[MikroTik-apparatuur] Ervaringen & Discussie

donderdag 28 mei 2020 15:41

Acties:

0 Henk 'm!

--->

Thralas schreef op woensdag 27 mei 2020 @ 22:37:
[...]

Ik zie timestamps van 6s. Heb je ook de werkende situatie meegecaptured?

Als je niet begint met capturen als het nog werkt mis je de transitie waar het om gaat: van werkend naar stuk.

[...]

Screenshots van pcaps zijn niet zo praktisch. Probeer (met een juiste capture) de tips uit m'n vorige post eens, als je er dan echt niet uitkomt: upload dan de pcap.

https://www.dropbox.com/s/jiyjo1rb9wh0846/1.pcapng?dl=0

Inclusief voor en na dat het wel goed werkt

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

donderdag 28 mei 2020 16:50

Acties:

+1 Henk 'm!

ik222

MerijnB schreef op donderdag 28 mei 2020 @ 15:34:
[...]

Dit staat in een data centrum, dus dat zal niet het probleem zijn
Maar je stuurt toch continue packets met een je eigen IP als source IP, hoe moet de data anders terugkomen?

Dan geldt hetzelfde, een goede hosting provider zal pakketjes van een source adres dat niet van jou is ook droppen.

Het hele probleem is namelijk dat als je een destination NAT regel maakt hiervoor het source adres niet veranderd. Dus je gaat verkeer vanuit je eigen aansluiting terug het internet op sturen met nog steeds het originele source IP. En dat werkt dus niet.

Om dat op te lossen moet je dus een soort proxy maken (kan ook een raw socket zijn) die het verkeer opnieuw verstuurd naar de bestemming met je eigen source IP en die het antwoord wat hij krijgt weer terugstuurt maar de originele afzender.

Maar misschien moeten we even een stap terug, welk probleem probeer je precies op te lossen? Misschien is het handiger om van daaruit mee te denken.

donderdag 28 mei 2020 17:28

Acties:

+1 Henk 'm!

nescafe

Wifi

@MerijnB tcp connection redirection als volgt:

code:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address-type=local dst-port=1234 protocol=tcp \
  src-address=5.6.7.8/24 to-addresses=1.2.3.4
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

Regel 2 (srcnat) is standaard aanwezig in default config.

Je kunt deze regel zo nodig van een IP-adres (dst) voorzien of gebruik maken van connection marking om het srcnatten te beperken tot het bestemmingsadres dan wel specifiek deze connecties.

[ Voor 21% gewijzigd door nescafe op 28-05-2020 20:08 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 28 mei 2020 20:01

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

casemodder schreef op donderdag 28 mei 2020 @ 15:41:
https://www.dropbox.com/s/jiyjo1rb9wh0846/1.pcapng?dl=0

Inclusief voor en na dat het wel goed werkt

Ik zie hier geen verschil optreden, noch zie ik uberhaupt een videostream. Ik zie alleen een multicastgroup die ik niet herken (224.0.250.67), maar dat is geen video.

Zet NPO1 eens op (kanaal 1) en zoek 224.0.252.126 eens op in de pcap (display filter: ip.addr == 224.0.252.126 or igmp) en kijk of je daar wat vreemds aan ziet als het optreedt.

vrijdag 29 mei 2020 09:12

Acties:

0 Henk 'm!

casemodder

--->

@Thralas

Ik heb nu een goede gevangen.

De situatie:

Op net1 gezet, ging natuurlijk ruim 45min goed, dus wireshark maar uitgezet.
Net1ok file

Toen naar 15 gezapt (discovery) en vrijwel meteen haperen dus Wireshark meteen aangezet.
na een flink aantal haperingen kreeg ik de melding zap naar een andere zender en weer terug.
Dus naar net1 gezapt, melding bleef in beeld. en na een aantal keer op en neer zappen begon het weer te lopen.

Ik zie zelf dat hij een groep verlaat? Is dit misschien het schakelen tussen multicast en unicast waar de Mikrotik zich in verslikt?

https://www.dropbox.com/s/yo1jgusk07ynspc/net1ok.pcapng?dl=0
https://www.dropbox.com/s...h/15%2C1probl.pcapng?dl=0

Nogmaals reuze bedankt voor je inspanningen

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

vrijdag 29 mei 2020 12:12

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Je hebt inderdaad enorm veel packet loss op je multicast streams. Zie Telephony -> RTP -> RTP Streams voor een handig overzicht.

Afbeeldingslocatie: https://tweakers.net/i/bbtVBp0-0STlUHQdblHyKN5gL00=/800x/filters:strip_exif()/f/image/uNGFB7MMO5ucP6An2xLjF5PG.png?f=fotoalbum_large

De totalen zijn onbetrouwbaar omdat er mogelijk even weggezapt is, dat telt hij ook als loss

Je lijkt te capturen op een Windowsmachine - daarmee pik je alleen multicastverkeer op; ik zie bijvoorbeeld geen unicast van/naar de STB (nu niet zo'n ramp, maar in principe is een mirror port of packet-sniffer de juiste manier, daar had ik al wat hints over gegeven).

Maarrr, het feit dat je uberhaupt multicast IPTV traffic daar ziet betekent dat je het naar alle poorten van de switch flood omdat je geen IGMP snooping doet.

Als een setup (for whatever reason) werkt zonder snooping is dat mooi meegenomen, maar het veroorzaakt enorm veel potentiële ellende vwb. de betrouwbaarheid van je streams. Daar heb je blijkbaar problemen mee: dus je moet IGMP snoopen.

Zonder snooping zorgt één congested switchport er al voor dat je multicastverkeer op alle andere poorten ook begint te droppen is mijn ervaring (zet één port maar eens op 10Mb..).

In een eerdere post schreef je dat het helemaal niet werkte met snooping: dan is dat een ander (oplosbaar) probleem. In dat geval waarschijnlijk wel iets met IGMP: ook weer even een capture maken (met port mirror of packet sniffer) of als alternatief igmp logging aanzetten op de MikroTik (dan krijg je een boel debug output).

vrijdag 29 mei 2020 14:56

Acties:

0 Henk 'm!

casemodder

--->

Thralas schreef op vrijdag 29 mei 2020 @ 12:12:
Je hebt inderdaad enorm veel packet loss op je multicast streams. Zie Telephony -> RTP -> RTP Streams voor een handig overzicht.

[Afbeelding]

De totalen zijn onbetrouwbaar omdat er mogelijk even weggezapt is, dat telt hij ook als loss

Je lijkt te capturen op een Windowsmachine - daarmee pik je alleen multicastverkeer op; ik zie bijvoorbeeld geen unicast van/naar de STB (nu niet zo'n ramp, maar in principe is een mirror port of packet-sniffer de juiste manier, daar had ik al wat hints over gegeven).

Maarrr, het feit dat je uberhaupt multicast IPTV traffic daar ziet betekent dat je het naar alle poorten van de switch flood omdat je geen IGMP snooping doet.

Als een setup (for whatever reason) werkt zonder snooping is dat mooi meegenomen, maar het veroorzaakt enorm veel potentiële ellende vwb. de betrouwbaarheid van je streams. Daar heb je blijkbaar problemen mee: dus je moet IGMP snoopen.

Zonder snooping zorgt één congested switchport er al voor dat je multicastverkeer op alle andere poorten ook begint te droppen is mijn ervaring (zet één port maar eens op 10Mb..).

In een eerdere post schreef je dat het helemaal niet werkte met snooping: dan is dat een ander (oplosbaar) probleem. In dat geval waarschijnlijk wel iets met IGMP: ook weer even een capture maken (met port mirror of packet sniffer) of als alternatief igmp logging aanzetten op de MikroTik (dan krijg je een boel debug output).

Ik gebruik inderdaad een windows machine, port heb ik niet gemirrord an de poort van de STB omdat ik dacht dat ditniet nodig is ivm met dat het multicast verkeer is.

Ik heb 4 poortjes van de Mikrotik in een appart VLAN gezet waarop de STB's zitten en de uplink vanuit de PFsense (die over een apparte interfae loopt) om dus te voorkomen dat ik de hele switch overspoel met data. Op een van deze 4 poortjes in de apparte VLAN heb ik tijdelijk de windows machine geprikt waarmee ik capture.

IGMP snooping in die apparte VLAN levert direct een melding op dat ik naar een andere zender moet zappen.

Ik ga proberen een poort van een STB te mirrorren (rookie mistake

)

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

zaterdag 30 mei 2020 15:22

Acties:

0 Henk 'm!

biertjuh?

Ik hoop dat iemand mij hier kan helpen, ik ben al een aantal keer aan het prutsen geweest met mijn mikrotik om VLAN's weer aan de gang te krijgen zodat ik mijn guest netwerk weer in kan richten, echter krijg ik het niet voor elkaar.

Ik heb een mikrotik HEXs waarbij poort 1 richting een vigor130 gaat voor mijn internetverbinding (vlans en pppoe afgehandeld op de mikrotik) en ik wil poort 5 als trunk configureren richting een TL-SG108E.

In de TP link wordt al gebruik gemaakt van vlan's omdat ik in het verleden een sophos sg router/firewall virtueel heb gedraaid, echter werd die performance steeds slechter en heb ik dus 1,5 jaar geleden de hexs gekocht. In de TP-link is het volgende aanwezig:
vlan 1 - default vlan - niet gebruikt
vlan 3 - LAN vlan - alle poorten behalve poort 1 untagged, poort 1 is tagged
vlan10 - guest vlan - op dit moment alleen poort 1 tagged, in de toekomst komt hier een 2de en misschien 3de poort bij waar de accesspoints aan zitten.

vlan 10 en vlan 3 zijn ook aangemaakt in de mikrotik op poort 5 en vlan 3 is hierbij in bridge-private gestopt zodat het volgens mij volledig transparant is. Echter wanneer ik nu de switch koppel met de mikrotik op de trunk poorten (1 switch 5 mikrotik) kan ik vanaf de mikrotik de switch niet pingen op zijn ip adres 172.25.22.3 vanaf een laptop verbonden aan de mikrotik met ook een 172.25.22. adres.

Wie kan er mij een duw in de juiste richting geven? Ik weet het niet meer....

Config van de mikrotik met de meest gevoelige info eruit:

code:

