disabled mac-address=\
    BA:69:F4:B3:9C:F3 master-interface="wlan2 2.4G" multicast-buffering=\
    disabled name=smart-wifi security-profile=smartwifi ssid=smart-wifi \
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
add code=55 name=option55 value=0x01031c79
/ip hotspot profile
set [ find default=yes ] login-by=http-chap
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.10-192.168.10.99
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
add name=dhcp_gast ranges=192.168.77.2-192.168.77.20
add name=dhcp-smart ranges=10.10.10.2-10.10.10.20
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
add address-pool=dhcp_gast disabled=no interface=gast name=dhcp-gast
add address-pool=dhcp-smart disabled=no interface=smart-bridge name=smartDHCP
/ip hotspot user profile
set [ find default=yes ] address-pool=dhcp_gast
/ipv6 dhcp-server option
add code=23 name=mydns value=0x2a02a44841a2cd848df49bc77267
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add dhcpv6-pd-pool=::1 name=default-ipv6 only-one=yes use-compression=yes \
    use-upnp=no
/queue simple
add burst-limit=4M/6M burst-threshold=3M/5M burst-time=2m/2m dst=pppoe \
    max-limit=3M/5M name=gast packet-marks=no-mark target=gast
/queue type
add kind=pfifo name=queue1 pfifo-limit=10
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (smart-bridge) is not slave
add action=drop chain=forward in-interface=smart-bridge
# in/out-bridge-port matcher not possible when interface (smart-bridge) is not slave
add action=drop chain=forward out-interface=smart-bridge
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge="Pass trough-bridge" interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface="wlan1 5G"
add bridge=bridge-local interface="wlan2 2.4G"
add bridge=bridge-local hw=no interface=ether6
add bridge=bridge-local disabled=yes interface="Lan from Expira 6.60"
add bridge=bridge-local disabled=yes interface=vlan6.6
add bridge=bridge-local interface=ether10
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan6.7
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local interface=vlan6.6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge="Pass trough-bridge" disabled=yes interface=ether1
add bridge="Pass trough-bridge" interface="WAN to Experia 6.100"
add bridge=gast interface=gasten-wifi
add bridge=bridge-local interface=vlan2.6
add bridge=bridge-local interface=smart-wifi
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
add comment=iptv interface=vlan1.4 list=WAN
add interface=vlan1.6 list=WAN
add interface=vlan1.7 list=WAN
add interface=pppoe list=WAN
add interface=gast list=gast2020
add interface=gasten-wifi list=gast2020
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=192.168.77.1/24 interface=gasten-wifi network=192.168.77.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=1.88.192.0/24 dns-none=yes gateway=1.88.192.1
add address=10.10.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.250 netmask=\
    24
add address=192.168.10.0/24 dns-server=192.168.10.220,8.8.4.4 domain=\
    thuis.local gateway=192.168.10.250
add address=192.168.77.0/24 dns-server=192.168.77.1,8.8.8.8 domain=\
    gast.domein.nl gateway=192.168.77.1 netmask=24 ntp-server=\
    192.168.88.1,66.175.209.17
add address=192.168.100.0/24 gateway=192.168.100.150
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
add address=192.168.77.0/24 list="Gast DHCP"
add address=ims.imscore.net disabled=yes list=sip
/ip firewall filter
add chain=input in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=udp
add chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=accept chain=forward disabled=yes in-interface=!vlan1.6 protocol=\
    udp
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=\
    192.168.77.0/24 src-address=192.168.10.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=\
    192.168.10.0/24 src-address=192.168.77.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 dst-port=5060 new-connection-mark=sip-connection \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=sip-connection disabled=\
    yes new-packet-mark=SIP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 log-prefix=RTP-Conn new-connection-mark=RTP-Connnection \
    passthrough=yes port=16384-32767 protocol=udp
add action=mark-connection chain=forward connection-mark=RTP-Connnection \
    disabled=yes new-connection-mark=RTP passthrough=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.10.0/24
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
    <Wan-IP> dst-port=8080 protocol=tcp to-addresses=192.168.10.250
add action=dst-nat chain=dstnat comment=Torrent dst-address=<Wan-IP> \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.10 to-ports=3799
add action=dst-nat chain=dstnat comment=Sip dst-address=<Wan-IP> \
    dst-port=5060 protocol=udp to-addresses=192.168.10.251 to-ports=5060
add action=dst-nat chain=dstnat comment=sip dst-address=<Wan-IP> \
    dst-port=5060 protocol=tcp to-addresses=192.168.10.251 to-ports=5060
add action=dst-nat chain=dstnat comment=server dst-address=<Wan-IP> \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    217.166.0.0/16 out-interface=vlan1.4
add action=dst-nat chain=dstnat dst-address=<Wan-IP> to-addresses=\
    192.168.10.63
add action=src-nat chain=src-nat src-address=192.168.10.63 to-addresses=\
    <Wan-IP>
add action=masquerade chain=srcnat out-interface=bridge-local
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" \
    out-interface=pppoe src-address=192.168.77.0/24
/ip firewall service-port
set sip disabled=yes
/ip hotspot walled-garden
add comment="place hotspot rules here"
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set allow-disable-external-interface=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/ipv6 address
# address pool error: pool not found: 0 (4)
add address=::1 from-pool=0 interface=bridge-local
/ipv6 dhcp-client
add add-default-route=yes disabled=yes interface=pppoe pool-name=0 \
    pool-prefix-length=48 request=prefix use-peer-dns=no
/ipv6 dhcp-server
add dhcp-option=mydns disabled=yes interface=bridge-local name="my DNS"
/ipv6 firewall filter
add action=accept chain=input connection-state=established disabled=yes \
    in-interface=pppoe
add action=accept chain=input connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=input disabled=yes in-interface=pppoe protocol=icmpv6
add action=accept chain=forward disabled=yes in-interface=pppoe \
    out-interface=bridge-local protocol=icmpv6
add action=accept chain=forward disabled=yes in-interface=bridge-local \
    out-interface=pppoe protocol=icmpv6
add action=accept chain=input comment="DHCPv6 for public addresses" disabled=\
    yes dst-address=fe80::/64 dst-port=546 in-interface=pppoe log-prefix=\
    DHCPv6 protocol=udp src-port=547
add action=reject chain=input disabled=yes in-interface=pppoe reject-with=\
    icmp-port-unreachable
add action=accept chain=forward connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=forward connection-state=established disabled=yes \
    in-interface=pppoe
add action=reject chain=forward disabled=yes in-interface=pppoe reject-with=\
    icmp-no-route
/ipv6 nd
set [ find default=yes ] disabled=yes interface=bridge-local
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    disabled=yes interface=gasten-wifi
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface="wlan2 2.4G" leds="wlan2 2.4G_signal1-led,wlan2 2.4G_signal2-led\
    ,wlan2 2.4G_signal3-led,wlan2 2.4G_signal4-led,wlan2 2.4G_signal5-led" \
    type=wireless-signal-strength
add interface="wlan2 2.4G" leds="wlan2 2.4G_tx-led" type=interface-transmit
add interface="wlan2 2.4G" leds="wlan2 2.4G_rx-led" type=interface-receive
/system logging
add action=disk disabled=yes topics=upnp
/tool sniffer
set filter-interface=smart-wifi filter-ip-address=192.168.10.32/32 \
    filter-stream=yes streaming-enabled=yes streaming-server=192.168.10.10
/tool user-manager database
set db-path=user-manager

Acties:

maandag 20 april 2020 10:04

Wifi

Sorry kan niet helpen met SIP..

Ik zoek wat info over het gebruiken van een 2.5" HDD op de USB poort van een MikroTik. de HeX POE.
De enige ervaringen in dit topic dateren van 2015 en een oud model MikroTik.

Zijn hier mensen die de USB poort gebruiken en een schijf aansluiten als (tweede) backup van hun NAS? Ik ben van plan eerst de schijf te vullen door deze rechtstreeks op de nas aan te sluiten en daarna permanent op de MikroTik. Elke nacht incrementele wijzigingen (nieuwe foto's, documenten etc) backuppen via LAN naar de USB drive.

Of is de USB poort hier te traag/te onbetrouwbaar voor? Los van de vraag of die het wel trekt om elke nacht een 2.5" HDD up te spinnen (piek in vermogen).
Heb bij Raspberry Pi's (2 en 3b) meegemaakt dat een aangesloten HDD na 8-12 maanden gaat tikken en niet meer werkt. Door instabiele stroomtoevoer van de RPis. Al werkt het eerst prima met een goede adapter.

Acties:

maandag 20 april 2020 10:58

Jazco2nd schreef op zaterdag 18 april 2020 @ 23:06:
Sorry kan niet helpen met SIP..

Ik zoek wat info over het gebruiken van een 2.5" HDD op de USB poort van een MikroTik. de HeX POE.
De enige ervaringen in dit topic dateren van 2015 en een oud model MikroTik.

Zijn hier mensen die de USB poort gebruiken en een schijf aansluiten als (tweede) backup van hun NAS? Ik ben van plan eerst de schijf te vullen door deze rechtstreeks op de nas aan te sluiten en daarna permanent op de MikroTik. Elke nacht incrementele wijzigingen (nieuwe foto's, documenten etc) backuppen via LAN naar de USB drive.

Of is de USB poort hier te traag/te onbetrouwbaar voor? Los van de vraag of die het wel trekt om elke nacht een 2.5" HDD up te spinnen (piek in vermogen).
Heb bij Raspberry Pi's (2 en 3b) meegemaakt dat een aangesloten HDD na 8-12 maanden gaat tikken en niet meer werkt. Door instabiele stroomtoevoer van de RPis. Al werkt het eerst prima met een goede adapter.

Ik Kan jou wel helpen.
De Hex Poe router heeft een USB poort die max 1a geeft
Dat is dus 5watt.

Een 2,5 HDD gebruikt net geen 3watt.
Kan iets meer iets minder zijn.

Verder blijft de vraag. Kan de mikrotik als NAS dienst doen?
Ik weet niet of je daar wel of niet in heb verdiept
Maar hier zeggen ze dat het kan.
https://forum.mikrotik.com/viewtopic.php?t=81108

Maar ze klagen wel over een hooge CPU belasting bij bestanden wegschrijven.