# may/30/2020 14:57:58 by RouterOS 6.46.6

/interface bridge
add igmp-snooping=yes name=bridge-private
add name=bridge-vlan10
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 name=ether1-gateway
set [ find default-name=ether5 ] name=ether5-trunk
/interface vlan
add interface=ether1-gateway name=vlan1.4 vlan-id=4
add interface=ether1-gateway name=vlan1.6 vlan-id=6
add interface=ether5-trunk name=vlan3 use-service-tag=yes vlan-id=3
add interface=ether5-trunk name=vlan10 use-service-tag=yes vlan-id=10
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
    keepalive-timeout=40 name=pppoe user=xs4all
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=Guest
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'172.25.22.255'"
add code=66 name=server-name value="'172.25.22.190'"
add code=67 name=bootfile value="'pxelinux.0'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
add name=pxe options=bootfile,server-name
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-192,aes-128,3des
add dh-group=modp1024 enc-algorithm=aes-192 name=Voorst nat-traversal=no
/ip ipsec peer
add address=145.53.111.229/32 name=peer3 profile=Voorst
/ip ipsec proposal
add enc-algorithms=aes-128-cbc lifetime=2h30m name=Voorst
/ip pool
add name=dhcp ranges=172.25.22.20-172.25.22.100
add name=vpn-pool ranges=10.54.2.10-10.54.2.20
add name=dhcp_pool5 ranges=192.168.10.10-192.168.10.200
add name=dhcp_pool-vlan10 ranges=10.0.0.10-10.0.0.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-private lease-time=8h10m \
    name=defconf
add address-pool=dhcp_pool-vlan10 disabled=no interface=bridge-vlan10 name=\
    dhcp-vlan10
/ppp profile
add dns-server=10.54.2.1 local-address=10.54.2.1 name=vpn-profile \
    remote-address=vpn-pool use-encryption=yes
/routing bgp instance
set default disabled=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge-private interface=ether2
add bridge=bridge-private interface=ether3
add bridge=bridge-private interface=ether4
add bridge=bridge-private interface=vlan3
add bridge=bridge-vlan10 interface=vlan10
/ip firewall connection tracking
set udp-stream-timeout=6m udp-timeout=5m40s
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1-gateway list=WAN
add interface=pppoe list=WAN
add interface=vlan1.4 list=WAN
add interface=vlan1.6 list=WAN
add interface=bridge-private list=LAN
/interface ovpn-server server
set auth=sha1 certificate=server-certificate cipher=aes128,aes192,aes256 \
    default-profile=vpn-profile enabled=yes require-client-certificate=yes
/ip address
add address=172.25.22.1/24 comment=defconf interface=bridge-private network=\
    172.25.22.0
add address=192.168.1.4/24 interface=ether1-gateway network=192.168.1.0
add address=10.0.0.254/24 interface=bridge-vlan10 network=10.0.0.0
/ip dhcp-client
add add-default-route=no interface=ether1-gateway use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=special-classless dhcp-options=\
    clientid,hostname,option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=172.25.22.190 allow-dual-stack-queue=no comment=NAS mac-address=\
    D0:50:99:82:B5:1F server=defconf
add address=172.25.22.183 allow-dual-stack-queue=no comment=Download \
    mac-address=00:0C:29:9E:85:CF server=defconf
add address=172.25.22.185 allow-dual-stack-queue=no comment=HTPC mac-address=\
    BC:5F:F4:D7:AC:AE server=defconf
add address=172.25.22.184 allow-dual-stack-queue=no comment=OpenHAB \
    mac-address=00:0C:29:E5:BC:93 server=defconf
add address=172.25.22.120 allow-dual-stack-queue=no comment=PS4 mac-address=\
    BC:60:A7:73:B5:D0 server=defconf
add address=172.25.22.150 allow-dual-stack-queue=no comment=Printer \
    mac-address=00:25:36:D6:E8:6C server=defconf
add address=172.25.22.187 allow-dual-stack-queue=no comment=Telefooncentrale \
    mac-address=00:0C:29:D8:9F:84 server=defconf
add address=172.25.22.188 allow-dual-stack-queue=no comment=Unify \
    mac-address=00:0C:29:D7:5E:C8 server=defconf
add address=172.25.22.180 allow-dual-stack-queue=no comment=Webserver \
    mac-address=00:0C:29:A5:BB:60 server=defconf
add address=172.25.22.181 comment=Versterker mac-address=00:09:B0:DA:17:8F \
    server=defconf
add address=172.25.22.126 comment="Chromecast slaapkamer" mac-address=\
    7C:2E:BD:15:3B:E3 server=defconf
add address=172.25.22.125 comment="Chromecast woonkamer" mac-address=\
    3C:8D:20:FC:60:AF server=defconf
add address=172.25.22.170 client-id=1:0:b:82:ec:88:c1 comment=Telefoon \
    mac-address=00:0B:82:EC:88:C1 server=defconf
add address=172.25.22.130 client-id=1:fc:3:9f:a9:3b:38 comment="TV Woonkamer" \
    mac-address=FC:03:9F:A9:3B:38 server=defconf
add address=172.25.22.210 comment=OTGW mac-address=D8:B0:4C:B0:D7:EB server=\
    defconf
add address=172.25.22.127 client-id=1:0:18:dd:41:f:8f comment=HDHomeRun \
    mac-address=00:18:DD:41:0F:8F server=defconf
add address=172.25.22.40 mac-address=00:0C:29:09:3E:51 server=defconf
add address=172.25.22.182 comment=FireFly-3 mac-address=00:0C:29:10:F4:81 \
    server=defconf
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.0.254
add address=172.25.22.0/24 comment=defconf dhcp-option-set=IPTV domain=\
    flat.lan gateway=172.25.22.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,1.0.0.1
/ip dns static
add address=172.25.22.1 name=router.lan
add address=172.25.22.1 name=router.flat.lan
/ip firewall filter
add action=drop chain=forward comment="Drop all traffic from TV" src-address=\
    172.25.22.130
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=accept chain=input comment="Allow traffic from Voorst" \
    dst-address=172.25.22.0/24 src-address=172.25.2.0/24
add action=accept chain=input comment="Allow traffic to Voorst" dst-address=\
    172.25.2.0/24 src-address=172.25.22.0/24
add action=accept chain=input comment="Allow traffic from OpenVPN" \
    dst-address=172.25.22.0/24 src-address=10.54.2.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
    icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
    icmp-port-unreachable
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\
    172.25.22.0/24 src-address=172.25.22.0/24
add action=dst-nat chain=dstnat comment=Torrent dst-address-type="" dst-port=\
    51413 in-interface=pppoe protocol=tcp to-addresses=172.25.22.183
add action=dst-nat chain=dstnat comment=Torrent2 dst-port=51414 in-interface=\
    pppoe protocol=tcp to-addresses=172.25.22.183
add action=dst-nat chain=dstnat comment=Website dst-address=83.160.55.132 \
    dst-address-list="" dst-port=80,443 protocol=tcp to-addresses=\
    172.25.22.180
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 in-interface=\
    pppoe protocol=tcp to-addresses=172.25.22.190
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes
/ip ipsec identity
add my-id=address:x.x.x.x peer=peer3
/ip ipsec policy
add dst-address=172.25.2.0/24 peer=peer3 proposal=Voorst sa-dst-address=\
     sa-src-address= src-address=172.25.22.0/24 \
    tunnel=yes
/ip service
set www disabled=yes
set winbox address=172.25.22.0/24,10.54.2.0/24
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=pppoe type=external
/ppp secret
add name=rick profile=vpn-profile
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=bridge-private
/system clock
set time-zone-name=Europe/Amsterdam

zondag 31 mei 2020 10:57

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Twee dingen:

UPnP...brrrr....
Lees eens de wiki van MikroTik, die heeft mij in ieder geval enorm geholpen: https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table

Eerst het probleem, dan de oplossing

zondag 31 mei 2020 12:07

Acties:

0 Henk 'm!

biertjuh?

lier schreef op zondag 31 mei 2020 @ 10:57:
Twee dingen:
UPnP...brrrr....
Lees eens de wiki van MikroTik, die heeft mij in ieder geval enorm geholpen: https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table

Dank voor opmerking over UPnP, ik had helemaal niet door dat ie nog aan stond.

Uiteindelijk had ik zonet, voordat ik je opmerking zag nog een heldere ingeving, use-service-tag uitzetten. Die stond nog aan.
Die uitgezet en ik heb nog verbinding en krijg op het gasten vlan nu een ip adres vanuit de gasten pool.
Nu de firewall regels maken om ervoor te zorgen dat gasten niet bij het interne netwerk kunnen en klaar ben ik volgens mij.

maandag 1 juni 2020 15:11

Acties:

0 Henk 'm!

Vaenir

Kan iemand deze netwerk noob in de juiste richting sturen? Ik heb een Mikrotik Hex S waarvan ik 1 ethernet port op een aparte vlan wil hangen. Hier draait een Unraid server met daarop Nextcloud die ik graag apart wil van mijn overige netwerk.

Als ik via Winbox een VLAN aanmaak begint de twijfel al. Moet ik daar de interface op mijn bridge zetten of op de ethernet port welke ik expliciet voor die vlan wil?

Op youtube kom ik 90% van de tijd alleen maar Hindi video's tegen en met de meeste guides krijg ik het ook niet werkend..

maandag 1 juni 2020 17:39

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Dan heb je helemaal geen vlan nodig, maar een firewall. Enige dat je daarvoor even moet regelen is dat de betrokken interfaces niet gebridget worden maar gerouteerd, zodat je firewall van toepassing is.

Haal de desbetreffende poort uit de bestaande LAN bridge, maak een nieuwe bridge aan (met eigen adres, DHCP, etc.) en stop de port daarin. Vervolgens kun je in de firewall regelen wat er wel/niet geforward mag worden tussen je 2 LAN bridges.

dinsdag 2 juni 2020 08:04

Acties:

0 Henk 'm!

casemodder

--->

Thralas schreef op vrijdag 29 mei 2020 @ 12:12:
Je hebt inderdaad enorm veel packet loss op je multicast streams. Zie Telephony -> RTP -> RTP Streams voor een handig overzicht.

[Afbeelding]

De totalen zijn onbetrouwbaar omdat er mogelijk even weggezapt is, dat telt hij ook als loss

Je lijkt te capturen op een Windowsmachine - daarmee pik je alleen multicastverkeer op; ik zie bijvoorbeeld geen unicast van/naar de STB (nu niet zo'n ramp, maar in principe is een mirror port of packet-sniffer de juiste manier, daar had ik al wat hints over gegeven).

Maarrr, het feit dat je uberhaupt multicast IPTV traffic daar ziet betekent dat je het naar alle poorten van de switch flood omdat je geen IGMP snooping doet.

Als een setup (for whatever reason) werkt zonder snooping is dat mooi meegenomen, maar het veroorzaakt enorm veel potentiële ellende vwb. de betrouwbaarheid van je streams. Daar heb je blijkbaar problemen mee: dus je moet IGMP snoopen.

Zonder snooping zorgt één congested switchport er al voor dat je multicastverkeer op alle andere poorten ook begint te droppen is mijn ervaring (zet één port maar eens op 10Mb..).

In een eerdere post schreef je dat het helemaal niet werkte met snooping: dan is dat een ander (oplosbaar) probleem. In dat geval waarschijnlijk wel iets met IGMP: ook weer even een capture maken (met port mirror of packet sniffer) of als alternatief igmp logging aanzetten op de MikroTik (dan krijg je een boel debug output).

Helaas lukt het me niet om een port te mirroren, geprobeerd volgens onderstaand
https://www.wirelessinfo.be/mikrotik-port-mirroring/

Ik krijg de melding port mirror not supported

Ik snap dat ik je nu zonder degelijke info stel maar heb je misschien nog een andere tip waardoor de packet loss op kan treden?

Voor IPTV heb ik dus een appart VLAN van 4 poortjes zodat ik IGMP snooping niet nodig heb.
In deze VLAN zitten de uplink vanuit PFsense en 3x STB

Bedankt voor je moeite nogmaals $_/-\o_$

Ik zal proberen of ik de packet sniffer werkend krijg

Server: Intel Xeon E5 1620v3--Gigabyte X99 sli--128GB ecc--Samsung evo 960 250GB--Samsung evo 970plus 1TB--5x Seagate barracuda 2TB raid6--PSU Coolermaster 1000M--3Ware 9650SE-8LPML

dinsdag 2 juni 2020 10:30

Acties:

0 Henk 'm!

MerijnB

ik222 schreef op donderdag 28 mei 2020 @ 16:50:
[...]
Het hele probleem is namelijk dat als je een destination NAT regel maakt hiervoor het source adres niet veranderd. Dus je gaat verkeer vanuit je eigen aansluiting terug het internet op sturen met nog steeds het originele source IP. En dat werkt dus niet.

Oh ja natuurlijk, omdat je niet een subnet ingaat (en dus niet per definitie door de zelfde gateway weer naar buiten gaat) moet het source IP veranderd worden.

Om dat op te lossen moet je dus een soort proxy maken (kan ook een raw socket zijn) die het verkeer opnieuw verstuurd naar de bestemming met je eigen source IP en die het antwoord wat hij krijgt weer terugstuurt maar de originele afzender.

Dat heb ik nu inderdaad gedaan, maar ik had gehoopt op de eindbestemming het originele source ip nog te hebben

Maar misschien moeten we even een stap terug, welk probleem probeer je precies op te lossen? Misschien is het handiger om van daaruit mee te denken.

Ik heb in een datacentrum servers staan die ik aan het migreren ben naar een VPS. Deze VPS zal (uiteindelijk) het IP blok overnemen wat wij nu zelf aan onze firewall voor deze servers hebben hangen. Zolang dit IP blok nog niet over is zoek ik een manier om gefasseerd servers te migreren. Dus ik wil één van de servers migreren naar een VPS, dan de inkomende verbindingen op het IP van die server routeren naar de VPS (zodat dezelfde server, op hetzelfde IP vanaf buiten bereikbaar blijft). Vandaar dit idee. De data hoeft dus niet eens naar buiten, maar blijft binnen het datacenter.

nescafe schreef op donderdag 28 mei 2020 @ 17:28:
@MerijnB tcp connection redirection als volgt:
code:
1
2
3
4
/ip firewall nat
add action=dst-nat chain=dstnat dst-address-type=local dst-port=1234 protocol=tcp \
  src-address=5.6.7.8/24 to-addresses=1.2.3.4
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
Regel 2 (srcnat) is standaard aanwezig in default config.

Je kunt deze regel zo nodig van een IP-adres (dst) voorzien of gebruik maken van connection marking om het srcnatten te beperken tot het bestemmingsadres dan wel specifiek deze connecties.

Ik heb dit geprobeerd, maar krijg het in mijn (thuis)situatie nog niet werkend, ik ga hier nog wel even verder mee spelen.

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 2 juni 2020 16:32

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

casemodder schreef op dinsdag 2 juni 2020 @ 08:04:
Ik krijg de melding port mirror not supported

Interessant. Op de forums iemand met hetzelfde beklag. Aangenomen dat je het niet tussen mgmt port en een switchpoort probeert zou dat toch moeten werken. In ieder geval niet gedocumenteerd, kun je eventueel een ticket over inschieten (ze antwoorden vrij goed).

Voor IPTV heb ik dus een appart VLAN van 4 poortjes zodat ik IGMP snooping niet nodig heb.
In deze VLAN zitten de uplink vanuit PFsense en 3x STB

Dan nog. Als het problemen oplevert kun je het 't beste niet forwarden naar poorten waar het niet thuishoort (dus ook een STB die niet op die stream zit te wachten).

Ik zal proberen of ik de packet sniffer werkend krijg

Als snooping niet werkt en je krijgt het debuggen niet voor elkaar zou je ook nog even kunnen checken (gewoon met Winbox in de interfacelijst op basis van traffic rate) welke poorten de streams allemaal ontvangen, en ze selectief disablen om te zien of dat helpt.

dinsdag 2 juni 2020 22:07

Acties:

0 Henk 'm!

XoReP

6.47 is uit!
Vooral DNS heeft wat nieuwe features (diverse soorten DNS records nu ondersteund als static en DNS over HTTPS)

https://mikrotik.com/download

code:

What's new in 6.47 (2020-Jun-02 07:38):

Important note!!!

- The Dude server must be updated to monitor v6.46.4 and v6.47beta30+ RouterOS type devices.
- The Dude client must be manually upgraded after upgrading The Dude server.
- The Dude requires "winbox" policy instead of "dude" to monitor v6.46.4 and v6.47beta30+ RouterOS type devices.
- Make sure LTE APN Profile name does not match any of the DHCP server's names if LTE passthrough is used.

MAJOR CHANGES IN v6.47:
----------------------
!) dns - added client side support for DNS over HTTPS (DoH) (RFC8484);
!) socks - added support for SOCKS5 (RFC 1928);
!) user - enable "winbox" policy for groups with "dude" policy automatically on upgrade;
----------------------

Changes in this release:

*) api - added ECDHE cipher support for "api-ssl" service;
*) bonding - improved slave interface MAC address handling;
*) bonding - prefer primary slave MAC address for bonding interface;
*) branding - do not ask to confirm configuration applied from branding package;
*) branding - fixed identity setting from branding package;
*) branding - improved branding package installation process when another branding package is already installed;
*) bridge - added logging debug message when a host MAC address is learned on a different bridge port;
*) bridge - added warning message when a bridge port gets dynamically added to VLAN range;
*) bridge - correctly remove disabled MSTI;
*) bridge - improved hardware offloading enabling/disabling;
*) certificate - added "skid" and "akid" values for detailed print;
*) certificate - allow dynamic CRL removal;
*) certificate - disabled CRL usage by default;
*) certificate - do not use SSL for first CRL update;
*) chr - added support for file system quiescing;
*) chr - added support for hardware watchdog on ESXI;
*) chr - enabled support for VMBus protocol version 4.1;
*) chr - improved system stability when running CHR on Hyper-V;
*) crs3xx - correctly remove switch rules on CRS317-1G-16S+ and CRS309-1G-8S+ devices;
*) crs3xx - fixed "ingress-rate" property on CRS309-1G-8S+, CRS312-4C+8XG, CRS326-24S+2Q+ devices;
*) crs3xx - fixed hardware offloaded bonding on Ethernet interfaces for CRS354 devices;
*) crs3xx - improved 10G interface initialization on CRS312 devices;
*) crs3xx - improved switch host table updating;
*) crs3xx - show correct switch model for netPower 15FR device;
*) defconf - fixed default configuration initialization if power loss occurred during the process;
*) dhcpv4 - added end option (255) validation for both server and client;
*) dhcpv4-client - improved stability when changing client while still receiving advertisements;
*) dhcpv4-server - disallow zero lease-time setting;
*) dhcpv6-client - improved error logging when when renewed address differs;
*) dhcpv6-server - do not require "server" parameter for bindings;
*) dhcpv6-server - fixed MAC address retrieving from DUID when timestamp is present;
*) discovery - do not send discovery packets on inactive bonding slave interfaces;
*) discovery - do not send discovery packets on interfaces that are blocked by STP;
*) disk - improved disk management service stability when receiving bogus packets;
*) disk - improved recently created file survival after reboots;
*) dns - added support for exclusive dynamic DNS server usage from IPsec;
*) dns - added support for forwarding DNS queries of static entries to specific server;
*) dns - added support for multiple type static entries;
*) dot1x - added "radius-mac-format" parameter;
*) dot1x - added hex value support for RADIUS switch rules;
*) dot1x - added range "dst-port" support for RADIUS switch rules;
*) dot1x - added support for lower case "mac-auth" RADIUS formats;
*) dot1x - fixed "reject-vlan-id" value range;
*) dot1x - fixed dynamically created switch rule removal when client disconnects;
*) dot1x - fixed port blocking when interface changes state from disabled to enabled;
*) dot1x - improved Dot1X service stability when receiving bogus packets;
*) dot1x - improved debug logging output to "dot1x" topic;
*) dot1x - improved value validation for dynamically created switch rules;
*) email - added support for multiple "to" recipients;
*) ethernet - fixed interface stopping responding after blink command execution on CCR2004-1G-12S+2XS;
*) fetch - fixed "User-Agent" usage if provided by "http-header-field";
*) graphing - improved graphing service stability when receiving bogus packets;
*) health - added "gauges" submenu with SNMP OID reporting;
*) health - improved stability for system health monitor on CCR2004-1G-12S+2XS;
*) hotspot - updated splash page design ('/ip hotspot reset-html' required);
*) ike1 - added error message when specifying "my-id" for XAuth identity;
*) ike1 - added support for "UNITY_DEF_DOMAIN" and "UNITY_SPLITDNS_NAME" payload attributes;
*) ike1 - do not try to keep phase 2 when purging phase 1;
*) ike1 - improved policy lookup with specific protocol;
*) ike1 - improved stability when performing policy lookup on non-existant peer;
*) ike2 - added support for "INTERNAL_DNS_DOMAIN" payload attribute;
*) ike2 - added support for RADIUS Disconnect-Request message handling;
*) ike2 - added support for RFC8598;
*) ike2 - allow initiator address change before authentication;
*) ike2 - fixed authentication handling when initiator disconnects before RADIUS response;
*) interface - improved system stability when receiving bogus packets;
*) interface - increased loopback interface MTU to 65536;
*) ipsec - added "split-dns" parameter support for mode configuration;
*) ipsec - added "use-responder-dns" parameter support;
*) ipsec - allow specifying two peers for a single policy for failover;
*) ipsec - control CRL validation with global "use-crl" setting;
*) ipsec - do full certificate validation for identities with explicit certificate;
*) ipsec - fixed minor spelling mistake in logs;
*) ipsec - improved IPsec service stability when receiving bogus packets;
*) ipsec - place dynamically created IPsec policies by L2TP client at the begining of the table;
*) kidcontrol - ignore IPv6 multicast MAC addresses;
*) l2tp - added "src-address" parameter for L2TP client;
*) l2tp - added "use-peer-dns" parameter for L2TP client;
*) l2tp - improved dynamically created IPsec configuration updating;
*) l2tp - use L2TP interface when adding dynamic IPsec peer;
*) lcd - fixed LCD service becoming unavailable on devices without LCD screen;
*) lcd - improved general system stability when LCD is not present;
*) led - fixed minor typo in LED warning message;
*) log - added logging entry when changing user's password;
*) log - added tunnel endpoint address to establishment and disconnect logging entries;
*) log - made startup script failures log as critical errors;
*) lte - added support for Huawei K5161 modem;
*) lte - added support for NEOWAY N720;
*) lte - added support for multiple passthrough APN configuration;
*) lte - do not allow running "scan" on R11e-4G;
*) lte - fixed "allow-roaming" setting when using LTE network mode on R11e-LTE;
*) lte - fixed "band" parameter persistence after disable/enable;
*) lte - fixed "ecno" and "rscp" value reporting on R11e-LTE6;
*) lte - fixed VLAN interface passthrough support;
*) lte - fixed multiple APN reactivation after deactivation by operator;
*) lte - improved stability during firmware upgrade;
*) lte - made "mac-address" parameter read-only;
*) lte - show "phy-cellid" value only in LTE mode;
*) netinstall - removed "Flashfig" from Netinstall;
*) netinstall - removed "Make Floppy" from Netinstall;
*) netinstall - signed netinstall.exe with Digital Signature;
*) netwatch - improved Netwatch service stability when invalid configuration values are passed;
*) ovpn - added "use-peer-dns" parameter for OVPN client;
*) port - removed serial console port on hEX S;
*) ppp - added "Acct-Session-Id" attribute to "Access-Request" messages;
*) ppp - added support for ZTE MF90;
*) ppp - fixed minor typo when running "info" command;
*) ppp - removed "comment", "set" and "edit" commands from "PPP->Active" menu;
*) pptp - added "use-peer-dns" parameter for PPTP client;
*) profile - added support for CCR2004-1G-12S+2XS;
*) proxy - increased minimal free RAM that can not be used for proxy services;
*) qsfp - added support for FEC mode (fec74), with the FEC mode disabled by default;
*) quickset - do not show "SINR" field in Quick Set when there is no data;
*) quickset - fixed invalid configuration applying when performing changes during LTE modem initialization process;
*) quickset - removed "EARFCN" field from Quick Set;
*) quickset - removed "LTE band" setting from Quick Set;
*) quickset - show "Antenna Gain" setting on devices without built-in antennas;
*) quickset - use "station-wds" mode when connecting to AP with RouterOS flag;
*) route - improved system stability after reboot with large amount of VLAN interfaces with PPPoE servers attached;
*) routerboard - added "hold-time" parameter to mode-button menu;
*) routerboard - added "reset-button" menu - custom command execution with reset button;
*) routing - improved IGMP-Proxy service stability when receiving bogus packets;
*) routing - improved routing service stability when receiving bogus packets;
*) sfp28 - added support for FEC modes (fec74 and fec91), with fec91 mode already enabled by default;
*) sniffer - allow setting port for "streaming-server";
*) snmp - added "dot1qTpFdbTable" OID reporting for Q-BRIDGE-MIB;
*) snmp - changed "upsEstimatedMinutesRemaining" reported value from seconds to minutes;
*) snmp - fixed "dot1dBasePort" index offset for BRIDGE-MIB;
*) snmp - improved OID policy checking and error reporting on "set" command;
*) snmp - improved stability when polling MAC address related OID;
*) ssh - improved SSH service stability when receiving bogus packets;
*) supout - added "dot1x" section to supout files;
*) supout - improved UPS information reporting;
*) switch - correctly display switch statistics when all switch ports are disabled on RTL8367 switch chip;
*) switch - correctly enable and disable CPU Flow Control on RB3011UiAS;
*) switch - made "auto" the default value for "vlan-id" parameter when creating a new static host entry;
*) system - correctly handle Generic Receive Offloading (GRO) for MPLS traffic;
*) system - improved driver loading speed on startup;
*) tr069-client - added LTE firmware update functionality support;
*) tr069-client - added additional LTE information parameters;
*) tr069-client - added additional wireless registration table parameters;
*) tr069-client - added interface type parameter support;
*) tr069-client - added multiple simultaneous session support for diagnostics test;
*) tr069-client - added total connection tracking entries parameter;
*) tr069-client - removed warning log message when not using HTTPS;
*) traffic-flow - added "postDestinationMacAddress" parameter support for IPFIX and NetFlow v9;
*) upgrade - fixed space handling in package file names;
*) ups - added battery info for APC SmartUPS 2200;
*) ups - improved compatibility with APC Smart UPS 1000 and 1500;
*) user - improved user management service stability when receiving bogus packets;
*) w60g - fixed link status logging;
*) w60g - improved rate selection in low traffic conditions;
*) w60g - use "arp" and "mtu" parameters from master interface when creating a new station;
*) webfig - fixed 5 GHz wireless interface "frequency" parameter value list on Audience;
*) webfig - fixed WinBox download link;
*) webfig - fixed skin usage from branding package;
*) webfig - updated icon design;
*) winbox - added "Rate" parameter for switch ACL rules;
*) winbox - added "auth-info" parameter under "Dot1X->Active" menu;
*) winbox - added "auth-types", "comment", "mac-auth-mode" and "reject-vlan-id" parameters for Dot1X server;
*) winbox - added "auto-erase" option to "Tool/SMS" menu;
*) winbox - added "bus" parameter for "USB Power Reset" command on NetMetal ac^2;
*) winbox - added "bus" parameter for "USB Power Reset" command on RBM33G;
*) winbox - added "comment" parameter and "dynamic" flag support under "Switch->Rule" table;
*) winbox - added "comment" parameter for Dot1X client;
*) winbox - added "region" parameter for W60G interfaces;
*) winbox - added "skip-dfs-channels" parameter to wireless interface menu;
*) winbox - added comment support for "Switch->VLAN" menu;
*) winbox - added enable and disable buttons for "MPLS->MPLS Interface" table;
*) winbox - added support for inline bar graphs for LTE signal values;
*) winbox - aligned all "IP->Traffic Flow->IPFIX" check boxes in single line (WinBox v3.22 required);
*) winbox - allow setting "Primary" parameter for "balance-tlb" bonding interfaces;
*) winbox - allow to specify any Ethernet like interface under "Tool/WoL" menu;
*) winbox - do not allow to enter empty strings in "caps-man-names" and "common-name" parameters;
*) winbox - fixed "BGP Origin" value display under "IPv6->Routes" menu;
*) winbox - fixed "Data Rate" checkbox alignment (WinBox v3.22 required);
*) winbox - fixed "Tx/Rx Signal Strength" value presence for 4 chain interfaces;
*) winbox - fixed WDS usage when connecting to RouterOS access point using QuickSet;
*) winbox - fixed bonding type interface support for "Switch->Host" table;
*) winbox - fixed dates and times in interface link up/down properties (WinBox v3.24 required);
*) winbox - fixed wireless interface "HT" tab setting presence when "band=5ghz-n/ac";
*) winbox - fixed wireless sniffer parameter setting;
*) winbox - limit number of simultaneous WinBox sessions to 5 for users without "write" permission;
*) winbox - made "yes" the default value for "Inject Summary LSAs" parameter when creating a new NSSA or STUB area;
*) winbox - removed duplicate "join-eui", "dev-eui", "counter", "chain", "size" and "payload" parameters under "LoRa/Traffic";
*) winbox - renamed "Routerboard" to "RouterBOARD" under "System/RouterBOARD" menu;
*) winbox - show "Hardware Offload" parameter for bonding interfaces;
*) winbox - updated icon design;
*) wireless - added "russia 6ghz" regulatory domain information;
*) wireless - enabled unicast flood for DHCP traffic on ARM architecture access points;
*) wireless - fixed Nstreme wireless protocol performance decrease;
*) wireless - improved management service stability when receiving bogus packets;
*) wireless - updated "egypt" regulatory domain information;
*) wireless - updated "russia4" regulatory domain information;
*) www - added "tls-version" parameter in "IP->Services" menu;

dinsdag 2 juni 2020 22:16

Acties:

0 Henk 'm!

ik222

MerijnB schreef op dinsdag 2 juni 2020 @ 10:30:
[...]

Oh ja natuurlijk, omdat je niet een subnet ingaat (en dus niet per definitie door de zelfde gateway weer naar buiten gaat) moet het source IP veranderd worden.

[...]

Dat heb ik nu inderdaad gedaan, maar ik had gehoopt op de eindbestemming het originele source ip nog te hebben

[...]

Ik heb in een datacentrum servers staan die ik aan het migreren ben naar een VPS. Deze VPS zal (uiteindelijk) het IP blok overnemen wat wij nu zelf aan onze firewall voor deze servers hebben hangen. Zolang dit IP blok nog niet over is zoek ik een manier om gefasseerd servers te migreren. Dus ik wil één van de servers migreren naar een VPS, dan de inkomende verbindingen op het IP van die server routeren naar de VPS (zodat dezelfde server, op hetzelfde IP vanaf buiten bereikbaar blijft). Vandaar dit idee. De data hoeft dus niet eens naar buiten, maar blijft binnen het datacenter.

[...]

Ik heb dit geprobeerd, maar krijg het in mijn (thuis)situatie nog niet werkend, ik ga hier nog wel even verder mee spelen.