Ik zelf raad aan toch bij je pi te blijven als NAS. En er bijvoorbeeld een USB HUB bij te zoeken die je kan aansluiten op een externe voeding.
Mocht dat al het probleem zijn dat je HDD ging tikken
Want ook voor een pi geld dat als je optimaal gebruik wil maken van dat ding een 5v 2a adapter moet gebruiken.
Ik kan me voorstellen dat als je een 5v 1a adapter gebruikt dat je power issues krijgt.

Succes met uitproberen. Hoor graag of het je gelukt is

Acties:

Raymond P

Wegschrijven naar een rb2011 (en crs125) is leuk voor een printerdriver of een config file.
Ik kan mij niet voorstellen dat een hex dat soepeler doet.
Rsync kan je sowieso al vergeten.

Als je nu een Pi gebruikt en dat te langzaam gaat en/of onbetrouwbaar is zou je kunnen kijken naar een odroid-hc2.

- knip -

dinsdag 28 april 2020 22:21

Acties:

dinsdag 28 april 2020 22:30

Wifi

Ik begin steeds comfortabeler te spelen met RouterOS

Heb nu een nieuw netwerk (VLAN, DHCP server, netwerk, pool) aangemaakt met als doel dit VLAN te gebruiken als guest wifi network. Mijn wifi apparatuur is echter van Unifi.
Middels deze 2 guides die vrijwel identiek zijn aan elkaar krijg ik het wel werkend. Echter zit ik nu met het volgende:

Ik wil graag dat een 5-tal IP adressen binnen mijn normale netwerk (192.168.88.0/24) bereikbaar zijn via dit VLAN (10.0.0.0/24). Voor de rest mogen gasten niet op 192.168.88.0/24 komen. Ik wil dus 5 uitzonderingen op deze firewall regel (de onderste, de eerste moet router access voor guests blokkeren):

Kan ik simpelweg 5 firewall [accept] regels toevoegen boven deze onderste regel? Zodat eerst die 5 accepts worden toegelaten en daarna de drop voor het hele bereik?

1 van de 5 is mijn PiHole, die is essentieel voor gasten om bereikbaar te zijn voor DNS.. verder wat wifi speakers en een Chromecast.

[ Voor 9% gewijzigd door Jazco2nd op 28-04-2020 22:23 ]

Acties:

jvanhambelgium

Jazco2nd schreef op dinsdag 28 april 2020 @ 22:21:
Ik wil graag dat een 5-tal IP adressen binnen mijn normale netwerk (192.168.88.0/24) bereikbaar zijn via dit VLAN (10.0.0.0/24). Voor de rest mogen gasten niet op 192.168.88.0/24 komen. Ik wil dus 5 uitzonderingen op deze firewall regel (de onderste, de eerste moet router access voor guests blokkeren):

[Afbeelding]

Kan ik simpelweg 5 firewall [accept] regels toevoegen boven deze onderste regel? Zodat eerst die 5 accepts worden toegelaten en daarna de drop voor het hele bereik?

1 van de 5 is mijn PiHole, die is essentieel voor gasten om bereikbaar te zijn voor DNS.. verder wat wifi speakers en een Chromecast.

Je kan dit reeds op de Unify AP's doen. Daar heb je ook al "pre" en "post" IP ACL's zodat je dit verkeer al stopt bij de AP. (Settings -> Guest Control -> Access Control)
Maar idd je kan dit ook op de Mikrotik doen, dan gewoon enkele rules inserten die je allowed en daarna een drop van die range.

dinsdag 28 april 2020 22:33

Acties:

woensdag 29 april 2020 06:47

Ja dat is precies zoals de firewall werkt inderdaad. Nog wel een handige optie is om een address list aan te maken met daarin de 5 IP adressen, dan heb je geen 5 losse firewall regels nodig en blijft het wat overzichtelijker.

Let wel even op dat een Chromecast niet zomaar werkt tussen VLAN's. Dan moet je ook iets met mDNS / Avahi gaan doen om het multicast verkeer te routeren. Voor zover ik weet is daar nog geen goede mogelijkheid voor in RouterOS.

Acties:

jvanhambelgium

Jazco2nd schreef op dinsdag 28 april 2020 @ 22:38:
[...]

Oei dat is irritant.. ik zal eens op het Mikrotik forum neuzen of dat eraan zit te komen.

Nope, moet je niet/nooit op hopen.

woensdag 29 april 2020 12:02

Acties:

@starpc:

Ik gebruik een RB750Gr3 (Hex) router waar oa een Asterisk centrale achter hangt. Deze centrale en alle toestellen hangen in hun eigen vlan (192.168.60.0/24). Ik heb een VDSL aansluiting van Budget Alles in 1 (Telfort).

MIjn firewall (forward chain) ziet er zo uit:

code:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward connection-state=new src-address=192.168.10.0/24 in-interface=vlan10
add action=accept chain=forward connection-state=new src-address=192.168.60.0/24 in-interface=vlan-voip out-interface=vdsl-inet
add chain=forward action=drop

/ip firewall nat
add action=masquerade chain=srcnat out-in-interface=vdsl-inet

Ik eindig de forward chain altijd met een drop all. Wat ik niet expliciet toelaat wordt zo altijd geblokkeerd. Voor de NAT rule hoef je zo ook geen moeilijke config te bouwen, de 'drop all' filter regel voorkomt zowiezo dat de NAT rule wordt aangesproken voor verkeer dat geblokkeerd wordt.

Vanaf mijn lokale LAN (192.168.10.0/24) wil ik overal bij kunnen. Voip verkeer ((192.168.60.0/24) mag alleen naar internet.

Op de INPUT chain drop ik alles, behalve ICMP, IGMP (iptv) en vanaf vlan 10 SSH/Winbox access.

Forward rules zet je bij voorkeur bovenaan (Meeste verkeer gaat door de router heen en termineert niet op de router zelf). Aangezien de router firewall rules sequentieel afhandelt, komt wat bovenaan staat als 1e aan de beurt. Kijk in Winbox en sleep de rules die het meeste aantal hits krijgen naar boven.

Wat je nog zou kunnen doen is met de sniffer (/tool sniffer) kijken wat er gebeurt als je zelf een verbinding opzet. Geen audio is inderdaad meestal een NAT issue.

starpc schreef op woensdag 15 april 2020 @ 12:48:
... bij Gesprek ontvangen op de N510 gaat het goed. en heb ik aan 2 kanten geluid.

maar bij een Gesprek starten van af de N510..... blijft het still. aan 2 kanten van de lijn.
...

vrijdag 1 mei 2020 11:21

Acties:

Zerobase schreef op woensdag 29 april 2020 @ 12:02:
@starpc:

Ik gebruik een RB750Gr3 (Hex) router waar oa een Asterisk centrale achter hangt. Deze centrale en alle toestellen hangen in hun eigen vlan (192.168.60.0/24). Ik heb een VDSL aansluiting van Budget Alles in 1 (Telfort).

MIjn firewall (forward chain) ziet er zo uit:
code:
1
2
3
4
5
6
7
8
9
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward connection-state=new src-address=192.168.10.0/24 in-interface=vlan10
add action=accept chain=forward connection-state=new src-address=192.168.60.0/24 in-interface=vlan-voip out-interface=vdsl-inet
add chain=forward action=drop

/ip firewall nat
add action=masquerade chain=srcnat out-in-interface=vdsl-inet
Ik eindig de forward chain altijd met een drop all. Wat ik niet expliciet toelaat wordt zo altijd geblokkeerd. Voor de NAT rule hoef je zo ook geen moeilijke config te bouwen, de 'drop all' filter regel voorkomt zowiezo dat de NAT rule wordt aangesproken voor verkeer dat geblokkeerd wordt.

Vanaf mijn lokale LAN (192.168.10.0/24) wil ik overal bij kunnen. Voip verkeer ((192.168.60.0/24) mag alleen naar internet.

Op de INPUT chain drop ik alles, behalve ICMP, IGMP (iptv) en vanaf vlan 10 SSH/Winbox access.

Forward rules zet je bij voorkeur bovenaan (Meeste verkeer gaat door de router heen en termineert niet op de router zelf). Aangezien de router firewall rules sequentieel afhandelt, komt wat bovenaan staat als 1e aan de beurt. Kijk in Winbox en sleep de rules die het meeste aantal hits krijgen naar boven.

Wat je nog zou kunnen doen is met de sniffer (/tool sniffer) kijken wat er gebeurt als je zelf een verbinding opzet. Geen audio is inderdaad meestal een NAT issue.

[...]

supper voor het mee denken. ik zelf zit ook heel erg te denken over wat het kan zijn.
ik zat er zelf gewoon aan te denken, maar heb geen idee hoe dit te doen. de N510 gewoon direct aan internet te hangen zonder firewall. maar goed dan ben ik ook gewoon gevaarlijk bezig. en schiet ook niet ect op.

u VLAN optie zou kunnen. maar geen idee hoe ik dat precies moet bewerk stellen.
mijn n510 zit nu op static adress 192.168.10.78 op de normale bridge.

ik heb in middels wel al een kleine verbetering. ik zit op 50% van de oplossing.

het probleem zit m in de uitgaande gesprekken met het geluid.
als ik nu met de N510 bel naar mijn GSM dan hoor ik nu wel geluid van mijn GSM op de vaste lijn, maar het geluid van de N510 naar de GSM hoor ik nogsteeds niet.

eerst had ik van af de N510 helemaal geen geluid.
dit heb ik voor elkaar gekregen met een beetje hulp.
ik heb nu deze NAT regels

code:

/ip firewall nat
add action=dst-nat chain=dstnat comment="SIP Poorten" dst-port=5060-5061 \
 protocol=udp to-addresses=192.168.10.78 to-ports=5060-5061
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32767 \
 protocol=udp to-addresses=192.168.10.78 to-ports=16384-32767

met wat ik zeg ik heb de helf van de audio werkend. enige probleem wat ik nu nog heb ik dat de verbinding maar voor de helft werkt.
mijn idee zegt dat ik anders om ook nog wat moet doen. dus richting de SIP server.
dus de RTP en SIP porten forwarden richting WAN of zo iets.

de fire wall ziet er bij mij in ze geheel zo uit

code:

/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
add address=192.168.77.0/24 list="Gast DHCP"
add address=ims.imscore.net disabled=yes list=sip
/ip firewall filter
add action=accept chain=input comment=\
 "defconf: accept established,related,untracked" connection-state=\
 established,related,untracked disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
 protocol=icmp
add action=accept chain=input comment=\
 "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
 dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
 disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
 disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
 connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
 "defconf: accept established,related, untracked" connection-state=\
 established,related,untracked disabled=yes
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add chain=input in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=udp
add chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=forward disabled=yes in-interface=!vlan1.6 protocol=\
 udp
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
 icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
 icmp-port-unreachable
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=\
 192.168.77.0/24 src-address=192.168.10.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=\
 192.168.10.0/24 src-address=192.168.77.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
 invalid disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
 connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
 "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
 connection-state=new disabled=yes in-interface-list=WAN
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
 disabled=yes in-interface-list=LAN
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
 "place hotspot rules here" disabled=yes
add action=dst-nat chain=dstnat comment="SIP Poorten" dst-port=5000-5080 \
 protocol=udp to-addresses=192.168.10.78 to-ports=5000-5080
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32767 \
 protocol=udp to-addresses=192.168.10.78 to-ports=16384-32767
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
 192.168.10.0/24
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" \
 out-interface=pppoe src-address=192.168.77.0/24
add action=masquerade chain=srcnat comment="NAT voor smartWifi" \
 out-interface=pppoe src-address=10.1.1.0/24
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\
 WAN IP dst-port=8080 protocol=tcp to-addresses=192.168.10.250
add action=dst-nat chain=dstnat comment=Torrent dst-address=WAN IP \
 dst-port=3799 protocol=tcp to-addresses=192.168.10.10 to-ports=3799
add action=dst-nat chain=dstnat comment=server dst-address=WAN IP \
 dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
 213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
 217.166.0.0/16 out-interface=vlan1.4
add action=dst-nat chain=dstnat dst-address=WAN IP to-addresses=\
 192.168.10.63
add action=src-nat chain=src-nat src-address=192.168.10.63 to-addresses=\
 WAN IP
add action=masquerade chain=srcnat out-interface=bridge-local
add action=masquerade chain=srcnat comment="defconf: masquerade" \
 ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes

vrijdag 1 mei 2020 14:30

Acties:

@starpc:

Een apart subnet voor de VoIP toestellen is niet nodig. Ik houd alleen graag het verkeer gescheiden.

Vwb je config, die kan een stuk eenvoudiger:

code:

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
add chain=forward action=accept connection-state=new in-interface=bridge-local src-address=192.168.10.0/24 comment="LAN verkeer mag overal naartoe"
add chain=forward action=accept connection-state=new in-interface=gasten src-address=192.168.77.0/24 out-interface=pppoe comment="Gasten alleen internet"
add chain=forward action=accept connection-state=new protocol=tcp out-interface=bridge-local dst-address=192.168.10.250 protocol=tcp dst-port=8080
add chain=forward action=accept connection-state=new protocol=tcp out-interface=bridge-local dst-address=192.168.10.10 protocol=tcp dst-port=3799
add chain=forward action=drop
add chain=input action=accept connection-state=established,related
add chain=input action=accept connection-state=new in-interface=bridge-local src-address=192.168.10.0/24 comment="LAN mag verbinden met de router"
add chain=input action=accept connection-state=new protocol=igmp in-interface=vlan1.4 dst-address=224.0.0.0/4 comment="IGMP tbv IPTV"
add chain=input action=accept connection-state=new protocol=udp in-interface=vlan1.4 dst-address=224.0.0.0/4 comment="UDP tbv IPTV" disabled=yes
add chain=input action=drop

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe comment="INTERNET"
add action=masquerade chain=srcnat out-interface=vlan1.4 comment="ROUTED IPTV"
add action=dst-nat chain=dstnat comment="nas interface" out-interface=bridge-local dst-address=WAN IP dst-port=8080 protocol=tcp to-addresses=192.168.10.250
add action=dst-nat chain=dstnat comment="Torrent" dst-address=WAN IP out-interface=bridge-local dst-port=3799 protocol=tcp to-addresses=192.168.10.10 to-ports=3799

De DSTNAT rules voor SIP traffic zijn niet nodig.

Als je met bovenstaande config gaat testen, pas dan nog even de naam van de interface van je gasten netwerk aan. Ik weet niet of IPTV werkt (heb ik zelf niet, kan zijn dat er nog een extra rule nodig is om UDP verkeer toe te laten op de input chain voor interface vlan1.4. Ik heb deze rule even op disabled gezet)

En: Maak eerst een backup van je huidige config! Via Winbox --> Files. En download deze file naar een lokale PC. Ik spreek uit ervaring als ik zeg dat je die backup ooit nodig gaat hebben ...

[ Voor 2% gewijzigd door Zerobase op 01-05-2020 20:24 . Reden: Tiepvauten ]

vrijdag 1 mei 2020 16:32

Acties:

@Zerobase
$_/-\o_$ ik kan niet zeggen hoe blij ik ben dat jij mijn firewall regels heb na gekeken. $_/-\o_$
en daar de tijd voor genomen heb en dat er dus veel weg kan.
wil bijna vragen. zou u de hele config willen checken, heb ook wel is gehoord iets over proxy arp dat dat uit zou kunnen. maar ik durf niet zo veel te doen. $_/-\o_$ zou echt aardig zijn als iemand daar is naar zou willen kijken.
ik heb de hele config even zo gedaan.
https://drive.google.com/...91HSK4URD5H_xEbY_tl5MMt3l

ik ben nog steeds aan leren over NAT en zo. ik heb uitraard gewoon een config die werkt, maar ik denk wel is dat er dingen niet kloppen.zo werkt SIP dus niet om dat porten 5060 en 5061 en zo niet goed worden aan gesproken. en wat ook niet goed werkt is de UPnp

ik zal echt heel dankbaar zijn als je er evt naar zou willen kijken. ik heb voor het gemak de firewall regels al even toegevoegd aan dat document. en heb via export een file uit gedraait die uitraard de dingen heb verstopt mer hidden sensitieve

ik ga het van de week is even testen. ik kan nu niet veel iets met thuis werken. maar ik laar zeker weten wat en hoe $_/-\o_$

vrijdag 1 mei 2020 20:20

Acties:

@starpc: Ter info: Heb in mijn vorige bericht een paar typefouten hersteld.

Jouw config nakijken doe ik misschien na het weekeinde als ik weer achter de PC zit.

Ik val in herhaling misschien, maar maak een backup van je huidige config vóór je dingen gaat aanpassen. In Winbox een backup maken en dan sleep je de backupfile zo naar een lokale map op je Pc.

En heb je iets aangepast dat lijkt te werken, maak een nieuwe backup.

vrijdag 1 mei 2020 21:33

Acties:

Zerobase schreef op vrijdag 1 mei 2020 @ 20:20:
@starpc: Ter info: Heb in mijn vorige bericht een paar typefouten hersteld.

Jouw config nakijken doe ik misschien na het weekeinde als ik weer achter de PC zit.

Ik val in herhaling misschien, maar maak een backup van je huidige config vóór je dingen gaat aanpassen. In Winbox een backup maken en dan sleep je de backupfile zo naar een lokale map op je Pc.

En heb je iets aangepast dat lijkt te werken, maak een nieuwe backup.

Export file=mybackup
en kan ook een backup maken in de files ding.
uitraard gebruik ook ook heel graag de "safe mode"
ook die heeft mij vaker uit de brand geholpen en op de harde manier geleerd. al een paar keer een verkeerde config gemaakt.

ik zou het heel erg warderen als je naar mijn config zou kunnen kijken. als je daar tijd voor heb $_/-\o_$

nogmaals dank. ik ga morgen sws even de firewall regels proberen

maandag 4 mei 2020 22:20

Acties:

met de nieuwe firewall regels werkt de N510
ik moest alleen 1 extra regel op de Vlan1.4 hebben in het firewall filter (1 van de oude firwall regels aan gezet)
en de RTP port range openzetten in de NAT. en blij. alles werkt zo als dat het zou moetten. ook de TV

dinsdag 5 mei 2020 15:57

Acties:

ricardogn

Ik ben nieuw met MikroTik en ben enorm zoekende naar hoe alles werkt.

Het is voor mij helemaal nieuw om het zelf op te bouwen enz. Ben wel bekend met heel veel dingen(oa home automation, dockers, API's en SIP), maar een router is echt nieuw. Ik wil het ook graag leren zodat het zelf kan beheren enz.

Op dit moment heb ik Telfort Glasvezel thuis en wil deze vanaf de hAP AC2 gaan installeren. Nu kom ik verschillende config's tegen op tweakers hiervoor, maar die zijn gericht op RB2001 router.

Netwerkje.com is een goede basis, maar ja, daar heb ik niet zoveel aan omdat ik op Telfort zit ipv KPN. Nu ben ik eigenlijk op zoek naar enkele tips de juiste richting in zodat ik verder kan testen. Mijn doel is om Internet en IPTV gewoon te laten werken.

dinsdag 5 mei 2020 16:00

Acties:

woensdag 6 mei 2020 19:32

MikroTik nerd

MikroTik
Wifi
Accesspoints

Het mooie van MikroTik (en Routerboad) is dat configureren altijd hetzelfde gaat. Het maakt dus, afgezien van de poorten, niet zo veel voor welk model de tutorial/config is. Wat lukt je precies niet, @ricardogn? En hoe moet je configuratie er (functioneel) uit zien?

Eerst het probleem, dan de oplossing

dinsdag 5 mei 2020 16:06

Acties:

ricardogn

Waar ik tegen aan loop is dat ik meerdere config's heb geprobeerd, daarna weer gereset want het werkte niet. Heb nog gewoon een Experiabox draaien dus kan zo weer om pluggen.

Het probleem is dat ik door de bomen het bos niet meer zie. Heb zowel deze gevolgd als wat tweaks daarop. Maar ik kreeg totaal geen internet of wat dan ook. Ook netwerkje.com en dat wat aanpassen qua vlan 34 enz werkte voor mij niet.

Daarnaast zie ik in hetzelfde topic dat andere het ook niet lukt met IPTV. Wat ik dus nog niet heb gedaan, en wat ik nog aan ga werken is om eerst internet draaiende te krijgen en dan uit te breiden met IPTV. Zodra dat staat is de basis goed. Meer wensen heb ik momenteel niet. Want een werkende setup kan ik daarna uitbreiden en leren en stukmaken en resetten.

Acties:

Thasaidon

If nothing goes right, go left

ricardogn schreef op dinsdag 5 mei 2020 @ 16:06:
Waar ik tegen aan loop is dat ik meerdere config's heb geprobeerd, daarna weer gereset want het werkte niet.
...