Ik zie geen mogelijkheid om dit te laten werken en het source adres te behouden. Probleem is namelijk dat je dan altijd spoofing gaat doen en dat hoort een goede provider simpelweg ook te blokkeren.

Als het HTTP verkeer is zou je dat originele source IP uiteraard wel middels de X-Forward-For header door kunnen geven aan je achterliggende webserver / applicatie.

dinsdag 2 juni 2020 23:12

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

XoReP schreef op dinsdag 2 juni 2020 @ 22:07:
6.47 is uit!

Interessant!

Niet zozeer vanwege de features van 6.47, maar de oplettende lezer was al opgevallen:

Dat de Chateau LTE12 met 7.06b van de band komt rollen
Dat men heeft toegezegd Wireguard te zullen integreren

Ik ben benieuwd wat er volgt: 7.07b of 6.48b. Lijkt me niet dat 7.00 al stabiel genoeg is om te stoppen met de 6.xx branch, maar die v7 release vanuit de factory doet toch vermoeden dat ze er wel wat vertrouwen in hebben en er wel weer een v7 release vanaf kan.

En ik vermoed dat Wireguard al in de 7.00 tree zit (en men daarom toegaf dat het eraankomt). Laatste officiële beta (7.05) is uit februari..

vrijdag 5 juni 2020 14:37

Acties:

0 Henk 'm!

Snippo

Ik schakel de hulplijn in.

Ik ben bezig om een netwerk op te zetten met een prive en gast wifi netwerk via capsman. De prive wifi op de standaard bridge werkt prima, echter de gast wifi op een andere bridge krijg ik met geen mogelijkheid aan de gang.
Verbinding maken met de CAP lukt, en er komt netjes een IP adres van de DHCP server, maar zelfs de gateway pingen lukt niet. Thuis heb ik vrijwel hetzelfde opgezet en dat werkt wel gewoon, dus ik zie zo snel niet waar de fout zit. Iemand een idee?

code:

jun/05/2020 14:27:16 system,error,critical login failure for user admin from 192.168.88.205 via web
[admin@MikroTik] > /export 
# jun/05/2020 14:27:28 by RouterOS 6.47
# software id = 0KU6-2EGD
#
# model = 951G-2HnD
# serial number = 469902C42B25
/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=1
add band=2ghz-b/g/n frequency=2437 name=6
add band=2ghz-b/g/n frequency=2467 name=12
/interface bridge
add fast-forward=no name=Gasten
add admin-mac=D4:CA:6D:E3:83:8B auto-mac=no comment=defconf name=bridge
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(17dBm), SSID: PriveWifi, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-E3838F wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-Voorhuis
set [ find default-name=ether5 ] name=ether5-Schuur
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=Prive
add bridge=Gasten local-forwarding=yes name=Gasten
/caps-man security
add authentication-types=wpa2-psk name=PriveWifi passphrase=geheim
add authentication-types=wpa2-psk name=GastWifi passphrase=geheim
/caps-man configuration
add channel=1 country=netherlands datapath=Prive datapath.bridge=bridge installation=any mode=ap name=Prive security=PriveWifi ssid=PriveWifi
add channel=12 country=netherlands datapath=Gasten datapath.bridge=Gasten installation=any mode=ap name=Gasten security=GastWifi ssid=GastWifi
/caps-man interface
add channel=1 configuration=Prive datapath=Prive disabled=no mac-address=00:00:00:00:00:00 master-interface=none name=cap1 radio-mac=00:00:00:00:00:00 radio-name="" security=PriveWifi security.authentication-types=wpa2-psk \
    security.passphrase=geheim
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=gasten ranges=10.0.0.10-10.0.0.250
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=gasten authoritative=after-2sec-delay disabled=no interface=Gasten name=server1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Prive slave-configurations=Gasten
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-Voorhuis
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5-Schuur
add bridge=bridge comment=defconf interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-WAN list=WAN
/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.0.0.1 interface=Gasten network=10.0.0.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1-WAN
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=1.1.1.1,1.1.0.0 gateway=10.0.0.1 netmask=24
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1,1.1.1.1,1.1.0.0 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.1.0.0
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
add action=drop chain=forward dst-address=192.168.88.0/24 src-address=192.168.10.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat src-address=10.0.0.0/24
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

vrijdag 5 juni 2020 14:40

Acties:

0 Henk 'm!

nescafe

Wifi

code:

1 2	/ip address add address=10.0.0.1 interface=Gasten network=10.0.0.0

Is gelijk aan 10.0.0.1/32. Je moet het subnet benoemen net als bij je lan-adres (/24).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 5 juni 2020 19:51

Acties:

0 Henk 'm!

starpc

help.
ik heb nu 6.47 op de router staan. en somige websites laten me niet meer toe

Access Denied
You don't have permission to access "http://www.jumbo.com/" on this server.
Reference #18.5c21302.1591378706.3326e773

op de jumbo site. wie heeft dit ook. op 4g doet de site het wel.

vrijdag 5 juni 2020 19:57

Acties:

+1 Henk 'm!

Hmmbob

Op al je apparaten, of maar één?

Probeer eens https://www.jumbo.com (extra S)

Sometimes you need to plan for coincidence

vrijdag 5 juni 2020 20:07

Acties:

0 Henk 'm!

starpc

Hmmbob schreef op vrijdag 5 juni 2020 @ 19:57:
Op al je apparaten, of maar één?

Probeer eens https://www.jumbo.com (extra S)

bedankt voor je reactie
telefoon.
laptop
macbook

dus hele netwerk
dit is sinds de 6.47

[ Voor 4% gewijzigd door starpc op 05-06-2020 20:07 ]

vrijdag 5 juni 2020 20:07

Acties:

+1 Henk 'm!

Raymond P

@starpc Hoe ziet je ip6 firewall er nu uit?

- knip -

vrijdag 5 juni 2020 20:13

Acties:

0 Henk 'm!

starpc

Raymond P schreef op vrijdag 5 juni 2020 @ 20:07:
@starpc Hoe ziet je ip6 firewall er nu uit?

ik heb geen ipv6 config. iig niet aan

code:

# jun/05/2020 20:10:33 by RouterOS 6.47
# software id = K595-2MJ4
#
# model = RB4011iGS+5HacQ2HnD
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local
add name=bridge-tel
add name=gast
add name=smart-bridge
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="GLASS Connectie" \
    l2mtu=1598 loop-protect=off
set [ find default-name=ether2 ] comment="Slaapkamer Voor 1" l2mtu=1598
set [ find default-name=ether3 ] comment="Slaapkamer 1, achterkant"
set [ find default-name=ether4 ] comment="slaapkamer Voor 2. (voor zolder)"
set [ find default-name=ether5 ] comment="Slaapkamer 2 achter.  (logeer)"
set [ find default-name=ether6 ] comment="huis kamer"
set [ find default-name=ether10 ] comment=N510
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-Ce \
    country=no_country_set disabled=no frequency=5500 frequency-mode=\
    superchannel mac-address=B8:69:F4:D2:AA:9F mode=ap-bridge \
    multicast-helper=disabled name="wlan1 5G" radio-name=B869F4D2AA9F ssid=\
    "KPN 300N" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=5 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=netherlands disabled=no frequency=auto mode=ap-bridge \
    multicast-helper=disabled name="wlan2 2.4G" ssid="KPN 300N" \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set "wlan1 5G" enable-polling=no
set "wlan2 2.4G" enable-polling=no
/interface vlan
add interface=ether1 mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
add disabled=yes interface=ether1 loop-protect=off mtu=1594 name=vlan1.7 \
    vlan-id=7
add disabled=yes interface=ether1 name=vlan1.100 vlan-id=100
add interface=ether2 name=vlan2.100 vlan-id=100
add interface=ether6 name=vlan6.6 vlan-id=6
add disabled=yes interface=ether6 name=vlan6.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe user=\
    38-D8-2F-10-EC-73@internet
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
add exclude=all include=none name=gast2020
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys supplicant-identity=\
    MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name="gast wifi" \
    supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=smartwifi \
    supplicant-identity=""
/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
    BA:69:F4:B3:9C:F2 master-interface="wlan2 2.4G" multicast-buffering=\
    disabled name=gasten-wifi security-profile="gast wifi" ssid=gasten-wifi \
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no hide-ssid=yes keepalive-frames=disabled mac-address=\
    BA:69:F4:B3:9C:F3 master-interface="wlan2 2.4G" multicast-buffering=\
    disabled name=smart-wifi security-profile=smartwifi ssid=smart-wifi \
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=optie28 value="'192.168.10.255'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
add code=55 name=option55 value=0x01031c79
/ip hotspot profile
set [ find default=yes ] login-by=http-chap
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.10-192.168.10.99
add name=dhcp ranges=192.168.10.40-192.168.10.99
add name=dhcp_pool7 ranges=1.88.192.2-1.88.192.254
add name=dhcp_pool8 ranges=1.88.192.2-1.88.192.254
add name=dhcp_gast ranges=192.168.77.2-192.168.77.20
add name=dhcp-smart ranges=10.10.10.2-10.10.10.20
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no interface=bridge-local lease-time=\
    1h30m name=dhcp-thuis
add address-pool=dhcp_gast disabled=no interface=gast name=dhcp-gast
add address-pool=dhcp-smart disabled=no interface=smart-bridge name=smartDHCP
/ip hotspot user profile
set [ find default=yes ] address-pool=dhcp_gast
/ipv6 dhcp-server option
add code=23 name=mydns value=0x2a02a44841a2cd848df49bc77267
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add dhcpv6-pd-pool=::1 name=default-ipv6 only-one=yes use-compression=yes \
    use-upnp=no
/queue simple
add burst-limit=4M/6M burst-threshold=3M/5M burst-time=2m/2m dst=pppoe \
    max-limit=3M/5M name=gast packet-marks=no-mark target=gast
/queue type
add kind=pfifo name=queue1 pfifo-limit=10
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (smart-bridge) is not slave
add action=drop chain=forward in-interface=*24
# in/out-bridge-port matcher not possible when interface (smart-bridge) is not slave
add action=drop chain=forward out-interface=*24
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface="wlan1 5G"
add bridge=bridge-local interface="wlan2 2.4G"
add bridge=bridge-local hw=no interface=ether6
add bridge=bridge-local disabled=yes interface=*1A
add bridge=bridge-local disabled=yes interface=vlan6.6
add bridge=bridge-local interface=ether10
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan6.7
add bridge=bridge-iptv disabled=yes interface=vlan1.4
add bridge=bridge-local interface=vlan6.6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=gast interface=gasten-wifi
add bridge=bridge-local interface=smart-wifi
add bridge=bridge-local interface=vlan2.100
add bridge=bridge-local interface=vlan1.100
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
add comment=iptv interface=vlan1.4 list=WAN
add interface=vlan1.6 list=WAN
add interface=vlan1.7 list=WAN
add interface=pppoe list=WAN
add interface=gast list=gast2020
add interface=gasten-wifi list=gast2020
/ip address
add address=192.168.10.250/24 interface=ether2 network=192.168.10.0
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=192.168.77.1/24 interface=gasten-wifi network=192.168.77.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass disabled=no interface=vlan1.4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.15 client-id=1:70:56:81:9d:46:53 mac-address=\
    70:56:81:9D:46:53 server=dhcp-thuis
add address=192.168.10.10 client-id=1:3c:7:54:6f:82:95 mac-address=\
    3C:07:54:6F:82:95 server=dhcp-thuis
/ip dhcp-server network
add address=1.88.192.0/24 dns-none=yes gateway=1.88.192.1
add address=10.10.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.250 netmask=\
    24
add address=192.168.10.0/24 dns-server=1.1.1.1,8.8.4.4 domain=thuis.local \
    gateway=192.168.10.250
add address=192.168.77.0/24 dns-server=1.1.1.1 domain=gast.domein.nl gateway=\
    192.168.77.1 netmask=24 ntp-server=192.168.88.1,66.175.209.17
add address=192.168.100.0/24 gateway=192.168.100.150
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1
/ip firewall address-list
add address=1.2.3.4 list=VERTROUWD
add address=2.3.4.5 list=VERTROUWD
add address=192.168.77.0/24 list="Gast DHCP"
add address=ims.imscore.net disabled=yes list=sip
add address=192.168.10.0/24 disabled=yes list="home DHCP"
/ip firewall filter
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=input connection-state=established disabled=yes
add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
add action=accept chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=forward disabled=yes in-interface=!vlan1.6 protocol=\
    udp
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add action=accept chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=\
    192.168.77.0/24 src-address=192.168.10.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=\
    192.168.10.0/24 src-address=192.168.77.0/24
add action=accept chain=input comment="IGMP tbv IPTV" connection-state=new \
    dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="UDP tbv IPTV" connection-state=new \
    dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=udp
add action=accept chain=forward comment=WEB dst-address=192.168.10.0/24 \
    dst-port=80 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=torrent dst-address=192.168.10.0/24 \
    dst-port=3799 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=nasinterface dst-address=\
    192.168.10.0/24 dst-port=8080 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=VPN dst-address=192.168.10.220 \
    dst-port=51820 out-interface=bridge-local protocol=udp
add action=accept chain=forward comment="LAN verkeer mag overal naartoe" \
    connection-state=new in-interface=bridge-local src-address=\
    192.168.10.0/24
add action=accept chain=forward comment="Gasten alleen internet" \
    connection-state=new in-interface=gast out-interface=pppoe src-address=\
    192.168.77.0/24
add action=drop chain=forward
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment="LAN mag verbinden met de router" \
    connection-state=new in-interface=bridge-local src-address=\
    192.168.10.0/24
add action=drop chain=input
/ip firewall mangle
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 dst-port=5060 new-connection-mark=sip-connection \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=sip-connection disabled=\
    yes new-packet-mark=SIP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 log-prefix=RTP-Conn new-connection-mark=RTP-Connnection \
    passthrough=yes port=16384-32767 protocol=udp
add action=mark-connection chain=forward connection-mark=RTP-Connnection \
    disabled=yes new-connection-mark=RTP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 dst-port=5060 new-connection-mark=sip-connection \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=sip-connection disabled=\
    yes new-packet-mark=SIP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 log-prefix=RTP-Conn new-connection-mark=RTP-Connnection \
    passthrough=yes port=16384-32767 protocol=udp
add action=mark-connection chain=forward connection-mark=RTP-Connnection \
    disabled=yes new-connection-mark=RTP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 dst-port=5060 new-connection-mark=sip-connection \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=sip-connection disabled=\
    yes new-packet-mark=SIP passthrough=yes
add action=mark-connection chain=forward disabled=yes dst-address=\
    192.168.10.251 log-prefix=RTP-Conn new-connection-mark=RTP-Connnection \
    passthrough=yes port=16384-32767 protocol=udp
add action=mark-connection chain=forward connection-mark=RTP-Connnection \
    disabled=yes new-connection-mark=RTP passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32768 \
    protocol=udp to-addresses=192.168.10.251 to-ports=16384-32767
add action=dst-nat chain=dstnat comment=Torrent dst-address=WAN adress \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.10 to-ports=3799
add action=dst-nat chain=dstnat comment=server dst-address=WAN adress \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=dst-nat chain=dstnat comment=WEB dst-address=WAN adress \
    dst-port=80 protocol=tcp to-addresses=192.168.10.200 to-ports=80
add action=dst-nat chain=dstnat comment=VPN dst-address=WAN adress \
    dst-port=51820 protocol=udp to-addresses=192.168.10.220 to-ports=51820
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here"
add action=dst-nat chain=dstnat comment="SIP Poorten" disabled=yes dst-port=\
    5000-5080 protocol=udp to-addresses=192.168.10.251 to-ports=5000-5080
add action=masquerade chain=srcnat disabled=yes out-interface=pppoe \
    src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" \
    out-interface=pppoe src-address=192.168.77.0/24
add action=masquerade chain=srcnat comment="NAT voor smartWifi" disabled=yes \
    out-interface=pppoe src-address=10.1.1.0/24
add action=masquerade chain=srcnat comment=INTERNET out-interface=pppoe
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    217.166.0.0/16 out-interface=vlan1.4
add action=dst-nat chain=dstnat disabled=yes dst-address=WAN adress \
    to-addresses=192.168.10.63
add action=src-nat chain=src-nat disabled=yes src-address=192.168.10.63 \
    to-addresses=WAN adress
add action=masquerade chain=srcnat disabled=yes out-interface=bridge-local
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat out-interface=bridge-local
/ip firewall service-port
set sip disabled=yes
/ip hotspot walled-garden
add comment="place hotspot rules here"
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set allow-disable-external-interface=yes enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add forced-ip=77.168.238.128 interface=pppoe type=external
/ipv6 address
# address pool error: pool not found: 0 (4)
add address=::1 from-pool=0 interface=bridge-local
/ipv6 dhcp-client
add add-default-route=yes disabled=yes interface=pppoe pool-name=0 \
    pool-prefix-length=48 request=prefix use-peer-dns=no
/ipv6 dhcp-server
add dhcp-option=mydns disabled=yes interface=bridge-local name="my DNS"
/ipv6 firewall filter
add action=accept chain=input connection-state=established disabled=yes \
    in-interface=pppoe
add action=accept chain=input connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=input disabled=yes in-interface=pppoe protocol=icmpv6
add action=accept chain=forward disabled=yes in-interface=pppoe \
    out-interface=bridge-local protocol=icmpv6
add action=accept chain=forward disabled=yes in-interface=bridge-local \
    out-interface=pppoe protocol=icmpv6
add action=accept chain=input comment="DHCPv6 for public addresses" disabled=\
    yes dst-address=fe80::/64 dst-port=546 in-interface=pppoe log-prefix=\
    DHCPv6 protocol=udp src-port=547
add action=reject chain=input disabled=yes in-interface=pppoe reject-with=\
    icmp-port-unreachable
add action=accept chain=forward connection-state=related disabled=yes \
    in-interface=pppoe
add action=accept chain=forward connection-state=established disabled=yes \
    in-interface=pppoe
add action=reject chain=forward disabled=yes in-interface=pppoe reject-with=\
    icmp-no-route
/ipv6 nd
set [ find default=yes ] disabled=yes interface=bridge-local
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.167.0/24,217.166.224.0/22,213.75.0.0/16 \
    disabled=yes interface=gasten-wifi
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface="wlan2 2.4G" leds="wlan2 2.4G_signal1-led,wlan2 2.4G_signal2-led\
    ,wlan2 2.4G_signal3-led,wlan2 2.4G_signal4-led,wlan2 2.4G_signal5-led" \
    type=wireless-signal-strength
add interface="wlan2 2.4G" leds="wlan2 2.4G_tx-led" type=interface-transmit
add interface="wlan2 2.4G" leds="wlan2 2.4G_rx-led" type=interface-receive
/system logging
add action=disk disabled=yes topics=upnp
/tool sniffer
set filter-interface=bridge-local filter-ip-address=192.168.10.78/32 \
    filter-stream=yes streaming-enabled=yes streaming-server=192.168.10.20
/tool user-manager database
set db-path=user-manager