Ik denk dat het probleem in de Vlans zit.
Telfort gebruikt volgens mij andere Vlans dan KPN.
Zelf zit ik bij Solcon en is het wéér anders.

Ik heb een Genexis FTU met 1 eth poort.
Die zet het internet untaged door naar de standaard geleverde Fritzbox.
IPTV word echter tagged in Vlan4 doorgezet.
Echter, alle LAN poorten op de Fritzbox doen verder niets met Vlans.
Een STB (Amino) krijgt een lokaal (LAN) IP uit dezelfde range als bv een PC of ander device op zowel het vast netwerk als de wifi.

Ja, ook ik ben nog aan het stoeien om de Fritzbox te vervangen door mijn RB4011

Internet had ik al snel werkend, maar ook bij mij wil IPTV idd nog niet.
Ik ben er namelijk nog steeds niet achter hoe de Fritzbox het onderscheid maakt tussen Internet verkeer en IPTV, omdat dus op het LAN geen Vlans gebruikt worden.

[ Voor 8% gewijzigd door Thasaidon op 06-05-2020 19:34 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 6 mei 2020 20:09

Acties:

donderdag 7 mei 2020 10:02

De Fritzbox maakt geen onderscheid aan de LAN kant, daar is alles gewoon een netwerk / hetzelfde VLAN. Tenminste bij KPN / XS4ALL / Telfort is dat het geval.

De Fritzbox heeft dan enkel 2 VLAN interfaces aan de WAN kant, VLAN4 (IPTV) en VLAN6 (internet) bij KPN / XS4ALL, bij Telfort is het VLAN34 (internet) en VLAN4 (IPTV).

Op beide interfaces krijgt de Fritzbox een IP en voor het interne netwerk routeert de Fritzbox dan simpelweg het unicast verkeer en is hij een proxy voor.multicast / IGMP. De settopboxen hangen dus in de LAN in deze oplossing.

Sommige andere providers hebben de settopbox wel in een apart VLAN hangen. In dat geval bridged de router meestal een bepaalde LAN poort naar het IPTV VLAN. Dan moeten al je settopboxen dus ook aan een specieke poort hangen (middels een switch).

Acties:

DeadLock

Vastlopen is relatief....

Onlangs verhuisd en dat was het ideale moment voor nieuwe netwerkapparatuur.

Als tweaker kwam ik relatief snel uit bij MikroTik voor betaalbare routers met veel opties. Ik heb nu een rb4011, hex poe en 2x cap ac. Als Belg kan je de Telenet modem/router tegenwoordig eenvoudig in bridge zetten, mijn eigen router krijgt dus mooi een publiek adres.

Voorlopig even eenvoudigweg de hex met quasi default config, om toch alvast internet te hebben. Spoedig eens kijken om de rb4011 te configureren en de wireless access points via capsman.

Ik weet dat ze geen fancy feautures ondersteunen zoals k/v roaming, maar wat is de beste manier om toch ietwat roaming te hebben tussen de twee waps? En met 2.4 en 5ghz? Wat al een verademing is tov vorige Telenet all-in-one is dat ik kan instellen bij welke sterkte het access point de telefoon van het netwerk gooit (zodat die niet eeuwig blijft hangen op een wifi verbinding die te slecht is om te functioneren).

Strava

donderdag 7 mei 2020 10:16

Acties:

MikroTik nerd

MikroTik
Wifi
Accesspoints

Zendvermogen, @DeadLock. Zorg dat de 2,4GHz radio 6 dB lager uitzendt dan de 5GHz radio. Daarnaast, veel devices gaan al op zoek naar andere radio's zodra de signaalsterkte onder de 75/80 dB komt, dat wordt ook vaak als thresshold ingesteld bij de Access List.

Eerst het probleem, dan de oplossing

vrijdag 8 mei 2020 20:11

Acties:

Thasaidon

If nothing goes right, go left

ik222 schreef op woensdag 6 mei 2020 @ 20:09:
De Fritzbox maakt geen onderscheid aan de LAN kant, daar is alles gewoon een netwerk / hetzelfde VLAN. Tenminste bij KPN / XS4ALL / Telfort is dat het geval.

Bij Solcon dus ook.

De Fritzbox heeft dan enkel 2 VLAN interfaces aan de WAN kant, VLAN4 (IPTV) en VLAN6 (internet) bij KPN / XS4ALL, bij Telfort is het VLAN34 (internet) en VLAN4 (IPTV).

Dat zou volgens Solcon bij hun alleen VLAN4 zijn voor IPTV. Internet zou untagged binnen komen.

Op beide interfaces krijgt de Fritzbox een IP en voor het interne netwerk routeert de Fritzbox dan simpelweg het unicast verkeer en is hij een proxy voor.multicast / IGMP. De settopboxen hangen dus in de LAN in deze oplossing.

Mmm... ik kan op de Fritzbox niets vinden over een vlan interface en welk IP deze dan zou krijgen.
Ook niets over routeringen van single- en multicast.

Is dit op een Mikrotik makkelijk te configureren?

Sommige andere providers hebben de settopbox wel in een apart VLAN hangen. In dat geval bridged de router meestal een bepaalde LAN poort naar het IPTV VLAN. Dan moeten al je settopboxen dus ook aan een specieke poort hangen (middels een switch).

Dat is de manier waarop Solcon dit voorheen deed. Alleen werd er dan niet op een router specifieke poorten toegewezen aan Internet en IPTV maar werd dat gedaan op de (4poorts) Genexis.

Helaas worden nieuwe verbindingen niet meer op die manier geleverd.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 8 mei 2020 20:28

Acties:

zaterdag 9 mei 2020 10:33

Bij de Fritzbox kun je die tweede VLAN interface op de WAN poort en ook IGMPProxy inderdaad niet in de webinterface configureren. Dat kan alleen met de vooringestelde ISP profielen of je moet de configfile downloaden en dan handmatig bewerken, vervolgens de nieuwe hash berekenen en hem restoren.

En ja op de Mikrotik zou het ook voor Solcon vrij makkelijk werkend te maken moeten zijn zou ik zeggen. Je kunt als basis een Mikrotik config voor KPN opzoeken en die wat aanpassen.

Feitelijk pas je dan twee dingen aan:
- Internet zit niet op VLAN6 maar untagged op de WAN poort.
- Internet gebruikt DHCP (neem ik aan) ipv PPPoE.

Verder zorgen dat het IGMPProxy alt-subnet op 0.0.0.0/0 staat en je in de maquerade rules geen specifieke source / destination hebt staan. Veel KPN voorbeelden hebben dat namelijk wel ook al is dat ook daar helemaal niet handig.

In de basis zou dat het moeten zijn al ken ik Solcon verder niet. Dus het kan zijn dat je nog een MAC moet klonen om een IP te krijgen of dat soort dingen. Maar daar moet met wat troubleshooten wel uit te komen zijn zou ik zeggen.

Acties:

DeadLock

Vastlopen is relatief....

Mijn mikrotik rb4011 doet het prima als router achter een bridged Telenet All-in-one (DOCSIS 3.1 E-ROUTER (DOCSIS)) voor ipv4. Met DHCP krijgt de router zijn publiek adres en dan gebruik ik NAT.

Tegenwoordig krijg je als je een modem-only vraagt geen modem meer, maar deze all-in-one en kan je een mac adres toevoegen om te bridgen.

Echter krijg ik het niet werkende voor ipv6. Een kennis, met ubiquiti router en nog een echte modem only, krijgt via DHCP6 gewoon een adres/prefix. Als ik hetzelfde probeer in mijn miktrotik, dan blijft hij onsuccesvol zoeken naar een ip adres.

Toevallig iemand hier die dit werkende heeft? Op dit moment weet ik niet of ik ergens iets verkeerd doe, of een bug in de telenet bridge modus voor ipv6. Echter krijg je bij Telenet voor bridge geen/weinig support, dus ik moet wel erg zeker zijn voor ik dit ga aankaarten dat het probleem zich niet aan mijn kant bevindt

.

Strava

maandag 11 mei 2020 18:46

Acties:

woensdag 13 mei 2020 21:47

@starpc: Goed te horen dat eea werkt. Een RTP range openzetten zou niet nodig moeten zijn. Ik heb dat hier met een Asterisk centrale (Draait in een docker container) ook niet hoeven doen. Maar, het kan voor een los toestel best anders werken.

Acties:

donderdag 14 mei 2020 13:03

Zerobase schreef op maandag 11 mei 2020 @ 18:46:
@starpc: Goed te horen dat eea werkt. Een RTP range openzetten zou niet nodig moeten zijn. Ik heb dat hier met een Asterisk centrale (Draait in een docker container) ook niet hoeven doen. Maar, het kan voor een los toestel best anders werken.

nog een keer, echt heel erg bedankt voor het helpen. zonder de extra regels heb ik geen audio.
maar goed prettig dat het nu werkt bij mij.

ik heb nu wel 1 ding. ik krijg geen poort meer open
de port 3799 die ik voor torrent gebruik. geeft in mijn torrent client dat de poort gesloten is.
het ziet er nu zo uit

code:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\established,related
add action=accept chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="IGMP tbv IPTV" connection-state=new \ dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="UDP tbv IPTV" connection-state=new \dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=udp
add action=accept chain=forward comment="LAN verkeer mag overal naartoe" \connection-state=new in-interface=bridge-local src-address=\ 192.168.10.0/24
add action=accept chain=forward comment="Gasten alleen internet" \ connection-state=new in-interface=gast out-interface=pppoe src-address=\192.168.77.0/24
add action=drop chain=forward
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment="LAN mag verbinden met de router" \connection-state=new in-interface=bridge-local src-address=\ 192.168.10.0/24
add action=accept chain=forward dst-address=192.168.10.250 dst-port=8080 \ out-interface=bridge-local protocol=tcp
add action=accept chain=forward dst-address=192.168.10.18 dst-port=3799 \ out-interface=bridge-local protocol=tcp
add action=drop chain=input

/ip firewall nat
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32768 \ protocol=udp to-addresses=192.168.10.251 to-ports=16384-32767
add action=dst-nat chain=dstnat comment=torrent dst-port=3799 protocol=udp \ to-addresses=192.168.10.18 to-ports=3799
add action=masquerade chain=srcnat comment=INTERNET out-interface=pppoe
add action=masquerade chain=srcnat comment="ROUTED IPTV" out-interface=\ vlan1.4
add action=dst-nat chain=dstnat comment="nas interface" dst-address=\ <wanadress> dst-port=8080 protocol=tcp to-addresses=192.168.10.250
add action=masquerade chain=srcnat out-interface=pppoe src-address=\ 192.168.10.0/24

Acties:

donderdag 14 mei 2020 13:13

De tweede regel in je firewall zou ik meteen weghalen. Hiermee zet je vanaf internet je router wagenwijd open voor UDP verkeer naar alle achterliggende devices:

code:

1	add action=accept chain=forward in-interface=vlan1.4 protocol=udp

De laatste regel van je forward chain kun je evt wijzigen. Ipv 'action=drop chain=forward' maak je er van 'action=drop chain=forward connection-type=!dstnat'. Dan wordt automatisch alle dst-nat verkeer doorgelaten als de voorgaande rules geen match hebben opgeleverd.

Ik geef er de voorkeur aan om alles dat niet expliciet is toegestaan gewoon te droppen, vandaar de 'drop all' regel aan het einde van iedere chain (Je kunt de rules in Winbox eenvoudig verslepen, maar ook vanaf de commandline met 'move').

Zet al je forward regels bovenaan. Die zullen het vaakst gehit worden en hoewel de impact op de throughput minimaal is, alle beetjes helpen.

Als ik kijk welke NAT rules je hebt zou je firewall er zo uit kunnen zien:

code:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="LAN verkeer mag overal naartoe" connection-state=new in-interface=bridge-local src-address=192.168.10.0/24 
add action=accept chain=forward comment="Gasten alleen internet" connection-state=new 
in-interface=gast out-interface=pppoe src-address=192.168.77.0/24
add action=accept chain=forward comment="Traffic to torrent client" connection-state=new in-interface=vlan1.4 out-interface=bridge-local dst-address=192.168.10.18/32 protocol=udp dst-port=3799
add action=accept chain=forward comment="Traffic to NAS" connection-state=new dst-address=192.168.10.250 dst-port=8080 out-interface=bridge-local in-interface=vlan1.4 protocol=tcp
add action=accept chain=forward comment="RTP Poorten" connection-state=new in-interface=vlan1.4 out-interface=bridge-local dst-address=192.168.10.251/32 dst-port=16384-32768 protocol=udp
add action=drop chain=forward

Overigens is het niet nodig om 16384 RTP poorten open te zetten. Ik eens beginnen met 10 stuks (16384-16394). Kijk tijdens een gesprek eens op de router hoeveel RTP poorten er in gebruik zijn en je kunt wellicht nog wel verder terug.

Acties:

pyrofielo

DeadLock schreef op zaterdag 9 mei 2020 @ 10:33:
Mijn mikrotik rb4011 doet het prima als router achter een bridged Telenet All-in-one (DOCSIS 3.1 E-ROUTER (DOCSIS)) voor ipv4. Met DHCP krijgt de router zijn publiek adres en dan gebruik ik NAT.

Tegenwoordig krijg je als je een modem-only vraagt geen modem meer, maar deze all-in-one en kan je een mac adres toevoegen om te bridgen.

Echter krijg ik het niet werkende voor ipv6. Een kennis, met ubiquiti router en nog een echte modem only, krijgt via DHCP6 gewoon een adres/prefix. Als ik hetzelfde probeer in mijn miktrotik, dan blijft hij onsuccesvol zoeken naar een ip adres.

Toevallig iemand hier die dit werkende heeft? Op dit moment weet ik niet of ik ergens iets verkeerd doe, of een bug in de telenet bridge modus voor ipv6. Echter krijg je bij Telenet voor bridge geen/weinig support, dus ik moet wel erg zeker zijn voor ik dit ga aankaarten dat het probleem zich niet aan mijn kant bevindt .

icm met XS4all heb ik ipv6 wel werkend op mijn HEX. inderdaad een prefix opvragen en advertisement aanzetten op interface.

Echter heb ik allerhande gezeik nu met netflix en dergelijke...

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

donderdag 14 mei 2020 13:21

Acties:

Raymond P

Het zou geen kwaad kunnen om Telenet even te vragen of je uberhaubt ipv6 krijgt op zo'n all-in-one in bridge modus.
Ik krijg dat bij Ziggo bijvoorbeeld niet en moet gebruik maken van een tunnel broker op m'n HEX.

- knip -

maandag 18 mei 2020 16:46

Acties:

vrijdag 22 mei 2020 08:59

Zerobase schreef op donderdag 14 mei 2020 @ 13:03:
De tweede regel in je firewall zou ik meteen weghalen. Hiermee zet je vanaf internet je router wagenwijd open voor UDP verkeer naar alle achterliggende devices:
code:
1
add action=accept chain=forward in-interface=vlan1.4 protocol=udp
De laatste regel van je forward chain kun je evt wijzigen. Ipv 'action=drop chain=forward' maak je er van 'action=drop chain=forward connection-type=!dstnat'. Dan wordt automatisch alle dst-nat verkeer doorgelaten als de voorgaande rules geen match hebben opgeleverd.

Ik geef er de voorkeur aan om alles dat niet expliciet is toegestaan gewoon te droppen, vandaar de 'drop all' regel aan het einde van iedere chain (Je kunt de rules in Winbox eenvoudig verslepen, maar ook vanaf de commandline met 'move').

Zet al je forward regels bovenaan. Die zullen het vaakst gehit worden en hoewel de impact op de throughput minimaal is, alle beetjes helpen.

Als ik kijk welke NAT rules je hebt zou je firewall er zo uit kunnen zien:
code:
1
2
3
4
5
6
7
8
9
10
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="LAN verkeer mag overal naartoe" connection-state=new in-interface=bridge-local src-address=192.168.10.0/24 
add action=accept chain=forward comment="Gasten alleen internet" connection-state=new 
in-interface=gast out-interface=pppoe src-address=192.168.77.0/24
add action=accept chain=forward comment="Traffic to torrent client" connection-state=new in-interface=vlan1.4 out-interface=bridge-local dst-address=192.168.10.18/32 protocol=udp dst-port=3799
add action=accept chain=forward comment="Traffic to NAS" connection-state=new dst-address=192.168.10.250 dst-port=8080 out-interface=bridge-local in-interface=vlan1.4 protocol=tcp
add action=accept chain=forward comment="RTP Poorten" connection-state=new in-interface=vlan1.4 out-interface=bridge-local dst-address=192.168.10.251/32 dst-port=16384-32768 protocol=udp
add action=drop chain=forward
Overigens is het niet nodig om 16384 RTP poorten open te zetten. Ik eens beginnen met 10 stuks (16384-16394). Kijk tijdens een gesprek eens op de router hoeveel RTP poorten er in gebruik zijn en je kunt wellicht nog wel verder terug.

thx zerobase.

maar zonder UDP Regel van af Vlan 1.4 gaan de kasjes heel vreemd doen
het open zetten van 1.4 UDP kan volgens mij niet zo veel kwaad. aan gezien deze van het TV platform afkomt, en over deze VLAN alleen TV streams gaan van af KPN.

UDP 1.6 openzetten zou idd veel gevaarlijker zijn. aan gezien daar bij KPN het internet op binnen komt.
wat ook meteen de vraag op roept. waarom zou ik de porten naar 1.4 forwarden. deze die naar het ITV platform van KPN gaan.

ik vermoed dat het niet 1.4 moet zijn, en ik denk zelfs dat het dan PPPOE interface moet zijn. de connectie word namelijk aangemeld bij KPN via een PPPOE verbinding.

ik kan er uitraard helemaal naast zitten. en waardeer zeker de hulp

edit:

Portforward werkt nu hellemaal niet meer. wat ik ook probeer.
met mijn oude firewall regels wel, maar alleen RTP werkte niet dus wil eigelijk daar naar terug. maar dan wel werkende audio.

wil niet on dankbaar zijn, maar hier heb ik dus eigelijk niet zo veel aan. waarom zou ik alles eigelijk in de Firewall-filter zetten. port forwarding ging toch altijd van uit de NAT ?

[ Voor 5% gewijzigd door starpc op 21-05-2020 12:09 ]

Acties:

vrijdag 22 mei 2020 20:23

@starpc: Je hebt met twee zaken te maken: NAT en firewalling.

NAT zorgt voor een vertaalslag van binnenkomend verkeer (dat aan jouw router is gericht) naar een intern IP-adres. NAT is eigenlijk de verzamelnaam voor verschillende soorten vertaalslagen (Source NAT, Destination NAT, PAT etc ...), maar voor het gemak houden we het even op een simpele IP adres-vertaling (De externe bron heeft tenslotte geen rechtstreekse toegang tot jouw interne netwerk).

Dmw van firewalling regel je of bepaald verkeer doorgelaten wordt ja of nee. Als het inkomende verkeer geNAT is zul je dus ook nog moeten aangeven of dat verkeer door de router heen mag lopen.

Als je zoals ik dat doe standaard alle verkeer blokkeert zul je bij het van buitenaf bereikbaar willen maken van je NAS twee dingen moeten regelen:

Verkeer dat binnenkomt op poort X is bedoeld voor intern ip-adres a.b.c.d. Hier vindt de vertaalslag naar een intern IP-adres plaats (NAT)
De firewall moet verteld worden dat hij dit verkeer door mag laten

(Mijn configuratie is niet standaard meer, anders had ik die hier wel neergezet.)

Hopelijk is het zo wat duidelijker.

starpc schreef op maandag 18 mei 2020 @ 16:46:
[...]
waarom zou ik alles eigelijk in de Firewall-filter zetten. port forwarding ging toch altijd van uit de NAT ?

Acties:

casemodder

--->

Heb sinds een paar weken de MikroTik CRS354-48P-4S+2Q+RM en deze bevalt me tot nu toe erg goed. Wilde eerst voor een gelijkwaardige ubiquity edgemax gaan maar de 40gbit poorten van de Mikrotik hebben met overtuigd

Heb er alleen een vreemd dingetje mee, alles vliegt high speed door die switch heen alleen KPN Itv blijft problemen geven.

Snel samen gevat:

NTU -- VLAN 4,6 Tagged naar poort 47 -- VLAN 4,6 Tagged Uit poort 48 naar PFsense EM0
PFsense EM3 -- VLAN 1 untagged en VLAN 30 (guest Wlan) tagged naar poort 32 voor internet enz.
PFsense EM2-- VLAN 20 untagged IPTV -- Poort 3,5,7,9 zitten in VLAN 20 met de uplink van IPTv uit PFsense en 3x uit naar de KPN STB's

Deze setup draaide no problem op een TPlink switch, maar op de Mikrotik heb ik wat trubbels.