vrijdag 5 juni 2020 20:31

Acties:

0 Henk 'm!

Raymond P

Ik had het vermoeden dat je wellicht op een stoute lijst zou staan toen ik vlug naar je vorige configs keek.

Resolved jumbo.com wel naar wat je zou mogen verwachten? Hier is dat nu 104.100.66.135.

Zelf geupgraded naar 6.47 maar hier niets aan de hand.
(Ik heb wel een werkende DOH en DNS server)

- knip -

vrijdag 5 juni 2020 23:02

Acties:

0 Henk 'm!

awenger

Thralas schreef op dinsdag 2 juni 2020 @ 23:12:
[...]

Interessant!

Niet zozeer vanwege de features van 6.47, maar de oplettende lezer was al opgevallen:
Dat de Chateau LTE12 met 7.06b van de band komt rollen
Dat men heeft toegezegd Wireguard te zullen integreren
Ik ben benieuwd wat er volgt: 7.07b of 6.48b. Lijkt me niet dat 7.00 al stabiel genoeg is om te stoppen met de 6.xx branch, maar die v7 release vanuit de factory doet toch vermoeden dat ze er wel wat vertrouwen in hebben en er wel weer een v7 release vanaf kan.

En ik vermoed dat Wireguard al in de 7.00 tree zit (en men daarom toegaf dat het eraankomt). Laatste officiële beta (7.05) is uit februari..

Inmiddels is versie 7.08b beschikbaar. In de release notes van 7.07b wordt kernel versie 5.6.3 genoemd. Dus wat je zegt zou goed kunnen kloppen. Wiregaurd zit in de kernel vanaf 5.6....... iets om in de gaten te houden!

zaterdag 6 juni 2020 10:49

Acties:

+1 Henk 'm!

ed1703

XoReP schreef op dinsdag 2 juni 2020 @ 22:07:
6.47 is uit!
Vooral DNS heeft wat nieuwe features (diverse soorten DNS records nu ondersteund als static en DNS over HTTPS)

Ben uiteindelijk gaan downgraden. Deze versie (zie ook het topic op het MT-forum) doet echt mega-veel writes.
Iets meer is niet erg. Maar een verschil van 1000 writes tov 150 in 5 minuten is mij te gortig.

zaterdag 6 juni 2020 12:49

Acties:

0 Henk 'm!

Hmmbob

Writes? Waarop?

Sometimes you need to plan for coincidence

zaterdag 6 juni 2020 13:01

Acties:

0 Henk 'm!

ed1703

Hmmbob schreef op zaterdag 6 juni 2020 @ 12:49:
Writes? Waarop?

Op Flash..

Met 6.45.9

write-sect-since-reboot: 191
uptime: 2h23m8s

Met 6.47

write-sect-since-reboot: 4047
uptime: 45m21s

Hier is iets niet lekker.

Hmmbob schreef op zaterdag 6 juni 2020 @ 13:05:
Hmmm, scherp opgemerkt

Niet echt: https://forum.mikrotik.co...php?f=21&t=161887#p797573 Doorgelezen en ik heb voldoende playground mikrotikjes om het even te testen

Misschien komt het wel door DoH. Geen idee, maar dit vreet uiteindelijk je flash op.

[ Voor 36% gewijzigd door ed1703 op 06-06-2020 13:12 ]

zaterdag 6 juni 2020 13:05

Acties:

0 Henk 'm!

Hmmbob

Hmmm, scherp opgemerkt

Edit: ik zag het ook op beide apparaten, heb ook een rollback gedaan. Gebruik geen DoH trouwens.

[ Voor 69% gewijzigd door Hmmbob op 06-06-2020 14:21 ]

Sometimes you need to plan for coincidence

zaterdag 6 juni 2020 15:05

Acties:

0 Henk 'm!

Snippo

nescafe schreef op vrijdag 5 juni 2020 @ 14:40:
code:
1
2
/ip address
add address=10.0.0.1 interface=Gasten network=10.0.0.0
Is gelijk aan 10.0.0.1/32. Je moet het subnet benoemen net als bij je lan-adres (/24).

Bedankt, dit lijkt te werken inderdaad.
Ik was er al bang voor dat het iets simpels was

.

Dan een algemene vraag omdat ik zelf geen Apple apparaten heb:
Weet iemand of er problemen zijn met bepaalde Mikrotik instellingen en iOS devices? Ik krijg regelmatig te horen dat de wifi uitvalt op een iPhone maar verder werkt de wifi gewoon prima.

[ Voor 25% gewijzigd door Snippo op 06-06-2020 15:11 ]

zaterdag 6 juni 2020 15:41

Acties:

0 Henk 'm!

nescafe

Wifi

Heb je je dhcp lease time al op 2h en wireless group security update time op 1h gezet?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 6 juni 2020 19:07

Acties:

0 Henk 'm!

Tacoos

i am i

ed1703 schreef op zaterdag 6 juni 2020 @ 13:01:
[...]

Op Flash..

Met 6.45.9

[...]

Met 6.47

[...]

Hier is iets niet lekker.

[...]

Niet echt: https://forum.mikrotik.co...php?f=21&t=161887#p797573 Doorgelezen en ik heb voldoende playground mikrotikjes om het even te testen Misschien komt het wel door DoH. Geen idee, maar dit vreet uiteindelijk je flash op.

Toevallig keek ik weer eens in dit draadje en kwam dit tegen.
Ook bij mij in 3 dagen 250000 sector writes na flashen van 6.47 op mijn Hex S.
Na rollback naar 6.45.9 (long term) zie ik nauwelijks nog sector writes, we wachten op een oplossing van Mikrotik

Doe maar gewoon, dan doe je al gek genoeg...

zondag 7 juni 2020 15:44

Acties:

0 Henk 'm!

Snippo

nescafe schreef op zaterdag 6 juni 2020 @ 15:41:
Heb je je dhcp lease time al op 2h en wireless group security update time op 1h gezet?

Ik geloof dat dit gewoon op standaard (24h) staat. Geeft dat problemen dan?

zondag 7 juni 2020 17:55

Acties:

0 Henk 'm!

nescafe

Wifi

Standaard staat dhcp lease op 10 of 15 minuten en group security update op 5 minuten, dat vinden Apple-devices niet zo fijn. In bovenstaande config heb je het niet aangepast, dus het lijkt erop dat dat de oorzaak van het probleem is.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 7 juni 2020 18:31

Acties:

0 Henk 'm!

Theone098

Tacoos schreef op zaterdag 6 juni 2020 @ 19:07:
[...]

Toevallig keek ik weer eens in dit draadje en kwam dit tegen.
Ook bij mij in 3 dagen 250000 sector writes na flashen van 6.47 op mijn Hex S.
Na rollback naar 6.45.9 (long term) zie ik nauwelijks nog sector writes, we wachten op een oplossing van Mikrotik

Yep, hier ook. Terug naar 6.46.x.

donderdag 11 juni 2020 15:56

Acties:

0 Henk 'm!

Snippo

nescafe schreef op zondag 7 juni 2020 @ 17:55:
Standaard staat dhcp lease op 10 of 15 minuten en group security update op 5 minuten, dat vinden Apple-devices niet zo fijn. In bovenstaande config heb je het niet aangepast, dus het lijkt erop dat dat de oorzaak van het probleem is.

Ik heb het aangepast. Hopen dat dit het oplost.

woensdag 17 juni 2020 17:13

Acties:

0 Henk 'm!

stefaantje

Kan ik de OmniTIK 5 ac gebruiken als regulier Acces Point voor gebruik in een tuin van pakweg 30 x 30 m?
De AP zou tegen een muur op 2,5 m hoogte komen, aan één uiteinde van de tuin. Er staan een paar bomen verspreid over de tuin.

Afgezien van de gigantische afmetingen, lijkt deze OmniTIK interessanter dan bvb de wAP ac (7.5 dBi antennes vs een schamele 2 dBi antennes...)

vrijdag 19 juni 2020 15:31

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

stefaantje schreef op woensdag 17 juni 2020 @ 17:13:
Afgezien van de gigantische afmetingen, lijkt deze OmniTIK interessanter dan bvb de wAP ac (7.5 dBi antennes vs een schamele 2 dBi antennes...)

Volgens de specs maakt het qua receive sensitivity niets uit. De OmniTIK lijkt bovendien bedoeld voor een paal (zie bijgevoegde mounts) en de wAP ac heeft één chain extra en 2.4 GHz.

Ik zou zelf toch voor de wAP ac gaan, denk ik.

vrijdag 19 juni 2020 15:56

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Voordeel van de OmniTik is de meer gevoelige antenne (zeker voor ontvangst kan dat een voordeel zijn, echter ontvangt hij ook meer ruis). Zelf heb ik een wAP ac buiten hangen en die doet het prima!

Eerst het probleem, dan de oplossing

zaterdag 20 juni 2020 09:23

Acties:

0 Henk 'm!

stefaantje

2.4 GHz is misschien toch nog wel nuttig voor die paar oude devices die je niet kan uitsluiten...

Voor diegenen met een wAP ac:
Mag ik op 30 m afstand (zonder obstakels) nog een goede 5 GHz ontvangst verwachten?

zaterdag 20 juni 2020 10:02

Acties:

0 Henk 'm!

Raymond P

Ja. Kunnen je clients ook terug praten op die afstand? En vergeet je onzichtbare obstakels niet?

Zoals @lier aankaart zal een OmniTik meer oppakken, dus ook die smartphones die moeite hebben met een fatsoenlijk signaal uitzenden.

- knip -

zaterdag 20 juni 2020 13:08

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

lier schreef op vrijdag 19 juni 2020 @ 15:56:
Voordeel van de OmniTik is de meer gevoelige antenne.

Volgens de specs is de receive sensitivity van de twee APs (op 5 GHz) identiek. Tenzij ik die term verkeerd begrijp, is dat met inbegrip van de antenne en is er dus netto geen verschil.

EDIT: jullie hebben inderdaad gelijk, antenna gain en rx sensitivity zijn twee aparte variabelen.

[ Voor 27% gewijzigd door Thralas op 20-06-2020 14:12 ]

zaterdag 20 juni 2020 13:31

Acties:

+2 Henk 'm!

Raymond P

@Thralas De omnitik ac heeft een antenna gain van 7.5 dBi, de wap ac 2 dBi.

De recieve sensitivity verwijst naar het signaal wat minimaal nodig is voor een stabiele verbinding.

- knip -

zondag 21 juni 2020 23:19

Acties:

0 Henk 'm!

stefaantje

mijn clients zijn simpele smartphones en laptops, max. 4 stuks op de buiten-AP.
Geen idee eigenlijk of die wel 30 m ver kunnen zenden...
Onze internet-aansluiting is trouwens "maar" 50/20 Mbit, mijn vereisten liggen dan ook niet echt hoog met slechts 4 gelijktijdige clients.

zaterdag 4 juli 2020 12:35

Acties:

0 Henk 'm!

geenwindows

Ik zit nu al een tijdje te kijken naar de MikroTik Cloud Smart Switch 326-24G-2S+RM enkel vind ik nergens nou of deze nu wel IPV6 ondersteund. na een aantal google zoek sessies zie ik wel dat er ipv6 is maar ook weer niet, zo onduidelijk. wat ik nu begrijp is er geen ipv6 ondersteuning voor het management gedeelte, maar hoe zit het met de rest?

kort gezegd, kan deze met ipv6 overweg? (SwOs)

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

zaterdag 4 juli 2020 23:36

Acties:

0 Henk 'm!

mbovenka

Het is een switch. Wat je L3 protocol is, is dus niet belangrijk.

zondag 5 juli 2020 09:43

Acties:

0 Henk 'm!

Theone098

geenwindows schreef op zaterdag 4 juli 2020 @ 12:35:
Ik zit nu al een tijdje te kijken naar de MikroTik Cloud Smart Switch 326-24G-2S+RM enkel vind ik nergens nou of deze nu wel IPV6 ondersteund. na een aantal google zoek sessies zie ik wel dat er ipv6 is maar ook weer niet, zo onduidelijk. wat ik nu begrijp is er geen ipv6 ondersteuning voor het management gedeelte, maar hoe zit het met de rest?

kort gezegd, kan deze met ipv6 overweg? (SwOs)

Ik heb de vorige versie (226) en met RouterOS is het een layer 3 switch die volledig ipv6 ondersteunt.
SwOS ken ik niet, maar aangezien het dan een ‘echte’ switch is, verwacht je alleen layer 2 functionaliteit.

zondag 5 juli 2020 10:20

Acties:

0 Henk 'm!

geenwindows

mbovenka schreef op zaterdag 4 juli 2020 @ 23:36:
Het is een switch. Wat je L3 protocol is, is dus niet belangrijk.

Mijn kennis betreft IPv6 is nog op het niveau Noob, ik wil me er graag in verdiepen maar de spec van deze apparaat zegt niks over ipv6 support (zelfs de tweakers specs)

Theone098 schreef op zondag 5 juli 2020 @ 09:43:
[...]

Ik heb de vorige versie (226) en met RouterOS is het een layer 3 switch die volledig ipv6 ondersteunt.
SwOS ken ik niet, maar aangezien het dan een ‘echte’ switch is, verwacht je alleen layer 2 functionaliteit.

Bedoel je niet de CRS versie? na mijn weten is dit enkel een switch, de CRS van deze heeft inderdaad RouterOS, maar heb enkel de switch eigenschappen nodig

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

zondag 5 juli 2020 14:52

Acties:

+1 Henk 'm!

Theone098

geenwindows schreef op zondag 5 juli 2020 @ 10:20:
[...]

Bedoel je niet de CRS versie? na mijn weten is dit enkel een switch, de CRS van deze heeft inderdaad RouterOS, maar heb enkel de switch eigenschappen nodig

Euh, oeps. Ja, die bedoel ik. Zie nu dat jij het over de switch hebt 😬.

zondag 5 juli 2020 15:18

Acties:

0 Henk 'm!

Laagheim

@geenwindows Ik ben zelf ook een beginnend mikrotik hobbyist en zit veel op YouTube waar je bijv. onderstaand filmpje kan vinden over het gebruik van routeros als switch:

YouTube: Mikrotik CRS3xx serie configureren als volwaardige switch

(overigens ipv6 zit er standaard op maar het is een 'package' dus je kan het ook verwijderen.)

Wat mij opvalt is dat je in routeros dingen op verschillende manieren voor elkaar kunt krijgen. Bijv. vlans op een crs apparaat kan je op 3 verschillende manieren regelen maar 1 van die manieren werkt niet goed (geen hardware ondersteuning) de andere manier moet je ook goed opletten en de derde manier die altijd werkt daarvan vind je bijna geen howtos

In elk geval is het een perfect apparaat om lekker mee te prutsen.

zondag 5 juli 2020 15:28

Acties:

0 Henk 'm!

geenwindows

Laagheim schreef op zondag 5 juli 2020 @ 15:18:
@geenwindows Ik ben zelf ook een beginnend mikrotik hobbyist en zit veel op YouTube waar je bijv. onderstaand filmpje kan vinden over het gebruik van routeros als switch:

YouTube: Mikrotik CRS3xx serie configureren als volwaardige switch

(overigens ipv6 zit er standaard op maar het is een 'package' dus je kan het ook verwijderen.)

Wat mij opvalt is dat je in routeros dingen op verschillende manieren voor elkaar kunt krijgen. Bijv. vlans op een crs apparaat kan je op 3 verschillende manieren regelen maar 1 van die manieren werkt niet goed (geen hardware ondersteuning) de andere manier moet je ook goed opletten en de derde manier die altijd werkt daarvan vind je bijna geen howtos In elk geval is het een perfect apparaat om lekker mee te prutsen.

Voor routerOS zie ik inderdaad genoeg info. enkel heeft de CSS326 SwitchOS, daarover is de info wat schaars...
de CRS heeft dan weer Dualboot (ROS en SwOS), maar daar zit weer een hogere prijskaartje aan

Ik heb nu de CSS326 besteld en ga er van de week mee aan de slag, kijken of ik de leercurve van mikrotik aan kan

hoewel met SwitchOS schijnt het best makkelijk te zijn.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

zondag 5 juli 2020 16:19

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Van een leercurve is niet echt sprake als je beperkt bent tot SwOs. Wat valt er immers te configureren aan een switch voor thuisgebruik? Wellicht wat VLANs en dan ben je er wel.

zondag 5 juli 2020 16:20

Acties:

+1 Henk 'm!

Laagheim

@geenwindows Ik zie dat ik ook niet zit op te letten terwijl de tegel voor mijn response is toch duidelijk genoeg is

Anyway als je een basis kennis hebt is swos (en routeros) prima te doen dus geen zorgen. Je kan ook een goedkoop tweedehandsje kopen om mee te oefenen (heb ik ook gedaan maar ik gebruik dat ding inmiddels wel echt (het bleek sneller te zijn dan een unifi inwall HD die ik eerst had) dus ik moet weer een andere kopen

)

zondag 5 juli 2020 21:25

Acties:

0 Henk 'm!

geenwindows

Na het bekijken van video's van servethehome en lawrencysytems verwacht ik inderdaad niet zo veel moeite met SwOS.
Ik ken mikrotik vooral van de verhalen dat het een pittig instel systeem is, maar dat is met SwOS inderdaad niet zo heel ingewikkeld.
We gaan het van de week zien.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

dinsdag 7 juli 2020 22:09

Acties:

+2 Henk 'm!

XoReP

6.48 beta12 heeft dit in de changelog:
*) filesystem - fixed increased "sector writes" reporting (introduced in v6.47);
*) filesystem - improved long-term filesystem stability and data integrity;

Ziet er hoopvol uit dat er gauw een 6.47.1 komt zonder hoog sectorwrites probleem

dinsdag 7 juli 2020 22:25

Acties:

+1 Henk 'm!

geenwindows

zo, de CSS326 is binnen.
met 10 minuten zat ie in het netwerk, VLANs was zo gepiept, enkel LAG/trunk krijg ik nog niet voor elkaar, zowel met de unifi switch 8poort als met OPNsense niet, hier moet ik de komende dagen maar eens verder in gaan verdiepen, de switch herkend de LAG setup, maar aan de andere zijde krijg ik geen contact..

edit:
switch zat nog op v2.7 (2017)

update naar 2.11 en LAG/LACP tussen de unifi switch werkt, morgen weer een poging wagen met OPNsense...

[ Voor 18% gewijzigd door geenwindows op 07-07-2020 22:44 ]

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

vrijdag 10 juli 2020 16:42

Acties:

0 Henk 'm!

Tacoos

i am i

Tacoos schreef op zaterdag 6 juni 2020 @ 19:07:
[...]

Toevallig keek ik weer eens in dit draadje en kwam dit tegen.
Ook bij mij in 3 dagen 250000 sector writes na flashen van 6.47 op mijn Hex S.
Na rollback naar 6.45.9 (long term) zie ik nauwelijks nog sector writes, we wachten op een oplossing van Mikrotik

Er is nu een nieuwe versie van RouterOs die oa het probleem van de hoge sector writes oplost:
https://mikrotik.com/download

Overigens lijkt Mikrotik te suggereren dat die sector writes wel gerapporteerd werden, maar dat er niet daadwerkelijk zoveel geschreven werd. Een fout in de reporting dus?

Ik hou het Mikrotik forum ff in de gaten om te kijken hoe de ervaringen zijn voor ik weer upgrade

Doe maar gewoon, dan doe je al gek genoeg...

zaterdag 11 juli 2020 14:54

Acties:

0 Henk 'm!

Theone098

Bericht op tweakers: downloads: RouterOS 6.47.1

donderdag 16 juli 2020 22:43

Acties:

0 Henk 'm!

starpc

holla,
wie kan en wil mij helpen. ik heb bij verschillende websites, o.a Rabobank en RTL website.

code:

Op dit moment zijn verschillende diensten van de Rabobank niet beschikbaar. Onze excuses voor het ongemak.
Wij werken eraan om dit probleem zo spoedig mogelijk op te lossen.


Reference id: 18.0dc21302.1594932208.3be6808b

ook wel "acces denied" op een aantal websites

het blijkt dat het bedrijf Akaimi hier iets mee doet. of iig achter deze block's. ze zijn zo iets als cloudflair..
iig zo stell ik mij dit bedrijf voor. weet iemand of dit
A, in mijn fire wall zou kunnen zitten.
B, het is mijn idee gekomen na dat Router OS DoH heeft toegevoegd aan de router. (RB4011)

[ Voor 29% gewijzigd door starpc op 16-07-2020 22:45 ]

vrijdag 17 juli 2020 00:03

Acties:

0 Henk 'm!

Raymond P

@starpc Met een onjuist geconfigureerde firewall sta je inderdaad binnen 30 minuten op de stoute lijst van (o.a.) Akamai.

- knip -

vrijdag 17 juli 2020 07:35

Acties:

0 Henk 'm!

starpc

momenteel heb ik de firewall zo opgesteld.
iemand hier heeft mij geholpen met deze firewall.
de reden dat ik niet de Firewall gebruik die op www.netwerkje.nl staat is als volgt.
ik draai nu hellemaal zonder KPN modem. zelfs niet voor de telefoon en heb daar voor een Gigaset n510 ip pro voor opgehangen, die ik via POE voed. via poortje 10.
met de firewall van netwerkje, werkt de Voip niet goed.
de audio komt niet goed door de firewall als ik zelf bel naar buiten, naar binnen (naar de gigaset) is het geluid wel goed.

met deze firewall werkt de SIP wel. en dat is uitraard ook het doel, dat alles werkt.

code:

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1
/ip firewall filter
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=input connection-state=established disabled=yes
add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
add action=accept chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=forward disabled=yes in-interface=!vlan1.6 protocol=\
    udp
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add action=accept chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop LAN -> Gastnetwerk" dst-address=\
    192.168.77.0/24 src-address=192.168.10.0/24
add action=drop chain=forward comment="Drop Gastnetwerk -> LAN" dst-address=\
    192.168.10.0/24 src-address=192.168.77.0/24
add action=accept chain=input comment="IGMP tbv IPTV" connection-state=new \
    dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="UDP tbv IPTV" connection-state=new \
    dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=udp
add action=accept chain=forward comment=WEB dst-address=192.168.10.0/24 \
    dst-port=80 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=torrent dst-address=192.168.10.0/24 \
    dst-port=3799 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=nasinterface dst-address=\
    192.168.10.0/24 dst-port=8080 out-interface=bridge-local protocol=tcp
add action=accept chain=forward comment=VPN dst-address=192.168.10.220 \
    dst-port=51820 out-interface=bridge-local protocol=udp
add action=accept chain=forward comment="LAN verkeer mag overal naartoe" \
    connection-state=new in-interface=bridge-local src-address=\
    192.168.10.0/24
add action=accept chain=forward comment="Gasten alleen internet" \
    connection-state=new in-interface=gast out-interface=pppoe src-address=\
    192.168.77.0/24
add action=drop chain=forward
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment="LAN mag verbinden met de router" \
    connection-state=new in-interface=bridge-local src-address=\
    192.168.10.0/24
add action=drop chain=input
/ip firewall nat
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32768 \
    protocol=udp to-addresses=192.168.10.251 to-ports=16384-32767
add action=dst-nat chain=dstnat comment=Torrent dst-address=WAN adress \
    dst-port=3799 protocol=tcp to-addresses=192.168.10.10 to-ports=3799
add action=dst-nat chain=dstnat comment=server dst-address=WAN adress \
    dst-port=8080 protocol=tcp to-addresses=192.168.10.200 to-ports=8080
add action=dst-nat chain=dstnat comment=WEB dst-address=WAN adress \
    dst-port=80 protocol=tcp to-addresses=192.168.10.200 to-ports=80
add action=dst-nat chain=dstnat comment=VPN dst-address=WAN adress \
    dst-port=51820 protocol=udp to-addresses=192.168.10.220 to-ports=51820
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here"
add action=dst-nat chain=dstnat comment="SIP Poorten" disabled=yes dst-port=\
    5000-5080 protocol=udp to-addresses=192.168.10.251 to-ports=5000-5080
add action=masquerade chain=srcnat disabled=yes out-interface=pppoe \
    src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="NAT voor gastnetwerk" \
    out-interface=pppoe src-address=192.168.77.0/24
add action=masquerade chain=srcnat comment="NAT voor smartWifi" disabled=yes \
    out-interface=pppoe src-address=10.1.1.0/24
add action=masquerade chain=srcnat comment=INTERNET out-interface=pppoe
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="ROUTED IPTV" dst-address=\
    217.166.0.0/16 out-interface=vlan1.4
add action=dst-nat chain=dstnat disabled=yes dst-address=WAN adress \
    to-addresses=192.168.10.63
add action=src-nat chain=src-nat disabled=yes src-address=192.168.10.63 \
    to-addresses=WAN adress
add action=masquerade chain=srcnat disabled=yes out-interface=bridge-local
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat out-interface=bridge-local
/ip firewall service-port
set sip disabled=yes
/ip hotspot walled-garden
add comment="place hotspot rules here"
/ip route
add distance=1 gateway=10.0.0.0
/ip service
set www-ssl disabled=no
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set allow-disable-external-interface=yes enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add forced-ip=WAN-iP interface=pppoe type=external

vrijdag 17 juli 2020 10:17

Acties:

0 Henk 'm!

sOid

Goed, gistermiddag en -avond bezig geweest met het configureren van mijn Mikrotik hEX S voor glasvezel van T-Mobile (glasvezelkabel direct in SFP-poort).

Ik vond het, met mijn beperkte kennis, een vrij steile leercurve. Ik miste bijvoorbeeld ook wat basisinformatie; wat betekenen de piepjes die de router maakt? Hoe plaats ik een rsc-configuratiebestand op de router? Maar het is allemaal draaiend, alleen begrijp ik een paar dingen nog niet. Hopelijk kunnen jullie me erbij helpen.

Op het T-mobile-forum vond ik onderstaande configuratie, die ik heb aangepast naar mijn situatie (helaas kan ik de originele post niet meer terugvinden).

- Hoe kom ik aan een mac-adres voor admin-mac? Ik heb hier toch wel een uur naar gezocht gisteren, maar ik kon hier geen duidelijk antwoord op vinden. Uiteindelijk heb ik in de interface een bridge aangemaakt, dat mac-adres toegevoegd aan het script en het script laten uitvoeren na reset van de instellingen. Dit lijkt prima te werken, maar ik wil toch graag weten wat nou de juiste methode is.
- Ik probeer een port forward in te stellen vanaf internet naar mijn NUC op de LAN (hier draai ik HomeAssistant op). Hier kom ik echter niet helemaal uit. Ik bij firewall > NAT het ingesteld als hieronder, maar het lijkt niet te werken. Ik vermoed dat de in-interface niet klopt.
- Als jullie nog op- en aanmerkingen op de firewall configuratie hebben, dan hoor ik dat graag. Hier begrijp ik namelijk nog niet alles van (stond zo in configuratiescript dat ik vond).

Next up: PoE-instellen voor m'n Unifi access point

Afbeeldingslocatie: https://tweakers.net/i/3du4OgohSlz2jsYb5J2Ed5-Iqnk=/800x/filters:strip_icc():strip_exif()/f/image/dZs3GcKbT24jhklofZnVSjlp.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/BX5NTzcZuWyERlFyYjYus4q06Fk=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/Yh8GYGE36BQ3rqTkpxt53YTr.jpg?f=user_large

code:

# model = Routerboard HexS
#
# Configuration for T-Mobile Thuis

/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=1000M-full speed=100Mbps
set [ find default-name=ether2 ] advertise=1000M-full speed=100Mbps
set [ find default-name=ether3 ] advertise=1000M-full speed=100Mbps
set [ find default-name=ether4 ] advertise=1000M-full speed=100Mbps
set [ find default-name=ether5 ] advertise=1000M-full speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full \
    auto-negotiation=no
/interface vlan
add interface=sfp1 name=vlan300 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=DHCP_LAN ranges=192.168.1.50-192.168.1.254
/ip dhcp-server
add address-pool=DHCP_LAN disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=vlan300 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    vlan300
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=\
    1.1.1.1,1.0.0.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Amsterdam
/system routerboard settings
set silent-boot=no
/tool graphing interface
add interface=vlan300
add interface=bridge
add interface=sfp1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

vrijdag 17 juli 2020 11:24

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op vrijdag 17 juli 2020 @ 10:17:
- Hoe kom ik aan een mac-adres voor admin-mac? Ik heb hier toch wel een uur naar gezocht gisteren, maar ik kon hier geen duidelijk antwoord op vinden. Uiteindelijk heb ik in de interface een bridge aangemaakt, dat mac-adres toegevoegd aan het script en het script laten uitvoeren na reset van de instellingen. Dit lijkt prima te werken, maar ik wil toch graag weten wat nou de juiste methode is.

Volgens mij ben je door het voorbeeld in de veronderstelling dat je die parameter moet opgeven: dat hoeft niet, gewoon leeg maken en dan kiest hij zelf iets zinnigs.

- Ik probeer een port forward in te stellen vanaf internet naar mijn NUC op de LAN (hier draai ik HomeAssistant op). Hier kom ik echter niet helemaal uit. Ik bij firewall > NAT het ingesteld als hieronder, maar het lijkt niet te werken. Ik vermoed dat de in-interface niet klopt.

Die regel klopt in principe, maar ik vermoed dat je vanaf je LAN test en dan loop je tegen een hairpin issue aan. Vanaf het internet (test eventueel via een mobiele verbinding) zou het wel moeten werken.

Om het ook vanaf je LAN te laten werken zul je nog een srcnat-regel moeten toevoegen. Zoek in dit topic of op de MikroTik wiki op hairpin NAT voor de details.

- Als jullie nog op- en aanmerkingen op de firewall configuratie hebben, dan hoor ik dat graag. Hier begrijp ik namelijk nog niet alles van (stond zo in configuratiescript dat ik vond).

Ik zie enkel defconf rules; de default firewall is oké - problemen ontstaan vooral als men eraan gaat lopen sleutelen zonder het goed te begrijpen. Behalve die NAT-regel heb je volgens mij niets gewijzigd, dus dan is er weinig op aan te merken.

vrijdag 17 juli 2020 14:47

Acties:

0 Henk 'm!

m.eddy

Ik zoek naar ervaringen voor de Mikrotik wsAP Ac Lite tegenover het standaard Unify AP geweld. Het lijken me goed betaalbare AP's voor in huis.

Wie gebruikt die dingen en wat vinden we ervan?

vrijdag 17 juli 2020 16:17

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Lijkt me vrij karig met maar één 5 GHz chain..

zondag 19 juli 2020 12:38

Acties:

0 Henk 'm!

sOid

Thralas schreef op vrijdag 17 juli 2020 @ 11:24:
[...]

Volgens mij ben je door het voorbeeld in de veronderstelling dat je die parameter moet opgeven: dat hoeft niet, gewoon leeg maken en dan kiest hij zelf iets zinnigs.

Ah, dat dacht ik inderdaad. Goed om te weten dat het niet hoeft.

[...]

Die regel klopt in principe, maar ik vermoed dat je vanaf je LAN test en dan loop je tegen een hairpin issue aan. Vanaf het internet (test eventueel via een mobiele verbinding) zou het wel moeten werken.

Om het ook vanaf je LAN te laten werken zul je nog een srcnat-regel moeten toevoegen. Zoek in dit topic of op de MikroTik wiki op hairpin NAT voor de details.

Ik had wel via 4G getest, maar er bleek op de NUC zelf nog een firewall rule verkeerd te staan. Nu opgelost voor extern verkeer; hairpint NAT moet ik nog naar kijken. Dank voor de hint.

Is het trouwens mogelijk om aan één rule meerdere poorten toe te kennen? Ik weet dat je een hele reeks kan doen door bijvoorbeeld 80-443 te noteren, maar kan ik ook 80,443 noteren om alleen die twee poorten open te zetten?

[...]

Ik zie enkel defconf rules; de default firewall is oké - problemen ontstaan vooral als men eraan gaat lopen sleutelen zonder het goed te begrijpen. Behalve die NAT-regel heb je volgens mij niets gewijzigd, dus dan is er weinig op aan te merken.

Helder!

zondag 19 juli 2020 16:14

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op zondag 19 juli 2020 @ 12:38:
maar kan ik ook 80,443 noteren om alleen die twee poorten open te zetten?

Nee, daar heb je meerdere regels voor nodig.

zondag 19 juli 2020 17:37

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

m.eddy schreef op vrijdag 17 juli 2020 @ 14:47:
Ik zoek naar ervaringen voor de Mikrotik wsAP Ac Lite tegenover het standaard Unify AP geweld. Het lijken me goed betaalbare AP's voor in huis.

Wie gebruikt die dingen en wat vinden we ervan?

Ik kan je wel wat vertellen over de wAP ac, die zijn technische vergelijkbaar met de UAP-AC-Lite.

Eerst het probleem, dan de oplossing

maandag 20 juli 2020 17:18

Acties:

0 Henk 'm!

sOid

Thralas schreef op vrijdag 17 juli 2020 @ 11:24:

[...]

Die regel klopt in principe, maar ik vermoed dat je vanaf je LAN test en dan loop je tegen een hairpin issue aan. Vanaf het internet (test eventueel via een mobiele verbinding) zou het wel moeten werken.

Om het ook vanaf je LAN te laten werken zul je nog een srcnat-regel moeten toevoegen. Zoek in dit topic of op de MikroTik wiki op hairpin NAT voor de details.

Nou, schiet mij maar lek. Ik heb op diverse manieren een Hairpin NAT geprobeerd aan te maken. Dit topic doorzocht en o.a. deze tutorial tot op de letter gevolgd (inclusief setup voor DDNS, aangezien ik dat toch nodig heb).

code:

# jul/20/2020 17:13:06 by RouterOS 6.47.1

# software id = NUWF-JD5B

#

# model = RB760iGS

# serial number = *********

/ip firewall address-list

add address=*********.sn.mynetname.net list=WAN-IP

/ip firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="hairpin NAT" dst-address=192.168.1.0/24 src-address=192.168.1.0/24

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

add action=dst-nat chain=dstnat comment="port forward nginx" dst-address-list=WAN-IP dst-port=80 in-interface=vlan300 protocol=tcp to-addresses=192.168.1.*** to-ports=80

add action=dst-nat chain=dstnat comment="port forward nginx" dst-address-list=WAN-IP dst-port=443 in-interface=vlan300 protocol=tcp to-addresses=192.168.1.*** to-ports=443

Enig idee wat er fout gaat? Zou ik nog een interface moeten toevoegen aan de hairpin nat? Vlan300 is dus mijn verbinding met WAN.

maandag 20 juli 2020 18:03

Acties:

0 Henk 'm!

nescafe

Wifi

Hairpin werkt prima, maar je dstnat wordt niet geraakt door de voorwaarde in-interface=vlan300.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 21 juli 2020 08:58

Acties:

0 Henk 'm!

m.eddy

lier schreef op zondag 19 juli 2020 @ 17:37:
[...]

Ik kan je wel wat vertellen over de wAP ac, die zijn technische vergelijkbaar met de UAP-AC-Lite.

Ja dat klopt. Ook in prijs redelijk vergelijkbaar. De wsAP Ac Lite is echter fors goedkoper.
Ik kan ergens nergens echt ervaringen vinden met dat ding.

Vraag me af of ik er mee wegkom als ik er op iedere verdieping 1 plaats (betonnen vloeren).

dinsdag 21 juli 2020 12:09

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

m.eddy schreef op dinsdag 21 juli 2020 @ 08:58:
Vraag me af of ik er mee wegkom als ik er op iedere verdieping 1 plaats (betonnen vloeren).

Lastig te voorspellen, dat is nogal afhankelijk van omgevingsfactoren. Je zou er een aan kunnen schaffen en vervolgens meten hoeveel je er nodig hebt.

Overigens is prijs geen goed uitgangspunt om een keuze te maken, welke eisen en wensen heb je?

Eerst het probleem, dan de oplossing

dinsdag 21 juli 2020 13:16

Acties:

0 Henk 'm!

m.eddy

lier schreef op dinsdag 21 juli 2020 @ 12:09:
[...]

Lastig te voorspellen, dat is nogal afhankelijk van omgevingsfactoren. Je zou er een aan kunnen schaffen en vervolgens meten hoeveel je er nodig hebt.

Overigens is prijs geen goed uitgangspunt om een keuze te maken, welke eisen en wensen heb je?

Geen heftige eisen kwa wifi. Bedraad internet is geregeld voor een thuiswerkplek.
Eigenlijk gewoon de normale telefoons/ipads die op wifi moeten hangen. Wellicht een chromecast op een tv in de slaapkamer ooit eens.

We zitten nog niet in het huis maar het is wel beton in de vloeren, dus ik neem aan dat een centraal punt in de meterkast niet gaat voldoen.

Ik vind het jammer dat er zo weinig ervaring is te vinden met deze Mikrotik online, ik zag alleen een review op youtube zonder range/performance ervaring.

woensdag 22 juli 2020 12:26

Acties:

0 Henk 'm!

sOid

nescafe schreef op maandag 20 juli 2020 @ 18:03:
Hairpin werkt prima, maar je dstnat wordt niet geraakt door de voorwaarde in-interface=vlan300.

Thanks, heb het nu werkend door in-interface=vlan300 te verwijderen.

Als ik het goed begrijp werkte het niet omdat LAN-verkeer niet via de vlan300 gaat, toch?

offtopic:
Inmiddels ook VPN & integratie met HomeAssistant werkend. Mooi spul!

woensdag 22 juli 2020 13:06

Acties:

0 Henk 'm!

Hmmbob

sOid schreef op woensdag 22 juli 2020 @ 12:26:

offtopic:
Inmiddels ook VPN & integratie met HomeAssistant werkend. Mooi spul!

Wat doe je met HA? Device tracker?

[ Voor 74% gewijzigd door Hmmbob op 22-07-2020 13:16 ]

Sometimes you need to plan for coincidence

woensdag 22 juli 2020 15:51

Acties:

+1 Henk 'm!

sOid

Hmmbob schreef op woensdag 22 juli 2020 @ 13:06:
[...]

Wat doe je met HA? Device tracker?

Tot nu toe vooral ingesteld dat ik de Mikrotik kan monitoren (load, temperatuur, diskpace, geheugen, firmware upgrades) en actuele down- en uploadsnelheden. Ik gebruik deze integratie (via HACS) en niet de standaard mikrotik-integratie die al in HomeAssistant zit. Dit heeft veel meer mogelijkheden.

woensdag 29 juli 2020 19:54

Acties:

0 Henk 'm!

Theone098

Komt iemand dit bekend voor?

Zodra ik IGMP snooping aanzet op de (enige) bridge van een CRS226 switch, dan werkt het terugkijken van opgenomen TV niet met KPN IPTV. Zet ik IGMP snooping uit, werkt het perfect.
Echter, dan worden alle poorten belast met multicast verkeer.

Hiervoor heb ik dan weer uitgevonden dat op elke bridge port unknown multicast verkeer kan worden uitgezet (staat standaard aan).
De vraag is, wat gebruik ik nog meer thuis dat multicast verkeer nodig heeft? Oftewel, wat gaat er omvallen ;-) .

Iemand die hier onderbouwd commentaar op kan geven?

Ik gebruik de laatste versie van RouterOS (stable).

Situatie -> PFsense router (igmp proxy) -> CRS226 (igmp snooping off, unknown multicast off (behalve poort naar netgear)) -> netgear GS105Ev2 (imgp snooping on) -> STB

[ Voor 12% gewijzigd door Theone098 op 29-07-2020 19:58 ]

woensdag 29 juli 2020 20:17

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Opgenomen TV terugkijken werkt niet met multicast (lees: IGMP) dus snooping zou geen effect moeten hebben. Curieus.

woensdag 29 juli 2020 22:14

Acties:

0 Henk 'm!

Theone098

Thralas schreef op woensdag 29 juli 2020 @ 20:17:
Opgenomen TV terugkijken werkt niet met multicast (lees: IGMP) dus snooping zou geen effect moeten hebben. Curieus.

Dat is inderdaad waar. Dat maakt het nog vreemder.

Ik heb de CRS vervangen door een domme switch En toen werkte het. Vervolgens config vanaf 0 op de CRS opgebouwd met minimale config (op adres). Alles werkt. IGMP snooping aan en bam.... het werkt niet meer.
Backup van mijn config teruggezet, igmp snooping uit. En het werkt.

woensdag 29 juli 2020 23:08

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Je zou de packet sniffer kunnen gebruiken om te achterhalen wat er exact misgaat.

En als alternatief: toen er nog geen snooping was gebruikte ik wel eens een bridge filter om specifek het IPTV-multicastverkeer te blokkeren van alle-poorten-die-niet-STB-zijn.

zaterdag 1 augustus 2020 00:24

Acties:

0 Henk 'm!

mbenjamins

Via de volgende site heb ik port forwarding ingesteld http://www.icafemenu.com/...%22%20%28Figure%201-3%29..
Als ik buiten mijn eigen netwerk zit werkt het maar binnen het netwerk kan ik er niet op komen.

Weet iemand wat ik moet veranderen om het werkend te krijgen?

[ Voor 7% gewijzigd door mbenjamins op 01-08-2020 00:24 ]

zaterdag 1 augustus 2020 08:00

Acties:

0 Henk 'm!

Hmmbob

Zonder de exacte regels gaan we daar natuurlijk niets zinnigs over kunnen zeggen (mijn glazen bol is stuk in ieder geval).

Deel de relevante regels uit je config eens?

Heb je hairpin NAT ingesteld? (Zoek ook even in dit topic op die term)

[ Voor 17% gewijzigd door Hmmbob op 01-08-2020 08:01 ]

Sometimes you need to plan for coincidence

zaterdag 1 augustus 2020 08:53

Acties:

0 Henk 'm!

nescafe

Wifi

quote: http://www.icafemenu.com/...rd-in-mikrotik-router.htm
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address-type=local dst-port=3999 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.200 to-ports=3999

Daarbij ook hairpin toepassen.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 10 augustus 2020 20:01

Acties:

0 Henk 'm!

Snippo

Ik ben momenteel een netwerk aan het opzetten met gescheiden VLANs. Dit werkt in principe, maar ik vraag me af of het mogelijk is om te beveiligen tegen fysieke toegang op een trunk poort?

In theorie zou iemand bijv. een AP kunnen vervangen door een eigen router met de juiste configuratie en zo toegang krijgen tot het privé VLAN.

maandag 10 augustus 2020 20:20

Acties:

0 Henk 'm!

Oortjes

MAC Authenticatie

maandag 10 augustus 2020 21:23

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Snippo schreef op maandag 10 augustus 2020 @ 20:01:
Ik ben momenteel een netwerk aan het opzetten met gescheiden VLANs. Dit werkt in principe, maar ik vraag me af of het mogelijk is om te beveiligen tegen fysieke toegang op een trunk poort?

Misschien heb je iets aan IPsec of Dot1x.

In theorie zou iemand bijv. een AP kunnen vervangen door een eigen router met de juiste configuratie en zo toegang krijgen tot het privé VLAN.

In theorie. Herhaal dat wel nog even 10 keer voordat je er al te veel tijd aan spendeert, helemaal als het je thuisnetwerk is.

dinsdag 11 augustus 2020 09:18

Acties:

0 Henk 'm!

Snippo

Oortjes schreef op maandag 10 augustus 2020 @ 20:20:
MAC Authenticatie

Een MAC is toch redelijk eenvoudig te spoofen? Dus waterdicht is dat ook niet.

Thralas schreef op maandag 10 augustus 2020 @ 21:23:
[...]

Misschien heb je iets aan IPsec of Dot1x.

[...]

In theorie. Herhaal dat wel nog even 10 keer voordat je er al te veel tijd aan spendeert, helemaal als het je thuisnetwerk is.

Het is inderdaad een thuisnetwerk dus ik ga het hierbij laten maar ik was benieuwd of het mogelijk is. Het lijkt allemaal goed beveiligd maar een handige Harry kan dus makkelijk toegang krijgen tot het netwerk. Echter is dit ook weer geen probleem als alle apparaten beveiligd zijn met een wachtwoord.

Het lijkt er dus op dat de waterdichte oplossing zit in encryptie. Best wel logisch eigenlijk.

woensdag 12 augustus 2020 11:36

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Ook encryptie is niet waterdicht. Kijk maar eens naar alle vulnerabilities die (regelmatig) gevonden worden in allerlei encryptie methoden/mechanismen.

Encryptie maakt het hooguit wat lastiger om er op binnen te komen, maar voor een thuisnetwerk zou ik hier zeker niet aan beginnen.

Je zou idd 802.1.x kunnen overwegen, maar dan bv icm radius authenticatie van je clients/servers.
Maar ook dat vind ik persoonlijk al overkill op een thuisnetwerk.

[ Voor 22% gewijzigd door Thasaidon op 12-08-2020 11:39 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 12 augustus 2020 12:42

Acties:

0 Henk 'm!

nescafe

Wifi

Je kunt in ieder geval de uitstekende lipjes van je UTP-stekkers afknippen. Dan heb je al iets van een mesje of schroevendraaier nodig om de kabel uit je AP te halen.

Bij een AP kun je ook geen vlans aanbieden maar werken met CAPsMAN + certificaten en/of manual provisioning. Het onderliggende ip-netwerk kun je dan in principe onbruikbaar maken.

[ Voor 36% gewijzigd door nescafe op 12-08-2020 12:47 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

woensdag 12 augustus 2020 15:37

Acties:

0 Henk 'm!

Mr-D.

interpunctie? no hero here

Modems en routers

Hallo,

ik sinds kort een CRS312-4C+8XG bevalt goed en werkt ook perfect (als switch) en mijn temperatuur schommelt rond 59 en 61 graden
heeft iemand deze ook en is dit vergelijkbaar?

sneller usenet? tips en tricks

woensdag 12 augustus 2020 17:28

Acties:

+1 Henk 'm!

Laagheim

@Mr-D. Mijn crs112 staat op 39C.

woensdag 12 augustus 2020 18:14

Acties:

+1 Henk 'm!

geenwindows

kom ik aan met een css326 wat op het moment van schrijven, met 73c zijn werkt moet doen...

voordeel is wel, je kunt hem aanraken zonder je handen te verbranden, dat hoef je met de unifi 8p switch niet te doen!

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

woensdag 12 augustus 2020 18:22

Acties:

+1 Henk 'm!

allure

Titaan fase 2/3

Hier draait de 1100x4 op 50 graden momenteel.

Afbeeldingslocatie: https://tweakers.net/i/dByQg6xnPrlDItFWQypxfyCO0wc=/800x/filters:strip_exif()/f/image/njhxClTY8QkPORvhbtr15OTk.png?f=fotoalbum_large

[ Voor 6% gewijzigd door allure op 12-08-2020 18:23 ]

donderdag 13 augustus 2020 17:52

Acties:

0 Henk 'm!

chaoscontrol

Weet iemand hoe ik een rb2011 zo makkelijk mogelijk als switch kan gebruiken? Heb nu alle interfaces in 1 bridge maar dan doet de firewall dingen die ik niet wil. Het wilde sowieso niet werken voor ik een dstnat forward rule aanmaakte. Hierdoor heb ik allemaal rare dubbelnat issues terwijl ik hem gewoon even als switch wil gebruiken.

Eerst kon je toch een master interface per poort opgeven? Dat kan ik alleen niet meer vinden in Winbox.

Het is trouwens maar voor 3 weken dus switchOS installeren lijkt mij omslachtig.

Inventaris - Koop mijn meuk!

donderdag 13 augustus 2020 17:56

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

chaoscontrol schreef op donderdag 13 augustus 2020 @ 17:52:
Het is trouwens maar voor 3 weken dus switchOS installeren lijkt mij omslachtig.

Als je een switch wil maken:

Reset, No Default Configuration
Maak een bridge
Voeg alle interfaces toe aan de bridge
Voeg (eventueel) een DHCP client toe aan de bridge (dan kan je de RB ook op IP naast MAC bereiken)

Idealiter gebruik je hiervoor Winbox.

Alternatief:
Haal je huidige WAN poort uit de WAN "Interface List" en maak hier LAN van.

[ Voor 9% gewijzigd door lier op 13-08-2020 17:57 ]

Eerst het probleem, dan de oplossing

donderdag 13 augustus 2020 18:09

Acties:

0 Henk 'm!

chaoscontrol

lier schreef op donderdag 13 augustus 2020 @ 17:56:
[...]

Als je een switch wil maken:

Reset, No Default Configuration
Maak een bridge
Voeg alle interfaces toe aan de bridge
Voeg (eventueel) een DHCP client toe aan de bridge (dan kan je de RB ook op IP naast MAC bereiken)

Idealiter gebruik je hiervoor Winbox.

Alternatief:
Haal je huidige WAN poort uit de WAN "Interface List" en maak hier LAN van.

Heb dat gedaan maar dan met de default config. Zou dat betekenen dat ik als ik de NAT masquerade rule (uit de default config) weggooi het anders ook al had gewerkt?

Ik had de ether1 al aan de lan group toegevoegd en in de bridge gehangen

Inventaris - Koop mijn meuk!

donderdag 13 augustus 2020 18:41

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

chaoscontrol schreef op donderdag 13 augustus 2020 @ 18:09:
Ik had de ether1 al aan de lan group toegevoegd en in de bridge gehangen

Dan is de firewall al niet meer van toepassing - tenzij je bridge traffic ook door de firewall forceert, maar dat is geen default. De fout zat dus ergens anders in.

donderdag 20 augustus 2020 11:50

Acties:

0 Henk 'm!

Serefsiz

Weet iemand toevallig of de MikroTik CRS112-8P-4S-IN in een 10inch kast te monteren is?
Kan nergens informatie over vinden.

Onderwerpen