-Eerste 15-30min gaan goed maar dan krijg ik af en toe wat stotteren van het beeld (geluid loopt vaak door) en na aantal minuten na de eerste stotteringen krijg ik de beruchte melding zap naar een andere zender en weer terug. Dit gebeurd bij live TV en Terugkijken tv/opnames

Bij Bridge--Ports alles wel een keer aan/uit gezet
Afbeeldingslocatie: https://tweakers.net/i/5QL3jy0C7L-ZXVU2enM-gPMIE6A=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/eGbaUXqMhef0GoOuwpLIS8EO.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/5QL3jy0C7L-ZXVU2enM-gPMIE6A=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/eGbaUXqMhef0GoOuwpLIS8EO.jpg?f=user_large

Bij Switch--Port ook
Afbeeldingslocatie: https://tweakers.net/i/MQncvrzNU0nq3WAY81bGoeZVQ5o=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/XXAkB9ovo2cemnXvjwLsH2vw.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/MQncvrzNU0nq3WAY81bGoeZVQ5o=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/XXAkB9ovo2cemnXvjwLsH2vw.jpg?f=user_large

Instellingen van de Bridge
Afbeeldingslocatie: https://tweakers.net/i/0i503uI4YFfx7HkFYS6G6nP305M=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/JRNwFXH0q30EjfTiKkqq2ssE.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/0i503uI4YFfx7HkFYS6G6nP305M=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/JRNwFXH0q30EjfTiKkqq2ssE.jpg?f=user_large

De VLAN poorten van IPTv in een apparte Bridge zetten heeft ook geen effect
Flow control op auto was een grote verbetering maar het probleem is nog niet weg.
Auto negotiation geprobeerd op handmatig 100Mbit Full duplex
IGMP snooping resulteerd vrijwel meteen in medling zap naar andere zender enweer terug.

Misschien dat ik iets heel simpels over het hoofd zie

Switch draait nu V6.46.6 router OS
onder V6.45.5 waarmee ik hem kreeg was het niet anders
Ik draai routerOS want switchOS is voor dit model niet beschikbaar.

Nu heb ik de Uplink vanaf PFsense in een unifi flex mini zitten en daaraan ook de STB's en dat draait prima.

Opvallens is dat ik IPV van de Unifi Flex mini ook een mikrotik RB260GSP heb gehad en die had ook stotter problemen. Dus het lijkt een Mikrotik dingetje.

PFsense draait dus routed IPTV

Heb 2x de oudere grotere Arris STB's en 1x Acardyan en heb overal zelfde problemen. En ook geen meldingen in de LOG van de switch.

Ook geprobeerd IPTV in PFsense tagged VLAN 30 over EM3 mee te sturen samen met de het reguliere internet verkeer. En dan weer untagged aan de STB's af te leveren maar dit veroorzaakte nog meer stotter problemen.

RouterOS was voor mij een ontzettend stijle leercurve maar weet er nu redelijk goed de weg. Dus mochten jullie graag nog extra info hebben geef ook even aan onder welk kopje ik dit kan vinden

PFsense draait met een quad port Intel NIC

Bedankt voor het lezen van deze enorme lap text maar wilde de uitleg zo compleet mogelijk maken. $_/-\o_$

[ Voor 6% gewijzigd door casemodder op 22-05-2020 20:29 ]

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

maandag 25 mei 2020 20:11

Acties:

maandag 25 mei 2020 20:22

Thomas Kreeftmeijer

Ik heb een vaag probleem, het gaat over de DNS.

code:

ip dns print
                      servers: 1.1.1.1,1.0.0.1
              dynamic-servers: 62.179.104.196,213.46.228.196
        allow-remote-requests: no
          max-udp-packet-size: 4096
         query-server-timeout: 2s
          query-total-timeout: 10s
       max-concurrent-queries: 100
  max-concurrent-tcp-sessions: 20
                   cache-size: 2048KiB
                cache-max-ttl: 1w
                   cache-used: 211KiB

Als ik bij de DNS instellingen Allow Remote Requests aanvink, dan loopt de CPU naar de 100%, uit: 5%. Ik wil de functies van DNS cache en static DNS graag gebruiken, en daarvoor wil ik intern remote DNS requests toestaan. Na wat zoekwerk kom ik erachter dat ik misschien aangevallen word. Ik heb de regels toegevoegd zoals deze YouTube: MikroTik RouterOS How to Setup DNS, DNS Cache and Securing it hier genoemd zijn.
Als ik online een UDP port checker gebruik, blijkt port 53 op open / filtered te staan. Dat klinkt niet zoals het hoort, volgens mij.
Mijn Firewall:

code:

/ip firewall filter
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=tcp
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here"
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here"
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masquerade hotspot network" src-address=10.0.20.0/24
add action=dst-nat chain=dstnat comment="VPN L2TP/IPSEC NAS" dst-port=500 protocol=udp to-addresses=10.0.0.26 to-ports=500
add action=dst-nat chain=dstnat comment="VPN L2TP/IPSEC NAS" dst-port=1701 protocol=udp to-addresses=10.0.0.26 to-ports=1701
add action=dst-nat chain=dstnat comment="VPN L2TP/IPSEC NAS" dst-port=4500 protocol=udp to-addresses=10.0.0.26 to-ports=4500
add action=dst-nat chain=dstnat comment="OpenVPN NAS" dst-port=1194 protocol=udp to-addresses=10.0.0.26 to-ports=1194

Waarschijnlijk doe ik iets verkeerd, maar wat?

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

Acties:

maandag 25 mei 2020 20:44

MikroTik nerd

MikroTik
Wifi
Accesspoints

T.Kreeftmeijer schreef op maandag 25 mei 2020 @ 20:11:
Waarschijnlijk doe ik iets verkeerd, maar wat?

Ik heb zelf de voorkeur om alles tegen te houden en van daaruit dingen toe te staan. Momenteel ben je dingen expliciet aan het droppen wat op ether1 binnen komt. Dat zou niet nodig moeten zijn. De default firewall bevat de volgende zaken:

code:

/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat in-interface-list=WAN

Welke diensten/services wil je publiek beschikbaar stellen? Zelf heb ik VPN en SSH (voor 1 IP adres).

Eerst het probleem, dan de oplossing

Acties:

maandag 25 mei 2020 21:53

Thomas Kreeftmeijer

lier schreef op maandag 25 mei 2020 @ 20:22:
[...]

Ik heb zelf de voorkeur om alles tegen te houden en van daaruit dingen toe te staan. Momenteel ben je dingen expliciet aan het droppen wat op ether1 binnen komt. Dat zou niet nodig moeten zijn. De default firewall bevat de volgende zaken:

Dat is op zich ook zeker mijn bedoeling, anders wordt het wel heel ingewikkeld. Het toevoegen van de extra regels was even om te kijken of het verschil maakte.

code:

/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat in-interface-list=WAN

Dat is in de basis wat ik ook heb (ik heb een fasttrack geactiveerd, gooit dat roet in het eten?). Andere regels dan deze en fasttrack deactiveren help niet.

Welke diensten/services wil je publiek beschikbaar stellen? Zelf heb ik VPN en SSH (voor 1 IP adres).

Ik heb via het menu NAT vier poorten voor VPN (L2TP/IPSEC en OpenVPN) geopend, dat werkt goed. Meer niet, eventueel nog een keer een HTTP 80/8080 of zoiets, maar dat lukt wel als het open

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

Acties:

maandag 25 mei 2020 22:03

MikroTik
Wifi

T.Kreeftmeijer schreef op maandag 25 mei 2020 @ 20:44:
Dat is op zich ook zeker mijn bedoeling, anders wordt het wel heel ingewikkeld. Het toevoegen van de extra regels was even om te kijken of het verschil maakte.

En? Je kunt dan inderdaad mooi zien of die packet counters oplopen. Dan weet je in ieder geval zeker dat de rules (tot op zekere hoogte) werken.

Naast het feit dat je inderdaad beter 'default deny' kunt toepassen (wat de default firewall al min-of-meer doet voor WAN, ook in jouw geval voor zover ik kan oordelen) is het daarnaast handig om dat soort interfaces onder te brengen in interface lists. Als het goed is heb je er al twee: LAN en WAN. Voeg daar interfaces aan toe voor zover nodig.

Tenzij je de WAN-interface in de LAN list hebt gestopt zou de default firewall hier gewoon moeten werken..

Als ik online een UDP port checker gebruik, blijkt port 53 op open / filtered te staan. Dat klinkt niet zoals het hoort, volgens mij.

Jawel, dat is niet slecht, maar 'neutraal': je kunt niet zomaar zien of udp-poorten 'open' staan, daarvoor zul je een geldig request moeten sturen (in jouw geval: dns).

Enige situatie waar een simpele poortscanner iets over udp kan zeggen is als het een expliciete ICMP unreachable terugkrijgt voor de port: dan weet je dat de poort onbereikbaar is. Met een DROP wordt deze niet teruggestuurd (dat is prima), maar dan kun je dat van 'buiten' dus ook niet zien.

Wat je verder nog kunt doen: bij Tools → Profile controleren wáár de CPU time aan opgaat (ik weet niet of 'dns' een eigen categorie kent?) en eventueel onder System → Logging de logging voor DNS op debug zetten.

casemodder schreef op vrijdag 22 mei 2020 @ 20:23:
Bedankt voor het lezen van deze enorme lap text maar wilde de uitleg zo compleet mogelijk maken. $_/-\o_$

Beetje flauw antwoord, maar je issues zijn dusdanig vaag dat je toch zult moeten beginnen met een paar goede captures (mirror en/of traffic sniffer) om te zien wat er nu precies misgaat.

IPTV houdt niet zomaar op. Tenzij er iets misgaat met IGMP.

[ Voor 12% gewijzigd door Thralas op 25-05-2020 21:55 ]

Acties:

casemodder

--->

Thralas schreef op maandag 25 mei 2020 @ 21:53:

[...]

Beetje flauw antwoord, maar je issues zijn dusdanig vaag dat je toch zult moeten beginnen met een paar goede captures (mirror en/of traffic sniffer) om te zien wat er nu precies misgaat.

IPTV houdt niet zomaar op. Tenzij er iets misgaat met IGMP.

Issues zijn idd vaag, de IGMP kunnen we uitsluiten want zoals te lezen in mijn post draait die al geruime tijd goed ook voor de Mikrotik.

Maar flauw is het niet want dit is wat ik allemaal heb kunnen doen/ondervonden en daarom vraag ik hier verder advies

Hoe zou ik zo'n pakketsniffer kunnen gebruiken?
Zoals ik al aangaf heb al veel geleerd maar weet nog niet alles

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

maandag 25 mei 2020 22:08

Acties:

maandag 25 mei 2020 22:22

Thomas Kreeftmeijer

Thralas schreef op maandag 25 mei 2020 @ 21:53:
[...]

En? Je kunt dan inderdaad mooi zien of die packet counters oplopen. Dan weet je in ieder geval zeker dat de rules (tot op zekere hoogte) werken.

Met de regels specifiek voor port 53 zie ik inderdaad verkeer langs komen als ik een port check uitvoer.

Naast het feit dat je inderdaad beter 'default deny' kunt toepassen (wat de default firewall al min-of-meer doet voor WAN, ook in jouw geval voor zover ik kan oordelen) is het daarnaast handig om dat soort interfaces onder te brengen in interface lists. Als het goed is heb je er al twee: LAN en WAN. Voeg daar interfaces aan toe voor zover nodig.

Tenzij je de WAN-interface in de LAN list hebt gestopt zou de default firewall hier gewoon moeten werken..

De lijsten zijn compleet en juist. Dat zou voor zover ik weet goed moeten gaan.

[...]

Jawel, dat is niet slecht, maar 'neutraal': je kunt niet zomaar zien of udp-poorten 'open' staan, daarvoor zul je een geldig request moeten sturen (in jouw geval: dns).

Enige situatie waar een simpele poortscanner iets over udp kan zeggen is als het een expliciete ICMP unreachable terugkrijgt voor de port: dan weet je dat de poort onbereikbaar is. Met een DROP wordt deze niet teruggestuurd (dat is prima), maar dan kun je dat van 'buiten' dus ook niet zien.

Goed om te weten, dit wist niet, maar zo'n vermoeden had ik inmiddels al.

Wat je verder nog kunt doen: bij Tools → Profile controleren wáár de CPU time aan opgaat (ik weet niet of 'dns' een eigen categorie kent?) en eventueel onder System → Logging de logging voor DNS op debug zetten.

Ja dns heeft hier een eigen usage niveua. Staat de remote request uit, dan is dit zo ongeveer 0%, staat het vindje/de optie aan, dan loopt het op naar 70/80% en vult de rest van het systeem de cpu aan naar 100%.
Eens kijken wat ik in de logging vind, dat staat nu aan.

Dat is dus heel veel, ik weet niet zo goed wat ik eraan moet zien. Een stukje:

code:

May/25/2020 22:10:25 dns query from 10.0.0.26: #358989 api.intelsa.intel.com. A
May/25/2020 22:10:25 dns done query: #358989 dns name does not exist
May/25/2020 22:10:25 dns,packet --- sending reply to 10.0.0.26:37468:
May/25/2020 22:10:25 dns,packet id:44d rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'name error'
May/25/2020 22:10:25 dns,packet question: api.intelsa.intel.com:A:IN
May/25/2020 22:10:25 dns,packet --- got answer from 1.1.1.1:53:
May/25/2020 22:10:25 dns,packet id:5c3b rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'no error'
May/25/2020 22:10:25 dns,packet question: raw.githubusercontent.com:AAAA:IN
May/25/2020 22:10:25 dns,packet answer:
May/25/2020 22:10:25 dns,packet <raw.githubusercontent.com:CNAME:27=github.map.fastly.net>
May/25/2020 22:10:25 dns,packet authority:
May/25/2020 22:10:25 dns,packet <fastly.net:SOA:27=serial:2017052201 refresh:3600 retry:600 expire:604800 min:30 >
May/25/2020 22:10:25 dns done query: #358986 dns name exists, but no appropriate record
May/25/2020 22:10:25 dns,packet --- sending reply to 10.0.0.26:37468:
May/25/2020 22:10:25 dns,packet id:8c87 rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'no error'
May/25/2020 22:10:25 dns,packet question: raw.githubusercontent.com:AAAA:IN
May/25/2020 22:10:25 dns,packet answer:
May/25/2020 22:10:25 dns,packet <raw.githubusercontent.com:CNAME:27=github.map.fastly.net>
May/25/2020 22:10:25 dns,packet authority:
May/25/2020 22:10:25 dns,packet <:NS:342461=m.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=a.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=b.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=c.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=d.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=e.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=f.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=g.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=h.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=i.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=j.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=k.root-servers.net>
May/25/2020 22:10:25 dns,packet <:NS:342461=l.root-servers.net>
May/25/2020 22:10:25 dns,packet additional:
May/25/2020 22:10:25 dns,packet <github.map.fastly.net:A:23=151.101.0.133>
May/25/2020 22:10:25 dns,packet <github.map.fastly.net:A:23=151.101.192.133>
May/25/2020 22:10:25 dns,packet <github.map.fastly.net:A:23=151.101.64.133>
May/25/2020 22:10:25 dns,packet <github.map.fastly.net:A:23=151.101.128.133>
May/25/2020 22:10:25 dns,packet --- got answer from 1.1.1.1:53:
May/25/2020 22:10:25 dns,packet id:4023 rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'name error'
May/25/2020 22:10:25 dns,packet question: 133.0.0.10.in-addr.arpa:PTR:IN
May/25/2020 22:10:25 dns done query: #358984 dns name does not exist
May/25/2020 22:10:25 dns,packet --- sending reply to 10.0.0.26:37468:
May/25/2020 22:10:25 dns,packet id:5aa3 rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'name error'
May/25/2020 22:10:25 dns,packet question: 133.0.0.10.in-addr.arpa:PTR:IN
May/25/2020 22:10:25 dns,packet --- got answer from 1.1.1.1:53:
May/25/2020 22:10:25 dns,packet id:a7d9 rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'no error'
May/25/2020 22:10:25 dns,packet question: github-production-release-asset-2e65be.s3.amazonaws.com:AAAA:IN
May/25/2020 22:10:25 dns,packet answer:
May/25/2020 22:10:25 dns,packet <github-production-release-asset-2e65be.s3.amazonaws.com:CNAME:2400=s3-1-w.amazonaws.com>
May/25/2020 22:10:25 dns,packet authority:
May/25/2020 22:10:25 dns,packet <s3-1-w.amazonaws.com:SOA:5=serial:1 refresh:7200 retry:900 expire:1209600 min:86400 >
May/25/2020 22:10:25 dns done query: #358946 dns name exists, but no appropriate record
May/25/2020 22:10:25 dns,packet --- sending reply to 10.0.0.26:37468:
May/25/2020 22:10:25 dns,packet id:9a74 rd:1 tc:0 aa:0 qr:1 ra:1 QUERY 'no error'
May/25/2020 22:10:25 dns,packet question: github-production-release-asset-2e65be.s3.amazonaws.com:AAAA:IN
May/25/2020 22:10:25 dns,packet answer:
May/25/2020 22:10:25 dns,packet <github-production-release-asset-2e65be.s3.amazonaws.com:CNAME:2400=s3-1-w.amazonaws.com>

Probleem blijkt gevonden te zijn, er was een loop onststaan tussen de nas die ook DNS doet (DNS eerst de nas en dan de mikrotik). Echter had de NAS als DNS server zichzelf en niet de mikrotik en dus onststond er een loop.

[ Voor 52% gewijzigd door T.Kreeftmeijer op 25-05-2020 22:20 ]

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

Acties:

maandag 25 mei 2020 22:28

MikroTik
Wifi

casemodder schreef op maandag 25 mei 2020 @ 22:03:
casemodder in "\[MikroTik-apparatuur] Ervaringen & Discu..."
Issues zijn idd vaag, de IGMP kunnen we uitsluiten want zoals te lezen in mijn post draait die al geruime tijd goed ook voor de Mikrotik.

Uitsluiten?

Je zegt bijzonder weinig over IGMP (dus ik snap de redenering niet).

Maar flauw is het niet want dit is wat ik allemaal heb kunnen doen/ondervonden en daarom vraag ik hier verder advies

Voor de volledigheid: met flauw doel ik op mijn simpele antwoord: packet captures

Hoe zou ik zo'n pakketsniffer kunnen gebruiken?
Zoals ik al aangaf heb al veel geleerd maar weet nog niet alles

Wireshark aanzetten op een machine, capture filter 'udp port 37008', dan `Tools → Packet sniffer` en het streamen naar de machine met Wireshark (je kunt oa. op interfaces filteren, dus zou daar eens mee beginnen, bv. de interface naar je STB).

Probleem reproduceren en dan snel op stop rammen. IPTV captures zijn groot, dus wat vervelend om mee te werken, meteen een goed excuus om te leren filteren met Wireshark: display filters 'igmp' en 'ip.addr != 224.0.0.0/8' zijn bijvoorbeeld handig.

T.Kreeftmeijer schreef op maandag 25 mei 2020 @ 22:08:
Ja dns heeft hier een eigen usage niveua. Staat de remote request uit, dan is dit zo ongeveer 0%, staat het vindje/de optie aan, dan loopt het op naar 70/80% en vult de rest van het systeem de cpu aan naar 100%.
Eens kijken wat ik in de logging vind, dat staat nu aan.

Dat lijkt dan toch duidelijk inderdaad niet de bedoeling. Raar. Benieuwd waar het in zit dan.

Als je DNS logging aanzet spuugt hij meteen iedere query volledig naar de logs: dat zou meteen wat moeten laten zien..

EDIT: opgelost blijkbaar.

Acties:

dinsdag 26 mei 2020 10:57

Thomas Kreeftmeijer

Thralas schreef op maandag 25 mei 2020 @ 22:22:

Dat lijkt dan toch duidelijk inderdaad niet de bedoeling. Raar. Benieuwd waar het in zit dan.

Als je DNS logging aanzet spuugt hij meteen iedere query volledig naar de logs: dat zou meteen wat moeten laten zien..

Daar kwam ik achter inderdaad.

EDIT: opgelost blijkbaar.

Ja in de log kwam de nas steeds voorbij, dat deed me eraan denken om daar eens te kijken. Ik log in en krijg gelijk allerlei foutmeldingen over de DNS instellingen. Nu werkt het hopelijk weer.
Dus bedankt voor de tip van de log, dat hielp.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

Acties:

casemodder

--->

Thralas schreef op maandag 25 mei 2020 @ 22:22:
[...]

Uitsluiten?

Je zegt bijzonder weinig over IGMP (dus ik snap de redenering niet).

Ik dacht dat je de IGMP proxy in de PFsense bedoelde, maar je bedoelt natuurlijk in de switch.
Heb nu wireshark draaien en de pc op dezelfde VLAN als iptv dus ik ga aan de slag met je andere info.

Thanks!

Edit @Thralas

Heb al een capture gevangen op het moment dat de stotteringen optreden.
Hopelijk kun je hier iets mee, als je het anders ziet hoor ik het graag, heb de file opgeslagen.

Afbeeldingslocatie: https://tweakers.net/i/YJeK0_2c_OhcKfRSTgZdpaJwlN0=/800x/filters:strip_icc():strip_exif()/f/image/LWuvvX7Bk6e8XuYkXwgwmDNk.jpg?f=fotoalbum_large

[ Voor 40% gewijzigd door casemodder op 26-05-2020 11:20 ]

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

dinsdag 26 mei 2020 11:06

Acties:

pyrofielo

Kan iemand mij een tikje in de juiste richting geven?

Ik heb twee cap AC's in capsman op een HEX. Dit werkt naar behoren en ook IPTV en IPV6 gaat lekker.

Echter:
Ik wil een camera aansluiten bij de garage en daar heb ik geen kabel naartoe lopen. Ik heb nog een hap ac lite liggen dus ik wil die als slave aan mijn netwerk hangen.

Dat gaat echter gruwelijk mis! wat ik vooral merk is dat de primary gateway niet meer bereikbaar is (De HEX) terwijl er geen dubbele ip's zijn of iets. Lijkt haast wel of de hele routing van alles vastloopt. Maar ik snap dus niet waardoor het komt.

Elke keer als ik dat doe dan gaat het hele netwerk naar de klote.
Misschien gebruik ik de verkeerde modus?
https://wiki.mikrotik.com...twork_With_Wireless_Modes

Ik heb guides opgezocht voor de volgende modes:
AP --- Station Bridge = Link & Bridge
AP --- Station PseudoBridge = Link & Bridge

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

woensdag 27 mei 2020 22:37

Acties:

donderdag 28 mei 2020 09:44

MikroTik
Wifi

casemodder schreef op dinsdag 26 mei 2020 @ 10:57:
Heb al een capture gevangen op het moment dat de stotteringen optreden.

Ik zie timestamps van 6s. Heb je ook de werkende situatie meegecaptured?

Als je niet begint met capturen als het nog werkt mis je de transitie waar het om gaat: van werkend naar stuk.

Hopelijk kun je hier iets mee, als je het anders ziet hoor ik het graag, heb de file opgeslagen.

Screenshots van pcaps zijn niet zo praktisch. Probeer (met een juiste capture) de tips uit m'n vorige post eens, als je er dan echt niet uitkomt: upload dan de pcap.

pyrofielo schreef op dinsdag 26 mei 2020 @ 11:06:
Dat gaat echter gruwelijk mis! wat ik vooral merk is dat de primary gateway niet meer bereikbaar is (De HEX) terwijl er geen dubbele ip's zijn of iets. Lijkt haast wel of de hele routing van alles vastloopt. Maar ik snap dus niet waardoor het komt.

Begin eens met het kijken naar ARP tables en heen-en-weer pingen tussen de MikroTiks.

Verder is het 'gewoon' een L2 bridge over WiFi. Zou je (als test) evenwel kunnen vervangen door een kabeltje. Zou geen verschil moeten maken (als de WiFi interfaces op dezelfde bridge zit als de ethernetpoort).

Ik heb guides opgezocht voor de volgende modes:
AP --- Station Bridge = Link & Bridge

Dat is de juiste mode voor MikroTik <> MikroTik.

Acties:

donderdag 28 mei 2020 10:52

Weet iemand of het volgende mogelijk is in RouterOS? Ik wil graag een NATting maken van inkomend verkeer (naar een bepaalde poort, of naar een bepaald extern IP), naar een ander extern IP.

Ik heb geprobeer een dstnat hiervoor aan te maken, maar dan gebeurt er niets (lijkt me logisch, want dan komt er verkeer aan de LAN kant bestemd voor een IP aan de WAN kant, dat gaat niet automagisch terug de gateway in).

Als ik in die dstnat rule de 'wan interface' als output interface opgeeft mag ik de regel niet opslaan en krijg ik een foutmelding "outgoing interface matching not possible in input and prerouting chains (6)".
Het lijkt er dus op dat dit niet kan met een 'gewone' dstnat rule. Heeft iemand een alternatieve manier of een term waar ik op kan zoeken?

A software developer is someone who looks both left and right when crossing a one-way street.

Acties:

pyrofielo

Thralas schreef op woensdag 27 mei 2020 @ 22:37:
[...]
Begin eens met het kijken naar ARP tables en heen-en-weer pingen tussen de MikroTiks.

Verder is het 'gewoon' een L2 bridge over WiFi. Zou je (als test) evenwel kunnen vervangen door een kabeltje. Zou geen verschil moeten maken (als de WiFi interfaces op dezelfde bridge zit als de ethernetpoort).

[...]
Dat is de juiste mode voor MikroTik <> MikroTik.

Hmm ff kijken dat kan ik wel doen aan beide kanten heb ik inderdaad de wifi interfaces in de LAN bridge zitten. Dan ik even kijjken wat het bekabeld doet.

Zou ik in die mode nog wat aan de huidige capsman wat aan moeten passen?

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

donderdag 28 mei 2020 13:51

Acties:

MasterL

Moderator Internet & Netwerken

MerijnB schreef op donderdag 28 mei 2020 @ 09:44:
Weet iemand of het volgende mogelijk is in RouterOS? Ik wil graag een NATting maken van inkomend verkeer (naar een bepaalde poort, of naar een bepaald extern IP), naar een ander extern IP.

Ik heb geprobeer een dstnat hiervoor aan te maken, maar dan gebeurt er niets (lijkt me logisch, want dan komt er verkeer aan de LAN kant bestemd voor een IP aan de WAN kant, dat gaat niet automagisch terug de gateway in).

Als ik in die dstnat rule de 'wan interface' als output interface opgeeft mag ik de regel niet opslaan en krijg ik een foutmelding "outgoing interface matching not possible in input and prerouting chains (6)".
Het lijkt er dus op dat dit niet kan met een 'gewone' dstnat rule. Heeft iemand een alternatieve manier of een term waar ik op kan zoeken?

Waar loop je precies tegenaan? Ik heb dit bijvoorbeeld even getest:

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80,443 in-interface=LAN protocol=tcp src-address=xxx.xxx.xxx.177 to-addresses=172.217.19.195

Alles vanaf xxx.xxx.xxx.177 met poort 80,443 komt netjes bij 172.217.19.195 (google) uit.
De WAN interface hoef je niet als "outgoing interface" te specifieren, de router (route table) snapt zelf
wel dat deze over de gateway/default route (WAN?) moet als er geen andere routes voor het "to-address" bestaan. De SRC/masquerade nat rule zorgt ervoor dat het traffic vanuit de WAN interface als "source" adres mee krijgt zodat het verkeer ook weer netjes "terug" bij jou router komt.

donderdag 28 mei 2020 14:08

Acties:

donderdag 28 mei 2020 14:14

MasterL schreef op donderdag 28 mei 2020 @ 13:51:
[...]

Waar loop je precies tegenaan? Ik heb dit bijvoorbeeld even getest:

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80,443 in-interface=LAN protocol=tcp src-address=xxx.xxx.xxx.177 to-addresses=172.217.19.195

Alles vanaf xxx.xxx.xxx.177 met poort 80,443 komt netjes bij 172.217.19.195 (google) uit.
De WAN interface hoef je niet als "outgoing interface" te specifieren, de router (route table) snapt zelf
wel dat deze over de gateway/default route (WAN?) moet als er geen andere routes voor het "to-address" bestaan. De SRC/masquerade nat rule zorgt ervoor dat het traffic vanuit de WAN interface als "source" adres mee krijgt zodat het verkeer ook weer netjes "terug" bij jou router komt.

Het feit dat je bij in-interface "LAN" hebt staan doet mij vermoeden dat je verkeer van de LAN kant nat, klopt dat? Ik wil verkeer wat van de WAN kant komt natten naar iets anders aan de WAN kant.

A software developer is someone who looks both left and right when crossing a one-way street.

Acties:

MasterL

Moderator Internet & Netwerken

MerijnB schreef op donderdag 28 mei 2020 @ 14:08:
[...]

Het feit dat je bij in-interface "LAN" hebt staan doet mij vermoeden dat je verkeer van de LAN kant nat, klopt dat? Ik wil verkeer wat van de WAN kant komt natten naar iets anders aan de WAN kant.

Ahh zo ja dat klopt om welke protocollen gaat het?
Ik zou bij voorkeur hier een proxy voor gebruiken, deze zit wel in RouterOS maar is niet zo uitgebreid
als bijvoorbeeld haproxy.

donderdag 28 mei 2020 14:20

Acties:

donderdag 28 mei 2020 14:32

MasterL schreef op donderdag 28 mei 2020 @ 14:14:
[...]

Ahh zo ja dat klopt om welke protocollen gaat het?
Ik zou bij voorkeur hier een proxy voor gebruiken, deze zit wel in RouterOS maar is niet zo uitgebreid
als bijvoorbeeld haproxy.

Het gaat om rauwe data, dus gewoon sockets. Proxy is daarom niet wenselijk want dan raak ik het source IP kwijt.

A software developer is someone who looks both left and right when crossing a one-way street.

Acties:

MasterL

Moderator Internet & Netwerken

MerijnB schreef op donderdag 28 mei 2020 @ 14:20:
[...]

Het gaat om rauwe data, dus gewoon sockets. Proxy is daarom niet wenselijk want dan raak ik het source IP kwijt.

Met nat ook.. Een (fatsoenlijke) ISP laat geen packets versturen met een source IP anders
als jouw eigen IP adres/blok. Wat jij wil kan heus wel maar dan moet je een VPN opzetten, traffic markeren, routen over de VPN en aan de andere kant zorgen dat de traffic weer "terug" gerouteerd wordt.

donderdag 28 mei 2020 15:34

Acties: