[MikroTik-apparatuur] Ervaringen & Discussie

vrijdag 25 september 2020 11:18

Acties:

0 Henk 'm!

3780wP (18x 210wP EC Solar)

Willy Mikrotik schreef op donderdag 24 september 2020 @ 20:06:
Eindelijk heb ik internet en voor 2 seconden tv :-) ben van de RB4011 afgestapt en heb nu een CRS125 Cloud router Switch en de PPPoE verbinding was vrij snel in de lucht en internet doet het prima, maar nu heb ik na 2 seconden een freeze op de TV nu heb ik ergens iets gelezen hiervoor maar kan het niet terug vinden, heeft iemand een TIP hij is volgens netwerkje.com geconfigureerd :-) Hoop het snel te kunnen oplossen kan ik eindelijk weer gewoon TV kijken.

BVD
Willy

Was er iets mis met je RB4011 of kreeg je het daar niet mee aan de praat? Mbt TV ik geloof dat je even IGMP snooping aan moeten zetten op je 'bridge-tv', maar heb zelf alleen tv gehad voor de "alles-in-1" korting en daarna opgezegd

Deze ruimte is te huur!

vrijdag 25 september 2020 20:28

Acties:

0 Henk 'm!

Willy Mikrotik

chaoscontrol schreef op donderdag 24 september 2020 @ 21:18:
[...]

Dat staat er toch?

[...]

Klopt maar daar zit dus in fout in Vandaar mijn vraag zat hem overigens NIET in de proxy maar ergens anders.

vrijdag 25 september 2020 20:32

Acties:

0 Henk 'm!

Willy Mikrotik

Mattie112 schreef op vrijdag 25 september 2020 @ 11:18:
[...]

Was er iets mis met je RB4011 of kreeg je het daar niet mee aan de praat? Mbt TV ik geloof dat je even IGMP snooping aan moeten zetten op je 'bridge-tv', maar heb zelf alleen tv gehad voor de "alles-in-1" korting en daarna opgezegd

Hoi Mattie112,

Inderdaad ik kreeg hem niet werkend met de PPPoE deze wilde niet een verbinding opbouwen heb nu het zelfde script in de CRS125 geladen en meteen werkend dus zit een probleem in de laatste versie van de RB4011 heb er twee geprobeerd en beide de zelfde problemen MikroTik zelf is er ook mee gemoeid geweest maar alles lijkt goed te gaan maar helaas geen verbinding dus.

Hierbij ben ik zeer goed geholpen door DECTDIRECT.nl

zaterdag 26 september 2020 16:54

Acties:

0 Henk 'm!

Ginz

Trek Superfly 5 powered

Ik ga ook maar eens meedoen aan de leuke discussie hier...

Vorig jaar heb ik een hEX S gekocht, want ik wilde van de apparatuur van T-Mobile af. Door de steile leercurve, heeft het mij maanden gekost om het internet werkend te krijgen. Maar uiteindelijk is me dat, met hulp van @Mattie112 gelukt (nogmaals dank!).

Aangezien het mij zoveel tijd heeft gekost om het werkende te krijgen, wilde ik er niets meer aan doen, omdat ik bang was iets stuk te maken. Maar sinds een paar weken ben ik er weer mee bezig, omdat er opeens iets gebeurde, waar ik geen verklaring voor had en geen oplossing voor kon vinden.

Als ik het goed onthouden heb, heb ik in de firewall een regel gezet, waardoor ik middels Winbox van buitenaf mijn hEX S kon bereiken. Daarna kreeg ik problemen.

- Chromecast Ultra (bekabeld verbonden) gaf de melding geen internet meer te hebben
- Chromecast Audio (bekabeld verbonden) kon ik nog wel vinden in Spotify, maar nagenoeg niet meer naar streamen. Afentoe kwam een seconden of iets door.
- LG TV woonkamer (bekabeld verbonden) kon geen verbinding meer krijgen met Netflix/NPO/Disney/Youtube en in de netwerkinstellingen gaf de TV aan dat hij de DNS niet kon vinden. Door dezelfde IP-adressen (die er al stonden) handmatig in te vullen, kreeg de TV opeens wel verbinding, die echter na een tijdje ook weer wegviel. Handmatig een andere DNS invullen veranderde niets aan de situatie.
- LG TV slaapkamer (bekabeld verbonden) idem, als hierboven
- Beide TV's konden gewoon wel een film van mijn NAS streamen, zelfs 4K geen probleem.
- Beide TV's beschiken over de laatste SW
- Met mijn PC (bekabeld verbonden) was het geen probleem om Netflix/NPO/Disney te bekijken.
- Mobiele telefoon kon gewoon Netflix/NPO/Disney afspelen
- Tablet daarentegen had problemen met NPO, maar niet met Disney en Netflix

Oftewel, heel erg vreemde situatie, waar ik geen antwoord op kan vinden.

Nu heb ik laatste de hEX S teruggezet naar fabrieksinstellingen en opnieuw ingesteld en toen werkte het goed, echter lukte het mij niet om even snel WiFi werkend te krijgen, dus heb ik back-up van afgelopen april teruggezet, met gevolg dat mijn dochter gewoon kon internetten op haar telefoon/tablet.

Ik heb die firewall regel weer toegevoegd, om zo weer vanaf extern toegang te kunnen krijgen tot mijn hEX S en heb daarna getest of alles nog werkte. Het lijkt mij namelijk stug dat dat de oorzaak kan zijn, maar dat is wel hetgeen ik veranderd heb, voor dat de problemen kwamen. Maar alles werkte, ik was blij.

De volgende dag, kon mijn TV weer geen verbinding krijgen met Netflix/Disney/NPO.....

ARGH#@%^#$@^

Hebben julllie enig idee?

Het kan toch niet zo zijn dat de onderstaande regel deze problemen veroorzaakt?

code:

1	/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

Die regel heb dan natuurlijk wel bovenaan gezet. Voor de rest heb ik geen wijzigingen gedaan aan de default firewall regels (ook omdat ik dat nog niet snap)

Ook vind ik het nog moeilijk om 5G Wi-Fi op te zetten.... Maar dat komt een andere keer wel

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

zaterdag 26 september 2020 17:44

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Ginz schreef op zaterdag 26 september 2020 @ 16:54:
Het kan toch niet zo zijn dat de onderstaande regel deze problemen veroorzaakt?

Inderdaad, dat kan niet.

Desalniettemin zou ik de managementinterface absoluut niet zo naar het internet openzetten. Er zijn meer dan eens beveiligingsproblemen geweest in zowel Winbox als de Webinterface.

Je kunt beter een VPN inrichten (al dan niet op de MikroTik, idealiter Wireguard - maar dat zit enkel in v7). Als bonus kun je dan meteen bij je gehele thuisnetwerk én veilig internetten waar je ook bent.

Ook vind ik het nog moeilijk om 5G Wi-Fi op te zetten.... Maar dat komt een andere keer wel

Dat lijkt me ook knap lastig met de hEX S - die heeft toch helemaal geen WiFi aan boord

zaterdag 26 september 2020 17:52

Acties:

0 Henk 'm!

Ginz

Trek Superfly 5 powered

Thralas schreef op zaterdag 26 september 2020 @ 17:44:
[...]
Inderdaad, dat kan niet.

Nu net trouwens weer. Mijn TV in de woonkamer kon weer geen verbinding maken met NPO. Even de netwerkinstellingen verversen en nu werkt het weer.... Zo vreemd

Desalniettemin zou ik de managementinterface absoluut niet zo naar het internet openzetten. Er zijn meer dan eens beveiligingsproblemen geweest in zowel Winbox als de Webinterface.

Je kunt beter een VPN inrichten (al dan niet op de MikroTik, idealiter Wireguard - maar dat zit enkel in v7). Als bonus kun je dan meteen bij je gehele thuisnetwerk én veilig internetten waar je ook bent.

Ja, heb je gelijk in en VPN is inderdaad mijn wens. Ik zal dat weer eens gaan opzetten.

[...]

Dat lijkt me ook knap lastig met de hEX S - die heeft toch helemaal geen WiFi aan boord

Ik heb natuurlijk AP's in mijn netwerk hangen...

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

zaterdag 26 september 2020 18:57

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Ginz schreef op zaterdag 26 september 2020 @ 17:52:
[...]

Nu net trouwens weer. Mijn TV in de woonkamer kon weer geen verbinding maken met NPO. Even de netwerkinstellingen verversen en nu werkt het weer.... Zo vreemd

Ik ken de hEX S niet, maar wellicht is er iets in de logging te zien?
Desnoods eerst even in de logging Debug aan zetten naar Memory.

Het is raar dat het na een verversing van de netwerkinstellingen op de tv weer werkt...
Je zou bijna aan een of andere timeout gaan denken.

En even uit nieuwsgierigheid... Hoe staat je DHCP ingesteld op je router en wat krijgen je clients als DNS in de DHCP mee?

[ Voor 12% gewijzigd door Thasaidon op 26-09-2020 19:02 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 26 september 2020 19:11

Acties:

0 Henk 'm!

Vorkie

Ginz schreef op zaterdag 26 september 2020 @ 17:52:
[...]

Nu net trouwens weer. Mijn TV in de woonkamer kon weer geen verbinding maken met NPO. Even de netwerkinstellingen verversen en nu werkt het weer.... Zo vreemd

[...]

Ja, heb je gelijk in en VPN is inderdaad mijn wens. Ik zal dat weer eens gaan opzetten.

[...]

Ik heb natuurlijk AP's in mijn netwerk hangen...

Misschien even je config delen? Ik heb op de T-Mobile fiber bij mijn moeder ook succesvol de RB760iGS / heX S geplaatst direct aan de SFP.

Ether 1 en 2 zijn LAN
Ether 3 en 4 IPTV
Ether 5 is Unifi AC-LITE PoE

SFP1 is de uplink

zaterdag 26 september 2020 19:35

Acties:

0 Henk 'm!

Ginz

Trek Superfly 5 powered

Vorkie schreef op zaterdag 26 september 2020 @ 19:11:
[...]

Misschien even je config delen? Ik heb op de T-Mobile fiber bij mijn moeder ook succesvol de RB760iGS / heX S geplaatst direct aan de SFP.

Ether 1 en 2 zijn LAN
Ether 3 en 4 IPTV
Ether 5 is Unifi AC-LITE PoE

SFP1 is de uplink

code:

# sep/26/2020 19:30:08 by RouterOS 6.47.3
# software id = 
#
# model = RB760iGS
# serial number = 
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz frequency=2412 name=\
    "Ginz Wireless "
add band=5ghz-n/ac control-channel-width=20mhz frequency=5520 name=\
    "Ginz Wireless 5G"
/interface bridge
add admin-mac=74:4D:28:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp1 ] auto-negotiation=no
/interface vlan
add interface=sfp1 name=Internet vlan-id=300
/caps-man datapath
add bridge=bridge name=Bridge
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=HomeSecurity \
    passphrase=
/caps-man configuration
add channel="Ginz Wireless " country=netherlands datapath=Bridge \
    datapath.bridge=bridge name=Config security=HomeSecurity \
    security.authentication-types=wpa-psk,wpa2-psk security.passphrase=\
     ssid="Ginz Wireless"
add channel="Ginz Wireless 5G" country=netherlands datapath=Bridge \
    datapath.bridge=bridge name="Config 5G" security=HomeSecurity ssid=\
    "Ginz Wireless 5G"
/caps-man interface
add channel="Ginz Wireless 5G" configuration="Config 5G" configuration.country=\
    netherlands configuration.ssid="Ginz Wireless 5G" datapath=Bridge disabled=\
    no mac-address=00:00:00:00:00:00 master-interface=none name=cap5 radio-mac=\
    00:00:00:00:00:00 radio-name="" security=HomeSecurity
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=10.0.0.10-10.0.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
    ord,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Config
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf disabled=yes interface=sfp1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=sfp1 list=WAN
/ip address
add address=10.0.0.1/24 comment=defconf interface=ether1 network=10.0.0.0
/ip dhcp-client
add disabled=no interface=Internet
/ip dhcp-server network
add address=10.0.0.0/24 comment=defconf gateway=10.0.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=10.0.0.212
/ip dns static
add address=10.0.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=all
add action=dst-nat chain=dstnat dst-address=31.201.81.15 dst-port=1706 \
    protocol=tcp to-addresses=10.0.0.60 to-ports=5001
add action=dst-nat chain=dstnat dst-address=31.201.81.15 dst-port=16881 \
    protocol=tcp to-addresses=10.0.0.60 to-ports=6881
add action=dst-nat chain=dstnat dst-address=31.201.81.15 dst-port=1194 \
    protocol=udp to-addresses=10.0.0.60 to-ports=1194
add action=accept chain=dstnat dst-address=31.201.81.15 dst-port=8291 protocol=\
    tcp
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

zaterdag 26 september 2020 21:07

Acties:

0 Henk 'm!

Vorkie

@Ginz
Misschien heb je hier wat aan, heb je geen TV afgenomen van T-Mobile? Dit draait nu al, nou, sinds december stabiel, inclusief de IPSEC tunnel tussen mij en mijn moeder. (Ik heb de Unifi controller, zij een Accesspoint op de PoE poort).

Ik zeg niet dat de config perfect is, maar 2 TV's, 1 computer, iPhone, iPad, WIFI van Airco, WIFI van TV's etc blijven gewoon super werken. Er zit ook een stukje config in mbt het vinden van mijn computers, voornamelijk voor media / e-mail etc over de IPSEC.

Afbeeldingslocatie: https://tweakers.net/i/jN0SNqZWWxu9IdMtZ893_iH-wUQ=/800x/filters:strip_exif()/f/image/SHPFKwBXCBgocqJwdInPdJyM.png?f=fotoalbum_large

code:

# sep/26/2020 17:26:43 by RouterOS 6.47.1
# software id = 2SR8-9ILK
#
# model = RB760iGS
# serial number = xxxxxxxxx
/interface bridge
add admin-mac=xx:xx:xx:xx:xx auto-mac=no comment=Bridges name=bridge
add ageing-time=30s name=bridge-tv protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] advertise=1000M-full comment=\
    "LAN interfaces" speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] comment="IPTV kastjes" speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] comment="WIFI Accesspoint" speed=100Mbps
set [ find default-name=sfp1 ] comment="WAN interface" mac-address=\
    xx:xx:xx:xx:xx
/interface vlan
add comment="VLAN interfaces" interface=sfp1 name=vlan-internet vlan-id=300
add interface=sfp1 loop-protect=off name=vlan-iptv vlan-id=640
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=TV
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=internal.domain.nl regexp=internal.domain.nl
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
    "IPSEC"
/ip ipsec peer
add address=x.x.x.x/32 exchange-mode=ike2 name="IPSEC" profile=\
    "IPSEC"
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1d name=\
    IPSECPRO pfs-group=modp1536
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1w name=defconf
/port
set 0 name=serial0
/queue type
set 1 pfifo-limit=200
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge-tv comment=defconf interface=ether3
add bridge=bridge-tv comment=defconf interface=ether4 trusted=yes
add bridge=bridge comment=defconf interface=ether5 trusted=yes
add bridge=bridge interface=ether1
add bridge=bridge-tv interface=vlan-iptv trusted=yes
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=sfp1 list=WAN
add interface=bridge-tv list=TV
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=vlan-internet
/ip dhcp-server lease
add address=192.168.1.253 mac-address=xx:xx:xx:xx:xx server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
    internal.domain.nl gateway=192.168.1.1 netmask=24 ntp-server=\
    192.168.x.254,192.168.x.235
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.1.1 name=routerOS-AL.internal.domain.nl ttl=4w3d type=A
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow IPSEC to INT" dst-address=\
    192.168.1.0/24 src-address=192.168.x.0/24
add action=accept chain=input dst-address=192.168.1.0/24 src-address=\
    192.168.x.0/24
add action=accept chain=input dst-address=192.168.1.0/24 src-address=\
    172.16.x.0/24
add action=accept chain=input dst-address=192.168.1.0/24 src-address=\
    192.168.x.0/24
add action=accept chain=input dst-address=192.168.1.0/24 src-address=\
    192.168.x.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.1.1 dst-port=\
    53 layer7-protocol=internal.domain.nl new-connection-mark=internal.domain.nl-forward \
    protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.1.1 dst-port=\
    53 layer7-protocol=internal.domain.nl new-connection-mark=internal.domain.nl-forward \
    protocol=udp
add action=mark-connection chain=prerouting dst-address=192.168.1.1 dst-port=\
    53 layer7-protocol=internal.domain.nl new-connection-mark=internal.domain.nl-forward \
    protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.1.1 dst-port=\
    53 layer7-protocol=internal.domain.nl new-connection-mark=internal.domain.nl-forward \
    protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=vlan-internet
add action=dst-nat chain=dstnat connection-mark=internal.domain.nl-forward \
    in-interface=bridge log=yes to-addresses=192.168.x.254
add action=masquerade chain=srcnat connection-mark=internal.domain.nl-forward log=\
    yes out-interface=bridge
/ip ipsec identity
add peer="IPSEC" secret=
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.x.0/24 peer="IPSEC" proposal=IPSECPRO \
    sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=\
    192.168.1.0/24 tunnel=yes
add dst-address=172.16.x.0/24 peer="IPSEC" proposal=IPSECPRO \
    sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=\
    192.168.1.0/24 tunnel=yes
add dst-address=192.168.x.0/24 peer="IPSEC" proposal=IPSECPRO \
    sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=\
    192.168.1.0/24 tunnel=yes
add dst-address=192.168.x.0/24 peer="IPSEC" proposal=IPSECPRO \
    sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=\
    192.168.1.0/24 tunnel=yes
add dst-address=192.168.x.0/24 peer="IPSEC" proposal=IPSECPRO \
    sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=\
    192.168.1.0/24 tunnel=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl address=192.168.0.0/16 certificate=mikrotik-al.internal.domain.nl \
    disabled=no
set api disabled=yes
set api-ssl certificate=mikrotik-al.internal.domain.nl
/ip upnp interfaces
add interface=vlan-internet type=external
add interface=bridge type=internal
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes primary-ntp=192.168.x.254 secondary-ntp=192.168.x.235
/system watchdog
set watchdog-timer=no
/tool e-mail
set address=192.168.x.19 from=routeros@domain.internal start-tls=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

zaterdag 26 september 2020 21:12

Acties:

+1 Henk 'm!

Ginz

Trek Superfly 5 powered

@Vorkie Nope, ik heb geen IPTV van T-Mobile

Ik ga morgen even jouw config bekijken

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

zondag 27 september 2020 14:45

Acties:

0 Henk 'm!

sebastiaanf

Mijn vriendin werkt thuis via VPN en haar sysadmin geeft aan dat zij een ip conflict heeft. Ons thuisnetwerk zit in de 10.0.0.0/24 range en haar werk PC krijgt op ons thuisnetwerk een ip via DHCP tussen 10.0.0.11 en 10.0.0.254. Op haar werk VPN wordt dus blijkbaar dezelfde range gebruikt en zij geven aan dat zij het niet aan hun zijde kunnen oplossen en dat wij een andere ip range moeten gebruiken...

Omdat de werk pc van mijn vriendin verder toch niks te zoeken heeft op ons privé netwerk dacht ik eraan om een eth port op mijn RB2011 uit de huidige bridge te halen en deze port dan een eigen dhcp server te geven die ik dan een adres laat uitdelen in de 192.168.x.x range. Op deze geisoleerde eth port sluit ik dan rechtstreeks de werk PC van mijn vriendin aan. Zo kan de rest van mijn netwerk volgens mij ongewijzigd blijven.

Klopt deze aanname? En zo ja, welke aanpassingen vereist dit in mijn firewall rules?

Voor de volledigheid hier mijn config:

code:

# sep/27/2020 13:28:42 by RouterOS 6.47.3
# software id = SIWB-XPXH
#
# model = 2011UiAS-2HnD
# serial number = 52CF049B0670
/interface bridge
add admin-mac=4C:5E:0C:C7:9D:FE auto-mac=no fast-forward=no name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN speed=100Mbps
set [ find default-name=ether2 ] comment="LAN - Ports 2/3/4/5 are switched off ether2" speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="LAN - Ports 6/7/8/9/10 are switched off ether6"
set [ find default-name=ether7 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface ethernet switch port
set 6 vlan-mode=fallback
set 7 vlan-mode=fallback
set 8 vlan-mode=fallback
set 9 vlan-mode=fallback
set 10 vlan-mode=fallback
set 12 vlan-mode=fallback
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=WPA2 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-Ce country=no_country_set frequency=auto frequency-mode=manual-txpower hide-ssid=yes mode=ap-bridge \
    security-profile=WPA2 ssid="Sebastiaan 2.4G" station-roaming=enabled wireless-protocol=802.11
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp_pool1 ranges=10.0.0.11-10.0.0.254
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no interface=bridge1 lease-time=3d name=dhcp1
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=10.0.0.1/24 comment="LAN IP subnet" interface=bridge1 network=10.0.0.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 gateway=10.0.0.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip firewall address-list
add address=10.0.0.0/24 list=OurLocalLAN
/ip firewall filter
add action=accept chain=input comment="Allow access to the router from the LAN using address list" src-address-list=OurLocalLAN
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow connections from the LAN" connection-state=new in-interface=bridge1
add action=accept chain=forward comment="Allow established connections" connection-state=established
add action=accept chain=forward comment="Allow related connections" connection-state=related
add action=accept chain=input comment="Allow established connections to the router" connection-state=established
add action=accept chain=input comment="Allow related connections to the router" connection-state=related
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=add-src-to-address-list address-list=ftp_blacklist address-list-timeout
add action=add-src-to-address-list address-list=ftp_stage3 address-list-timeout=1m
add action=add-src-to-address-list address-list=ftp_stage2 address-list-timeout=1m
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m
add action=drop chain=forward comment="Drop all other traffic through the router"
add action=drop chain=input comment="Drop all other traffic to the router"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

zondag 27 september 2020 15:35

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Ginz schreef op zaterdag 26 september 2020 @ 19:35:
[...]
/ip address
add address=10.0.0.1/24 comment=defconf interface=ether1 network=10.0.0.0

/ip dns
set allow-remote-requests=yes servers=10.0.0.212

Waarom heb je het IP van je router op ether1 gezet? Normaal staat dat geloof ik op de bridge interface(?)
Als nu namelijk je ether1 down gaat is ook je router niet meer te benaderen en is voor je gehele LAN netwerk de gateway dus down. Alles wat dan naar Internet wil werkt dan niet meer.

En wat is de 10.0.0.212? Is dat een PiHole? Of een andere interne DNS server?
Op welke interface zit die aangesloten?

Ik vraag dit omdat je aan gaf dat als je problemen had met "Internet", dus Netflx etc.., streamen vanaf je NAS wel gewoon goed ging.
Mijn vermoeden is dat er wellicht iets met je dns server niet helemaal lekker is of iets met je ether1.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 27 september 2020 16:22

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

sebastiaanf schreef op zondag 27 september 2020 @ 14:45:
Klopt deze aanname? En zo ja, welke aanpassingen vereist dit in mijn firewall rules?

Lijkt me prima. De netste oplossing is om even een interface list aan te maken waar je zowel je bridge1 als ethX in gooit.

code:

1
2

add action=accept chain=input comment="Allow access to the router from the LAN using address list" src-address-list=OurLocalLAN
add action=accept chain=forward comment="Allow connections from the LAN" connection-state=new in-interface=bridge1

Dan kun je deze twee meteen even gelijktrekken (beiden op interface list, of als je dat handiger lijkt address list).

maandag 28 september 2020 11:48

Acties:

+1 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Ik ben van plan het weekend even mijn router (RB4011) eens te resetten en opnieuw in te stellen. Is na een jaar of 5+ mikrotik (RB2011->CRS109->RB4011) en 5+jaar meer kennis wel fijn om eens opnieuw te beginnen. Zo heb ik nu een hele zwik port-forwards waarvan ik niet meer weer waar ze voor dienen (tip: comments

) en ook de firewall zou ik nu anders opzetten. Huidige opzet heeft heel veel expliciete 'block' rules waardoor het onoverzichtelijk wordt. Zou het liefst 1 grote block hebben en daarna alleen expliciet de accepts.

Zal wel na het instellen van t-mobile (zonder TV) een exportje maken is er meteen een nieuwe/up2date clean config die we weer aan de TS kunnen linken

Deze ruimte is te huur!

maandag 28 september 2020 11:50

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

@Ginz Het lijkt inderdaad wel een DNS issue te zijn (heb je ook IPv6 toevallig?). Je zou eens kunnen kijken of het flushen van de DNS cache (op de mikrotik) het probleem oplost. Of anders even 1.1.1.1 of 8.8.8.8 als DNS server er in gooien ff kijken wat dat doet.

Deze ruimte is te huur!

maandag 28 september 2020 12:08

Acties:

0 Henk 'm!

Ginz

Trek Superfly 5 powered

Thasaidon schreef op zondag 27 september 2020 @ 15:35:
[...]

Waarom heb je het IP van je router op ether1 gezet? Normaal staat dat geloof ik op de bridge interface(?)
Als nu namelijk je ether1 down gaat is ook je router niet meer te benaderen en is voor je gehele LAN netwerk de gateway dus down. Alles wat dan naar Internet wil werkt dan niet meer.

Geen idee... Kan ik geen antwoord op geven, aangezien ik het verschil (nog) niet snap

En wat is de 10.0.0.212? Is dat een PiHole? Of een andere interne DNS server?
Op welke interface zit die aangesloten?

Ik vraag dit omdat je aan gaf dat als je problemen had met "Internet", dus Netflx etc.., streamen vanaf je NAS wel gewoon goed ging.
Mijn vermoeden is dat er wellicht iets met je dns server niet helemaal lekker is of iets met je ether1.

Jep, PiHole op 10.0.0.212. Zo uit mijn hoofd geen idee op welke interface die zit. Zou dat kunnen uitmaken?

Maar volgens mijn conclusie zou het niet aan de DNS kunnen liggen. Natuurlijk heb ik zelf ook naar de DNS gekeken, want mijn TV's gaven aan dat daar het probleem zat. Dus ik heb handmatig andere DNS ingegeven, op zowel mijn TV als mijn router, wat het probleem niet verhielp.

Mattie112 schreef op maandag 28 september 2020 @ 11:50:
@Ginz Het lijkt inderdaad wel een DNS issue te zijn (heb je ook IPv6 toevallig?). Je zou eens kunnen kijken of het flushen van de DNS cache (op de mikrotik) het probleem oplost. Of anders even 1.1.1.1 of 8.8.8.8 als DNS server er in gooien ff kijken wat dat doet.

Zeg je dat ik steeds de DNS moet flushen als ik iets wijzig? Zoja, dan moet ik dat even nakijken

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

maandag 28 september 2020 13:21

Acties:

+1 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Ginz schreef op maandag 28 september 2020 @ 12:08:
[...]

Zeg je dat ik steeds de DNS moet flushen als ik iets wijzig? Zoja, dan moet ik dat even nakijken

Ik was even getriggered door dit bericht "gaf de TV aan dat hij de DNS niet kon vinden". Zodra je weer dat probleem hebt kan je op de Mikrotik even de DNS flushen om te kijken of dat het probleem oplost. En om je pihole even uit te sluiten kan je ook even een weekje of wat 1.1.1.1 danwel 8.8.8.8 danwel 208.67.220.200 gebruiken als DNS server.

En wat je ook kan testen
In plaats van:
/ip address
add address=10.0.0.1/24 comment=defconf interface=ether1 network=10.0.0.0

/ip address
add address=10.0.0.1/24 comment=defconf interface=bridge network=10.0.0.0

Het is gebruikelijk om een IP toe te kennen aan je "bridge" ipv daadwerkelijk 1 interface. Je kan eigenlijk je "bridge" zien als 1 interface voor je (interne) netwerk.

Deze ruimte is te huur!

maandag 28 september 2020 18:36

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Ginz schreef op maandag 28 september 2020 @ 12:08:
[...]
Geen idee... Kan ik geen antwoord op geven, aangezien ik het verschil (nog) niet snap
[...]

Dan zal ik het proberen uit te leggen

Een bridge interface is een virtuele interface welke alle fysieke en Wifi interfaces (die in die bridge groep zitten) met elkaar verbind.
Daarom kan een bridge interface (in principe) ook niet down gaan.

Als je dus je router IP op de bridge interface zet, zou je router dus ook altijd benaderbaar moeten zijn via alle interfaces welke in de bridge groep zitten. En daarmee blijft dus ook je gateway naar Internet toe beschikbaar, maar ook alle services (zoals DHCP) welke op je router draaien.

Ether1 is een fysieke interface. Hangt daar niets aan, of als het systeem erachter down gaat (systeem zelf, of als de kabel slecht is), gaat ook de interface zelf down.
Als je daar dus het router IP op zet en deze interface down gaat, is je router niet meer te benaderen voor je netwerk. Daarmee is dus ook je gateway naar Internet niet meer te benaderen. Maar ook de DHCP server die op je router draait is dan niet meer te benaderen.

Verkeer tussen systemen op je LAN zal wel gewoon door blijven gaan, omdat dat alles via je bridge interface aan elkaar gekoppeld is.

Ik hoop dat het nu wat duidelijker is?

[...]
Jep, PiHole op 10.0.0.212. Zo uit mijn hoofd geen idee op welke interface die zit. Zou dat kunnen uitmaken?

Maar volgens mijn conclusie zou het niet aan de DNS kunnen liggen. Natuurlijk heb ik zelf ook naar de DNS gekeken, want mijn TV's gaven aan dat daar het probleem zat. Dus ik heb handmatig andere DNS ingegeven, op zowel mijn TV als mijn router, wat het probleem niet verhielp.
[...]

Welke DNS servers heb je op je PiHole ingesteld? En welke had je tijdelijk op je tv's ingesteld? Toevallig die van je ISP?
Ik weet namelijk dat er de laatste tijd regelmatig DDOS aanvallen zijn naar o.a. DNS servers van ISP's.

Maar wellicht is het een combo van...
Als je je IP op ether1 hebt gezet, daar toevallig ook je PiHole aan hangt en deze misschien soms weg valt door bv een slechte kabel... ben je je router kwijt, je dhcp server kwijt en je dns server kwijt.
Maar dat is ff een *brainfart* van mij.

Mattie112 schreef op maandag 28 september 2020 @ 13:21:
[...]

En wat je ook kan testen
In plaats van:
/ip address
add address=10.0.0.1/24 comment=defconf interface=ether1 network=10.0.0.0

/ip address
add address=10.0.0.1/24 comment=defconf interface=bridge network=10.0.0.0

Het is gebruikelijk om een IP toe te kennen aan je "bridge" ipv daadwerkelijk 1 interface. Je kan eigenlijk je "bridge" zien als 1 interface voor je (interne) netwerk.

Let wel even op.
Volgens mij kun je niet hetzelfde IP van ether1 ook op de bridge zetten (ip conflict).
Je zou dus eerst het IP van ether1 moeten verwijden, maar dan ben je ook gelijk je verbinding kwijt.

Het makkelijkst is om dit aan te passen via Winbox als je op MAC address verbinding maakt met je router ipv op IP.

[ Voor 15% gewijzigd door Thasaidon op 28-09-2020 18:48 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 28 september 2020 20:00

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Thasaidon schreef op maandag 28 september 2020 @ 18:36:

[...]

Let wel even op.
Volgens mij kun je niet hetzelfde IP van ether1 ook op de bridge zetten (ip conflict).
Je zou dus eerst het IP van ether1 moeten verwijden, maar dan ben je ook gelijk je verbinding kwijt.

Het makkelijkst is om dit aan te passen via Winbox als je op MAC address verbinding maakt met je router ipv op IP.

Correct én een goed punt! Via MAC verbinden werkt top of anders eerst even een ander IP assignen waarmee ja kan connecten.

Deze ruimte is te huur!

maandag 28 september 2020 20:31

Acties:

+1 Henk 'm!

Ginz

Trek Superfly 5 powered

Thasaidon schreef op maandag 28 september 2020 @ 18:36:
[...]

Dan zal ik het proberen uit te leggen

Een bridge interface is een virtuele interface welke alle fysieke en Wifi interfaces (die in die bridge groep zitten) met elkaar verbind.
Daarom kan een bridge interface (in principe) ook niet down gaan.

Als je dus je router IP op de bridge interface zet, zou je router dus ook altijd benaderbaar moeten zijn via alle interfaces welke in de bridge groep zitten. En daarmee blijft dus ook je gateway naar Internet toe beschikbaar, maar ook alle services (zoals DHCP) welke op je router draaien.

Ether1 is een fysieke interface. Hangt daar niets aan, of als het systeem erachter down gaat (systeem zelf, of als de kabel slecht is), gaat ook de interface zelf down.
Als je daar dus het router IP op zet en deze interface down gaat, is je router niet meer te benaderen voor je netwerk. Daarmee is dus ook je gateway naar Internet niet meer te benaderen. Maar ook de DHCP server die op je router draait is dan niet meer te benaderen.

Verkeer tussen systemen op je LAN zal wel gewoon door blijven gaan, omdat dat alles via je bridge interface aan elkaar gekoppeld is.

Ik hoop dat het nu wat duidelijker is?

[...]

Welke DNS servers heb je op je PiHole ingesteld? En welke had je tijdelijk op je tv's ingesteld? Toevallig die van je ISP?
Ik weet namelijk dat er de laatste tijd regelmatig DDOS aanvallen zijn naar o.a. DNS servers van ISP's.

Maar wellicht is het een combo van...
Als je je IP op ether1 hebt gezet, daar toevallig ook je PiHole aan hangt en deze misschien soms weg valt door bv een slechte kabel... ben je je router kwijt, je dhcp server kwijt en je dns server kwijt.
Maar dat is ff een *brainfart* van mij.

[...]

Let wel even op.
Volgens mij kun je niet hetzelfde IP van ether1 ook op de bridge zetten (ip conflict).
Je zou dus eerst het IP van ether1 moeten verwijden, maar dan ben je ook gelijk je verbinding kwijt.

Het makkelijkst is om dit aan te passen via Winbox als je op MAC address verbinding maakt met je router ipv op IP.

Top, hier heb ik wat aan.... Ik ga het morgen even uitproberen.

En in PiHole heb ik de DNS van T-Mobile opgegeven. Maar ook die heb ik wel veranderd, om te kijken of daar iets mis mee was

"It's nice to be important, but it's more important to be nice"
-
"You like it now, but you'll learn to love it later"

dinsdag 29 september 2020 15:49

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Ginz schreef op maandag 28 september 2020 @ 20:31:
[...]
Top, hier heb ik wat aan....

Graag gedaan

Volgens mij was T-Mobile één van de "getroffen" ISP's, maar dat weet ik niet zeker.

Je zou eens kunnen proberen een andere DNS in te stellen en kijken of het probleem nog een keer voor komt...

Google DNS (8.8.8.8 of 8.8.4.4),
Cloudflare DNS (1.1.1.1 t/m .3 of 1.0.0.1 t/m .3)
OpenDNS DNS (208.67.220.220 of 208.67.222.222)

Zelf gebruik ik al jaren die van OpenDNS, deze filteren namelijk ook bekende botnets, mallware en fishing sites, etc... eruit.

[ Voor 25% gewijzigd door Thasaidon op 29-09-2020 17:47 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 2 oktober 2020 10:06

Acties:

0 Henk 'm!

Onk_the_Monk

Ik heb een MikroTik Routerboard RB2011UiAS-IN en krijg hier maar max 130mbits door zowel via de wifi (via 2x MikroTik wAP ac) als bekabeld (1Gbps poorten). Als ik echter op de modem (DOCSIS 3.1 E-ROUTER) van telenet test heb ik 270 mbps. Kabels al eens getest en daar ligt het ook niet aan. Software matig heb ik op de Mikrotik al zitten rondkijken maar ik kan daar nergens iets vinden. Op fora al gelezen dat sommige providers zouden throttelen naar andere routers toe iemand ervaring hiermee met telenet? Anders enige andere tips waar ik eens naar kan kijken?

vrijdag 2 oktober 2020 10:39

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Wat is de CPU belasting @Onk_the_Monk ? Wellicht een beperking door veel firewall rules? Fasttrack geactiveerd? Welke RouterOS versie draai je?

Eerst het probleem, dan de oplossing

vrijdag 2 oktober 2020 12:58

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

lier schreef op vrijdag 2 oktober 2020 @ 10:39:
Wat is de CPU belasting @Onk_the_Monk ? Wellicht een beperking door veel firewall rules? Fasttrack geactiveerd? Welke RouterOS versie draai je?

Yes vooral FastTrack ff checken, stond vroeger niet (standaard) aan dus als je al jaren dezelfde config hebt dan scheelt dat echt een boel aan performance! En anders ff upgraden naar de RB4011 die trekt keurig mn gbit vol

Deze ruimte is te huur!

vrijdag 2 oktober 2020 19:27

Acties:

0 Henk 'm!

Onk_the_Monk

lier schreef op vrijdag 2 oktober 2020 @ 10:39:
Wat is de CPU belasting @Onk_the_Monk ? Wellicht een beperking door veel firewall rules? Fasttrack geactiveerd? Welke RouterOS versie draai je?

Belasting CPU piekt tijdens speedtest tot 80% en zit gemiddeld rond de 60% tijdens gewoon gebruik zit hij rond 10-20%. Ik heb niet zo veel firewall rules 10 op dit moment. Fasttrack niet geactiveerd. Zal het eens testen met fasttrack. Ik draai momenteel deze versie van RouterOS: 6.46.4 (stable).

vrijdag 2 oktober 2020 19:35

Acties:

0 Henk 'm!

Onk_the_Monk

Mattie112 schreef op vrijdag 2 oktober 2020 @ 12:58:
[...]

Yes vooral FastTrack ff checken, stond vroeger niet (standaard) aan dus als je al jaren dezelfde config hebt dan scheelt dat echt een boel aan performance! En anders ff upgraden naar de RB4011 die trekt keurig mn gbit vol

Net twee fasttrack rules toegevoegd aan de firewall maar dat heeft niet geholpen.

vrijdag 2 oktober 2020 23:44

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Onk_the_Monk schreef op vrijdag 2 oktober 2020 @ 19:35:
Net twee fasttrack rules toegevoegd aan de firewall maar dat heeft niet geholpen.

Dan gaat er vast iets verkeerd. Rules wel hoog genoeg gezet? Post anders eens je config.

zaterdag 3 oktober 2020 22:16

Acties:

0 Henk 'm!

Onk_the_Monk

Thralas schreef op vrijdag 2 oktober 2020 @ 23:44:
[...]

Dan gaat er vast iets verkeerd. Rules wel hoog genoeg gezet? Post anders eens je config.

Zo heb ik zo momenteel staan:

/ip firewall filter
add action=accept chain=forward comment="defconf: accept established,related" connection-state=\
established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input port=69 protocol=udp
add action=accept chain=forward port=69 protocol=udp
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=Bogons
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=ether1
add action=fasttrack-connection chain=forward comment="Fasttrack DNS TCP" dst-port=53 protocol=\
tcp
add action=fasttrack-connection chain=forward comment="Fasttrack DNS UDP" dst-port=53 protocol=\
udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
out-interface-list=WAN

zaterdag 3 oktober 2020 22:46

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Dat gaat zo inderdaad niet werken.

Fasttrack rules horen vóór de reguliere 'accept established/related'. Helemaal bovenaan dus. Daarnaast begrijp ik niet waarom je daar filtert op poort 53 - dat kun, en wil, je weglaten. Of het vervolgens werkt kun je goed zijn aan de 'dummy fasttrack counters'-regel die ROS vanzelf toevoegt in de firewall.

Er zitten wel meer eigenaardigheden in je firewall; schroom niet om even te resetten en dat als uitgangspunt te gebruiken.

dinsdag 6 oktober 2020 20:23

Acties:

0 Henk 'm!

Onk_the_Monk

Thralas schreef op zaterdag 3 oktober 2020 @ 22:46:
Dat gaat zo inderdaad niet werken.

Fasttrack rules horen vóór de reguliere 'accept established/related'. Helemaal bovenaan dus. Daarnaast begrijp ik niet waarom je daar filtert op poort 53 - dat kun, en wil, je weglaten. Of het vervolgens werkt kun je goed zijn aan de 'dummy fasttrack counters'-regel die ROS vanzelf toevoegt in de firewall.

Er zitten wel meer eigenaardigheden in je firewall; schroom niet om even te resetten en dat als uitgangspunt te gebruiken.

Ben (nog) niet zo thuis in het uitgebreidere netwerk config zoals bij RouterOS maar probeer door trial en error en zelfstudie hier wegwijs in te geraken.

Ik heb de rules aangepast zoals je zei ik haal nu 244mbits van de 300 mbits dus dat is een groter verbetering! Ik zal mij eens verder verdiepen in de firewall en deze opkuisen. Bedankt voor de tips!

woensdag 7 oktober 2020 10:07

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Onk_the_Monk schreef op dinsdag 6 oktober 2020 @ 20:23:
[...]
Ik zal mij eens verder verdiepen in de firewall en deze opkuisen. Bedankt voor de tips!

Als tip wil ik dan even mee geven dat je het beste het aantal regels moet zien te beperken.
Probeer daarnaast ook de meest generieke regels (die het meest gebruikt zullen worden) bovenaan te zetten in de regel lijst.

Een firewall zal namelijk altijd bovenaan in die lijst beginnen met zoeken naar een match en dan regel voor regel af gaan tot hij een match vind.
Hoe hoger dus de meest gebruikte regels staan, hoe eerder de match, hoe minder regels er doorlopen hoeven te worden.
En dat geldt dus ook voor het aantal regels.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 8 oktober 2020 09:33

Acties:

0 Henk 'm!

Hayertjez

Nu de discussie hier een tijdje gevolgd te hebben ben ik van plan om ook mijn configuratie wat op te schonen.

Momenteel is een hAP AC mijn CAPsMAN manager die een hAP AC2 aanstuurt. Inmiddels heb ik ook geen glasvezel meer dus daaraan gerelateerde instellingen zouden er ook uit kunnen.
Huidig

code:

/interface bridge
add name=bridge1
add comment=defconf fast-forward=no igmp-snooping=yes name=bridgeLocal
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: wifi, local forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set \
    disabled=no frequency-mode=manual-txpower ssid=MikroTik station-roaming=\
    enabled
# managed by CAPsMAN
# channel: 5640/20-eeeC/ac/DP(25dBm), SSID: wifi, local forwarding
set [ find default-name=wlan2 ] country=netherlands disabled=no mode=\
    station-bridge ssid=MikroTik station-roaming=enabled wireless-protocol=\
    nv2-nstreme-802.11
/caps-man configuration
add country=netherlands datapath.bridge=bridgeLocal \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    mode=ap name=cfg1 security.authentication-types=wpa2-psk \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h ssid="wifi"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man access-list
add mac-address="macadress" 
add allow-signal-out-of-range=10s disabled=no mac-address="adress" \
    ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no interface=bridgeLocal
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=wlan2
add bridge=bridgeLocal interface=sfp1
add bridge=bridgeLocal interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=wlan2 list=WAN
add list=LAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=sfp1 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap
# 
set bridge=bridgeLocal caps-man-addresses=127.0.0.1 discovery-interfaces=\
    bridgeLocal enabled=yes interfaces=wlan1,wlan2
/ip dhcp-client
add disabled=no interface=bridgeLocal
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Boven
/system routerboard settings
# Firmware upgraded successfully, please reboot for changes to take effect!
set auto-upgrade=yes

Zou ik het volgende weg kunnen halen aangezien het door CAPsMAN geregeld wordt?

code:

/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: wifi thuis, local forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set \
    disabled=no frequency-mode=manual-txpower ssid=MikroTik station-roaming=\
    enabled
# managed by CAPsMAN
# channel: 5640/20-eeeC/ac/DP(25dBm), SSID: wifi thuis, local forwarding
set [ find default-name=wlan2 ] country=netherlands disabled=no mode=\
    station-bridge ssid=MikroTik station-roaming=enabled wireless-protocol=\
    nv2-nstreme-802.11

Dat zou samen met wat andere aanpassingen leiden tot
Nieuw

code:

# oct/08/2020 09:09:22 by RouterOS 6.47.4
/interface bridge
add name=bridge1
add comment=defconf fast-forward=no igmp-snooping=yes name=bridgeLocal
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/caps-man configuration
add country=netherlands datapath.bridge=bridgeLocal \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    mode=ap name=cfg1 security.authentication-types=wpa2-psk \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h ssid="wifi thuis"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man access-list
add mac-address="macadress"
add mac-address="macadress"
add allow-signal-out-of-range=10s disabled=no ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no interface=bridgeLocal
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=wlan2
add bridge=bridgeLocal interface=sfp1
add bridge=bridgeLocal interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=wlan2 list=WAN
add list=LAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap
#
set bridge=bridgeLocal caps-man-addresses=127.0.0.1 discovery-interfaces=\
    bridgeLocal enabled=yes interfaces=wlan1,wlan2
/ip dhcp-client
add disabled=no interface=bridgeLocal
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Boven
/system routerboard settings
# Firmware upgraded successfully, please reboot for changes to take effect!
set auto-upgrade=yes

Daarnaast als jullie goede bronnen hebben om dit wat beter te leren begrijpen houd ik mij ook aanbevolen.

donderdag 8 oktober 2020 10:14

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Wat ik zou aanpassen: alle radio's hebben bij mij een eigen configuratie. Op die manier kan je exact bepalen welk accesspoint welk kanaal gebruikt.

De beste bron is wat mij betreft het MikroTik forum: https://forum.mikrotik.co...p?search_id=active_topics
Maar die had je vast al gevonden

Eerst het probleem, dan de oplossing

donderdag 8 oktober 2020 10:21

Acties:

+1 Henk 'm!

nescafe

Wifi

admin-mac op bridgeLocal
wlan1,wlan2 uit bridgeLocal
detect-internet uit
(mogelijk) sfp1 uit bridgeLocal (aangezien je die uit interface list LAN haalt)
alle slave poorten uit interface list LAN
bogus entry uit interface list LAN
cap discovery-interfaces leeg indien caps-man-addresses specified

Ah, je gebruikt verder geen routering en firewall. Dan zijn de interface lists overbodig dus weg ermee.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 8 oktober 2020 13:38

Acties:

+1 Henk 'm!

Laagheim

@Hayertjez Ik kijk altijd bij wirelessinfo.be (hij heeft tegenwoordig ook een youtube kanaal). Alle informatie die je nodig hebt voor een thuis netwerkje op een manier uitgelegd dat een hobbyist (als ik) het ook begrijpt.

zaterdag 10 oktober 2020 14:49

Acties:

+1 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Als je geen kanaal opgeeft doen ze gewoon auto-detect en zoekt elke AP zijn eigen "beste" kanaal. Zo heb ik het in elk geval

En alvast 1 tip: als je de router die de CAPsMAN is ook zichzelf wil laten joinen om zo maar te zeggen moet je een firewall rule toevoegen chain=input src=127.0.0.1 dst=127.0.0.1 action=accept

En voor je accesspoints: tja ik ben lui:

Enabling CAPs mode
To connect this device to a wireless network managed by CAPsMAN, keep holding the button for 5 more seconds, LED turns solid, release now to turn on CAPs mode.

https://wiki.mikrotik.com/wiki/Manual:Reset

Wel zo makkelijk

Deze ruimte is te huur!

zondag 18 oktober 2020 21:03

Acties:

0 Henk 'm!

DeadLock

Vastlopen is relatief....

Sinds enkele maanden heb ik ook enkele mikrotik apparaten in huis, tot op heden tot grote tevredenheid

.

Een RB4011 router, hex S PoE en 2x cap ac. Tot vorige week had ik maar een enkele WAP in gebruik, maar uitendelijk toch eens de acces points op hun definitieve plekken gehangen en dan ineens ook de configuratie met CAPsMAN.

De rb4011 is de 'hoofd' router, deze krijgt 1 publiek IP van de modem. Aan deze rb4011 hangen enkele vaste toestellen (onze desktop pc's) en de hex PoE. Deze zorgt voor de voeding van (onder andere) de twee cap ac's. Dit was ook de situatie voor CAPsMAN in gebruik werd genomen.

Het heeft me behoorlijk wat uren tijd gekost (vooral een UI vaagheid in de webUI heeft me behoorlijk wat uren gekost), maar uiteindelijk werkt het prima. Ondanks dat ik geen leek ben toch een behoorlijke leercurve

.

Hoe dan ook heb ik nog 1 probleem waar ik niet aan uit kan. Tot voor het gebruik van CAPsMAN (zonder iets fysiek te veranderen) werkte alles prima. Nu werkt alles ook nog, met uitzondering van VOIP. Vanaf mijn vaste computers (direct op de rb4011) kan ik nog voip gesprekken starten, vanaf wireless niet meer. Omdat we toch vaak bellen via VOIP is het behoorlijk vervelend.

Iemand een idee of tip om dit weer werkende te krijgen?

Strava

woensdag 21 oktober 2020 15:45

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Tja dat is wat lastig je zou je config eens kunnen posten (gebruik de hide-sensitive) optie. O en Winbox vind ik een heel stuk beter dan de web UI.

En wat is het probleem met VOIP? Je kan niet connecten? Je kan niet bellen? Jij hoort de ander maar die jou niet of vice-versa?

Deze ruimte is te huur!

woensdag 21 oktober 2020 23:16

Acties:

0 Henk 'm!

Fees

sinds kort heb ik de MikroTik Cloud Router Switch 305-1G-4S+IN met het idee om wat te experimenteren met 10Gbe nu dit stillejes (en zeker door mikrotik) betaalbaar wordt voor de gemiddelde consument.

Jammer genoeg haal ik in de verste verte niet de snelheden die ik zou moeten halen en ik hoop dat jullie me wat kunnen helpen...

de setup is erg eenvoudig (dacht ik toch, na enkele dagen prutsen om het goed te krijgen is het al minder 'simpel' vind ik

)
de mikrotik staat in switch mode, ik heb hem dus op Switch OS gezet zonder nog verder iets in de settings aan te passen.

hij hangt via de ethernet poort aan de router van m'n ISP (Telenet).
verder hangen daar 2 clients aan telkens met mellanox connectx 2 kaarten.
1 hangt aan de switch met DAC kabel van 1 meter, de andere met cat6 van 30meter en S+RJ10 trancseivers.

De snelheden die ik haal tijdens het testen dmv IPERF3 zijn steeds +- 4.5gigabit
De reële transfersnelheden (= file kopiëren in windows) zijn een stuk minder.
Dit varieert van 80MBps tot 200MBps

Als ik de switch er tussen uit haal en met de cat6 kabel rechtstreeks beide PCs verbind haal ik nog steeds +- 4.5 gigabit in IPERF3 maar is de transfersnelheid bij het kopiëren van bestanden wat je zou verwachten van 4.5gigabit ; namelijk tussen de 400 en 500MB/sec (met pieken naar 700MB/sec)

twee zaken dus eigenlijk

- waarom haal ik slechts 4.5gigabit in IPERF3
mijn vermoeden: cat6 over 30 meter is niet performant genoeg, ook al staat her en der vermeld dat 30 meter cat6 wel lukt.
Ik heb, toen ik de switch nog niet had maar wel al de netwerkkaarten en dac kabel in bezit had, al getes door de PC's via DAC rechtstreeks met elkaar te verbinden en hier haalde ik wel volle saturatie.
Ik heb dus een nieuwe cat7 kabel aangeschaft maar die postduif is ergens verloren gevlogen en is nog niet geleverd...heb ik nog niet kunnen testen dus.

Kennen jullie eventueel nog een andere mogelijke oorzaak?
Zowel in powershell als in de router wordt 10Gbit linkspeed aangegeven dus ik zie niet meteen een probleem... ?

Afbeeldingslocatie: https://tweakers.net/i/ObE1z-j7WNt5oHCrjX0m4Z7M7mQ=/800x/filters:strip_exif()/f/image/TognQnG2ANeJT7K8fmEBRBtq.png?f=fotoalbum_large

- wat is de oorzaak van de vertraging als het verkeer via de switch loopt?
Hier tast ik wat in het duister...
screenshot IPERF3 & file transfer wanneer het verkeer via switch loopt: Afbeeldingslocatie: https://tweakers.net/i/OM0kk3mWX8ktnGWTt52XUTM5JQg=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/nHprRJsVUxeyjN1IqFNZh8xy.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/OM0kk3mWX8ktnGWTt52XUTM5JQg=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/nHprRJsVUxeyjN1IqFNZh8xy.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sfnrLHWUr5mkxxw6j0EwAO_dMfU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/CdQpt9ZojEpmUEciukol1cCA.png?f=user_large

en wanneer rechtstreeks van pc tot pc:
Afbeeldingslocatie: https://tweakers.net/i/q51qMcoHW2AYgj1q7nIE5a8buDI=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/RLfI1jwwdkxqFgUOgcGx4JSj.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/q51qMcoHW2AYgj1q7nIE5a8buDI=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/RLfI1jwwdkxqFgUOgcGx4JSj.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/FqceZICXWOFBD2G5pUNdDLMDLTU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/7Ua8XDmzhDpDQzxswSqpfZRg.png?f=user_large

alvast bedankt voor jullie feedback!

woensdag 21 oktober 2020 23:32

Acties:

0 Henk 'm!

ik222

...

[ Voor 99% gewijzigd door ik222 op 21-10-2020 23:33 . Reden: Niet goed gelezen ]

donderdag 22 oktober 2020 00:24

Acties:

0 Henk 'm!

Fees

ja, storage kan volgen
De transfer is tussen SSD in raid0 & m.2nvme
Dat moet toch minstens 500MB/sec kunnen halen (en eigenlijk meer maar ondertussen zou ik al lang blij zijn met een constante van 500MB/sec

) en dat lukt dus enkel bij het rechtstreeks verbinden van beide clients, zonder de switch te gebruiken.
Dat zie je ook in het screenshot boven.

Om hier helemaal zeker van te zijn heb ik een paar maand geleden zonder switch ook al getest als volgt: ramdisk <-> m.2 nvme met rechtreekse verbinding tussen beide PC's dmv korte DAC kabel.
Haalde hiermee 10Gbit

Ik ga die test morgen nog eens herhalen en dan meteen ook IPERF resultaten erbij zoeken.
Dan hoop ik bandwith van 10Gbit/sec te halen, dan kan ik alvast de cat6 kabel als oorzaak aanduiden (hopelijk).

blijft dan nog enkel de drop in snelheid wanneer de switch wordt aangesloten die ik niet goed begrijp.
Van zodra de switch er tussen gezet wordt zakt dit naar 200MB/sec of lager.

donderdag 22 oktober 2020 09:28

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Is er nog iets van anti-virus actief? Die willen (kuch malwarebytes) nog wel eens wat "aggresief" scannen waardoor je CPU gewoon opgeslokt wordt en je daardoor niet de snelheid haalt die je wil. Verder geen ervaring met 10G maar zitten al je poorten op de Mikrotik in 1 bridge? Zonder firewall er tussen? Staat fastpath/fastrack aan?

Deze ruimte is te huur!

donderdag 22 oktober 2020 11:23

Acties:

0 Henk 'm!

peterstr

Gebruik je met iperf 1 of meerdere parallele sessies?
mijn ervaring is dat als je iperf meerdere sessies tegelijkertijd laat opzetten de performance flink omhoog gaat

donderdag 22 oktober 2020 11:41

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

En je kan ook eens kijken puur traffic naar de Mikrotik (er zit een traffic generator optie in)

Deze ruimte is te huur!

donderdag 22 oktober 2020 16:58

Acties:

0 Henk 'm!

Fees

zonder enige aanwijsbare of verklaarbare reden werkt het nu wél naar behoren, zonder iets te hebben gewijzigd.

via switch haal ik nu dezelfde snelheid als directe connectie
het is geen volle 10gbit maar toch al 7x sneller dan 1gbit
Afbeeldingslocatie: https://tweakers.net/i/pOB4R7pHyv_sViMLNzzjvp2zI9c=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/CyMf4xJvZkjbQZ1tLG9BBMks.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/pOB4R7pHyv_sViMLNzzjvp2zI9c=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/CyMf4xJvZkjbQZ1tLG9BBMks.png?f=user_large

jullie suggesties:
- IPERF met meerdere streams

Dit geeft inderdaad een beter beeld: tussen 6 & 7gbit dus wat ik ook effectief haal -> 6.5Gbit = 800MB/sec

In principe zou het nog sneller moeten kunnen:een test met ramdisk <-> m2.nvme waar ik makkelijk de 10gbit zou moeten verzadigen blijft hangen op 750 - 800MB/sec dus ergens loopt nog iets niet helemaal goed.
De waarden in IPERF zijn dus correct, sneller lukt voorlopig niet en ik weet niet precies waar het mis loopt.
Maar aangezien de max snelheid van m'n ssd raid setup tegen de 800MB/sec zit is het nut om dit nu uit te zoeken voorlopig beperkt.

- disablen van antivirus
helpt een beetje in IPERF maar geen reële boost in windows transfer speed.
Het is natuurlijk ook niet meteen een optie voor lange termijn

- firewall & fasttrack + fastpath
dit zijn opties in routerOS, voor zo ver ik weet?
Omdat mijn ISP Telenet niet de mogelijk heeft om de router te bridgen heb ik de mikrotik in switchOS lopen, met default settings.

ik begrijp er niets van, maar het werkt nu wel....
edit: het lag trouwens niet aan de cat6 kabel, wanneer ik beide clients rechtstreeks via DAC of cat6 vebind haal ik dezelfde snelheid van +- 500 tot 750MB/sec.

[ Voor 5% gewijzigd door Fees op 22-10-2020 17:04 ]

donderdag 22 oktober 2020 17:17

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Nog even spelen met jumbo frames miss ?

Deze ruimte is te huur!

donderdag 22 oktober 2020 17:42

Acties:

0 Henk 'm!

Fees

die stonden al op 9000
zonder jumbo frames haal ik amper snelheden boven de 2Gigabit

donderdag 22 oktober 2020 21:32

Acties:

0 Henk 'm!

sOid

Ik heb op mijn Mikrotik router een VPN ingesteld. Probleem is echter dat ik na inloggen op een ander subnet kom dan m'n LAN. Lan is bijvoorbeeld 192.168.178.*** terwijl ik via VPN adressen krijg toegewezen als 192.168.2.***

Probleem is dat ik daardoor niet bij webinterface van router of andere services kom die binnen mijn LAN draaien.

Hoe kan ik dit oplossen? Ik heb al wat met subnetmask van VPN zitten spelen, maar dat lijkt niet te helpen. Al stel ik het wellicht verkeerd in.

donderdag 22 oktober 2020 22:11

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op donderdag 22 oktober 2020 @ 21:32:
Ik heb op mijn Mikrotik router een VPN ingesteld. Probleem is echter dat ik na inloggen op een ander subnet kom dan m'n LAN. Lan is bijvoorbeeld 192.168.178.*** terwijl ik via VPN adressen krijg toegewezen als 192.168.2.***

De MikroTik is zeker niet je reguliere default gateway? Dan zou je dit probleem niet moeten hebben.

192.168.178.0/24 is het default subnet van Ziggo. Klopt het dat je nog een andere router hebt ?

Probleem is dat ik daardoor niet bij webinterface van router of andere services kom die binnen mijn LAN draaien.

Hoe kan ik dit oplossen?

De netste manier is om in je default gateway een statische route aan te maken voor je VPN subnet, richting de MikroTik.

Als deze dat niet ondersteunt, dan kun je overwegen de VPN range te NAT'en op de MikroTik (ie. masquerade rule op de LAN interface).

donderdag 22 oktober 2020 22:20

Acties:

0 Henk 'm!

sOid

Thralas schreef op donderdag 22 oktober 2020 @ 22:11:
[...]

De MikroTik is zeker niet je reguliere default gateway? Dan zou je dit probleem niet moeten hebben.

192.168.178.0/24 is het default subnet van Ziggo. Klopt het dat je nog een andere router hebt ?

Jawel, direct op T-Mobile glasvezel aangesloten met SFP-module zonder tussenkomst van iets anders. Subnets hierboven zijn slechts een voorbeeld. Weet namelijk niet in hoeverre het kwaad kan om echte subnet te posten? Misschien ook wel niet. Dus hieronder de echte subnets.

Subnet van LAN is 192.168.1.0/24 en als ik via VPN verbinding maak krijg ik bijvoorbeeld 192.168.89.255 toegewezen (tot nu toe is het altijd .255, blijkbaar gaat 'ie bij VPN 'terugtellen').

[...]

De netste manier is om in je default gateway een statische route aan te maken voor je VPN subnet, richting de MikroTik.

Als deze dat niet ondersteunt, dan kun je overwegen de VPN range te NAT'en op de MikroTik (ie. masquerade rule op de LAN interface).

Is dit nog steeds relevant met bovenstaande info? Zo ja, hoe zou die masquerade NAT eruit moeten zien?

Edit: ik heb 2 pools, eentje voor LAN en eentje voor VPN. Kan ik die pool niet gewoon wat minder groot maken zodat ze allebei op hetzelfde subnet zitten? Dus LAN 192.168.1.2 t/m *.250 en VPN een paar adressen vanaf *.250?

[ Voor 9% gewijzigd door sOid op 22-10-2020 22:51 ]

donderdag 22 oktober 2020 23:42

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op donderdag 22 oktober 2020 @ 22:20:
Subnets hierboven zijn slechts een voorbeeld. Weet namelijk niet in hoeverre het kwaad kan om echte subnet te posten?

Dat kan geen kwaad. Zelfs over WAN-IP-adressen doet men vaak onterechte panisch.

En dan wel een (B)SSID posten - als er iets goed op een kaartje te prikken valt

Subnet van LAN is 192.168.1.0/24 en als ik via VPN verbinding maak krijg ik bijvoorbeeld 192.168.89.255 toegewezen (tot nu toe is het altijd .255, blijkbaar gaat 'ie bij VPN 'terugtellen').

Dat laatste is volgens mij een eigenaardigheidje van MikroTik. Standaard begint de DHCP server achteraan in de pool geloof ik - hoewel ik ook wel eens het omgekeerde gedrag heb gezien.

Is dit nog steeds relevant met bovenstaande info? Zo ja, hoe zou die masquerade NAT eruit moeten zien?

Dan zou het gewoon moeten kunnen werken zonder gekke NAT-constructies. Is er misschien een firewall die roet in het eten gooit?

Post desnoods eens een config export. Of doe een traceroute van beide kanten.

Edit: ik heb 2 pools, eentje voor LAN en eentje voor VPN. Kan ik die pool niet gewoon wat minder groot maken zodat ze allebei op hetzelfde subnet zitten? Dus LAN 192.168.1.2 t/m *.250 en VPN een paar adressen vanaf *.250?

Je hebt niet verteld hoe je VPN er precies uitziet, maar meestal gaat dit niet werken: een subnet delen veronderstelt dat ze in hetzelfde broadcast domain zitten (ie. L2 connectivity), wat meestal niet aan de orde is bij een (L3) VPN.

donderdag 22 oktober 2020 23:49

Acties:

0 Henk 'm!

Fees

Fees schreef op donderdag 22 oktober 2020 @ 16:58:
zonder enige aanwijsbare of verklaarbare reden werkt het nu wél naar behoren, zonder iets te hebben gewijzigd.

nu opnieuw zonder aanwijsbare reden terug snelheden van 120 - 200MB max
bandwith in IPERF3 blijft rond de 6.5gbit

er is niets gewijzigd tov voorheen maar wel het volgende gemerkt:

als ik een file op de ene PC van share A naar share B verstuurde ging dit aan 700MB/sec
als ik diezelfde file naar identiek dezelfde shares stuurde maar vanop de andere PC ging dit aan max 200MB/sec
op zich al érg bizar??

dus maar beide computers gereboot
en sindsdien in beide pcs transfer rates van max 200MB/sec.

de exacte volgorde van troubleshooten:
-> lage transfer opgemerkt bij 1 pc
-> reboot
-> lage transfers bij beide pcs
-> directe connectie via DAC gemaakt & snelheden tot 800MB/sec op beide clients, zonder reboot
-> connectie weer via switch/router & lage snelheden tot max 200MB/sec op beide pcs
-> reboot -> helpt niet. Zit nu nog steeds op 'lage' snelheid te werken.

Het lijkt me dan toch echt bij de switch te zitten dan, of vergis ik me?

Zou het kunnen dat hij throttled vanwege de hitte van één S+RJ10 transceiver?
De temp van de transceiver is 80° maar dit wordt op de site vermeld op de site als 'normaal' en ok zolang er maar geen andere copper transceivers in één van de sloten errond zit.
Switch zelf loopt ongeveer 45°, volledig binnen spec:
Tested ambient temperature -40°C to 70°C

Ik ga dit in elk geval eens testen door de switch vannacht uit te zetten.
Als hij morgenvroeg perfect werkt (=afgekoeld) ga ik er maar van uit dat dit het issue is en probeer ik het met 2 DAC kabels... ?

Heeft iemand anders een idee?
Weet iemand waarom dezelfde actie (identieke file kopieren naar identieke shares) uitvoeren op de ene PC traag en op de andere PC snel liep?

UPDATE: hitte/throttle is het alvast niet, switch heeft nachtje uit gestaan en nog steeds max 200MB/sec

vrijdag 23 oktober 2020 08:24

Acties:

0 Henk 'm!

Hmmbob

sOid schreef op donderdag 22 oktober 2020 @ 22:20:
Edit: ik heb 2 pools, eentje voor LAN en eentje voor VPN. Kan ik die pool niet gewoon wat minder groot maken zodat ze allebei op hetzelfde subnet zitten? Dus LAN 192.168.1.2 t/m *.250 en VPN een paar adressen vanaf *.250?

Dit is exact wat ik heb (nou ja, met een andere adres range). Werkt perfect.

In de pools heb ik een range van (bijv) 192.168.2.100-150 vastgelegd voor DHCP, en .151-160 voor de VPN.
L2TP Server profile heeft als local address gewoon het interne adres van de router, als remote address de VPN pool.

Sometimes you need to plan for coincidence

vrijdag 23 oktober 2020 09:51

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

edit: whoops er was nog een pagina heb deze post wat aangepast

sOid schreef op donderdag 22 oktober 2020 @ 21:32:
Ik heb op mijn Mikrotik router een VPN ingesteld. Probleem is echter dat ik na inloggen op een ander subnet kom dan m'n LAN. Lan is bijvoorbeeld 192.168.178.*** terwijl ik via VPN adressen krijg toegewezen als 192.168.2.***

Probleem is dat ik daardoor niet bij webinterface van router of andere services kom die binnen mijn LAN draaien.

Hoe kan ik dit oplossen? Ik heb al wat met subnetmask van VPN zitten spelen, maar dat lijkt niet te helpen. Al stel ik het wellicht verkeerd in.

Ja geef even aan hoe je netwerk precies in elkaar zit. Geef je Mikrotik de .178 range uit? Dan kan je ook instellen dat je VPN users een IP uit die range krijgen.

Wat voor VPN gebruik je? Bij PPP kan je bijvoorbeeld kiezen welke IP pool gebruikt wordt voor connecties. Zo heb ik juist verschillende. Mijn user komt in de interne IP range. Ik heb ook VPN om backups naar een vriend te kunnen doen (andere range alleen NAS toegang) en ook wel eens voor fam leden die in het buitenland eea willen die komen weer op een range die weer helemaal niet intern mag.

[ Voor 76% gewijzigd door Mattie112 op 23-10-2020 09:54 ]

Deze ruimte is te huur!

vrijdag 23 oktober 2020 11:12

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Hmmbob schreef op vrijdag 23 oktober 2020 @ 08:24:
Dit is exact wat ik heb (nou ja, met een andere adres range). Werkt perfect.

Één belangrijk detail: dat werkt alleen als je proxy ARP gebruikt om alles aan elkaar te knopen.

'Tis maar net wat je handiger vindt. Ik vind een apart subnet handiger tbv. onderscheid.

vrijdag 23 oktober 2020 15:09

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Thralas schreef op vrijdag 23 oktober 2020 @ 11:12:
[...]

Één belangrijk detail: dat werkt alleen als je proxy ARP gebruikt om alles aan elkaar te knopen.

'Tis maar net wat je handiger vindt. Ik vind een apart subnet handiger tbv. onderscheid.

Is er iets op tegen om proxy-arp te gebruiken? Ik vind het (voor mijzelf) wel fijn om in mijn eigen subnet te zitten

Deze ruimte is te huur!

vrijdag 23 oktober 2020 16:22

Acties:

+1 Henk 'm!

Fees

Ik heb het probleem kunnen isoleren
Zoals vermeld is mijn voorlopige testsetup als volgt:

ROUTER ISP (Telenet) <-> MIKROTIK SWITCH <-> pc1 \ pc2

er loopt een 1Gbit ethernet kabel van router naar 1Gbit ethernet POE/boot-in poort vd switch
zodra ik die kabel verwijder en de 2 netwerkadapters disable->enable heb ik de gewenste snelheid op LAN (maar uiteraard geen WAN/Internet toegang).

Zodra ik de kabel opnieuw insteek en adapters disable/enable gaat snelheid weer omlaag.

In SwitchOS staat "Address Acquisition" op "DHCP with fallback" en switch krijgt wel degelijk IP binnen LAN
Verder staat alles op default, met uitz van:
- flow control welke ik als test had uit gezet maar geen verschil maakte.
- vlan mode staat voor elke poort op disabled

De netwerkkaarten staan beide op automatische configuratie (obtain ip & dns automatically)
als ik ipconfig /all check zie ik weinig mis:

intern 192.168.0.x IP met 1 dag lease
DNS is de telenet server
Gateway & dhcp server is de router (192.168.0.1)

Ik ken zeer weinig van Mikrotik switchOS en nog minder van RouterOS waar ik me dus niet aan gewaagd heb.
ik heb me proberen inlezen op de wiki maar de documentatie is enorm beperkt en ik word er dus niet veel wijzer uit...
https://wiki.mikrotik.com/wiki/SwOS/CRS3xx

Kan het zijn dat er out of the box iets fout geconfigureerd is?

zaterdag 24 oktober 2020 19:15

Acties:

0 Henk 'm!

Snippo

Ik heb op een Ziggo verbinding regelmatig (meestal 's avonds of in het weekend) connectieproblemen. De browser geeft dan constant aan 'server kan niet gevonden worden' en ook speedtest valt vrijwel meteen uit met 'cannot connect to server'. Verder is bijv. een verbinding met AnyDesk wel gewoon stabiel.
Echter, op het netwerk is vrijwel geen verkeer (gecontroleerd met torch en graphing) en ping werkt ook gewoon. Ik heb al van alles getest en geprobeerd, en volgens Ziggo is er ook niets mis, dus ik kom er niet uit. De problemen zijn er ook met een PC rechtstreeks verbonden aan de connect box, echter wanneer het mikrotik netwerk wordt losgekoppeld zijn de problemen voorbij.

Dit is de configuratie van de router (hAP AC2) die aan de Connect box hangt:
https://pastebin.com/RHTjjEvx

Iemand enig idee wat er mis kan zijn? De connectbox staat overigens -niet- in bridge modus.

zaterdag 24 oktober 2020 20:01

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

@Fees Wellicht toch even testen met RouterOS en/of de 2 10G-poorten isoleren van de rest (in de switch) om te zien wat dat doet?

@Snippo 'Ping werkt ook gewoon' - ook als je vanaf de MikroTik pingt, zowel naar zijn gateway als het internet?

zondag 25 oktober 2020 00:54

Acties:

0 Henk 'm!

Fees

Thralas schreef op zaterdag 24 oktober 2020 @ 20:01:
@Fees Wellicht toch even testen met RouterOS en/of de 2 10G-poorten isoleren van de rest (in de switch) om te zien wat dat doet?

Een tijdje aan het prutsen geweest in RouterOS dan maar, op jou aanraden...
Ik ben alweer een stap verder denk ik, waarvoor dank :-)

Initieel kreeg ik dit opnieuw niet aan de gang (opnieuw 200MB/sec max), zowel mét als zonder ethernet kabel van ISP in de boot/management port. Dan zag ik dat MTU in interface list op 1500 stond. Jumbo Frames vd netwerkkaarten staan op 9000 dus alles aangepast naar 9000 en dat geeft me opnieuw 700-800MB/sec indien de management port niet gebruikt wordt.

Zodra die wél in gebruik is zakt snelheid weer naar 200MB/sec max. Ik heb eens geprobeerd met direct connect tussen de 2 NICs en jumbo frames/mtu van beide op 1500 gezet en inderdaad, slechts 150-200MB/sec transfer.

Dus ergens loopt het daar fout,vermoed ik.
Ik heb nochtans zowel de bridge als alle poorten aangepast naar 9000
Zie onder, is hier ergens iets fout geconfigureerd?

poort 0 -> ethernet management port

code:

Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU
 0  RS ether1                              ether            9000  9092      10218
 1  RS sfp-sfpplus1                        ether            9000  9092      10218
 2   S sfp-sfpplus2                        ether            9000  9092      10218
 3   S sfp-sfpplus3                        ether            9000  9092      10218
 4  RS sfp-sfpplus4                        ether            9000  9092      10218
 5  R  ;;; defconf
       bridge                              bridge           9000  9092

volgens de wiki:
you can use the ping utility to make sure that all devices are able to forward jumbo frames

-> als ik dat dus test door de router/switch te pingen krijg ik:

code:

admin@MikroTik] >> /ping 192.168.0.173 size=9000 do-not-fragment    
  SEQ HOST                                     SIZE TTL TIME  STATUS             
    0 192.168.0.173                            9000  64 0ms  
    1 192.168.0.173                            9000  64 0ms  
    2 192.168.0.173                            9000  64 0ms  
    3 192.168.0.173                            9000  64 0ms  
    4 192.168.0.173                            9000  64 0ms  
    sent=5 received=5 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

Wat dus mij er van uit doet gaan dat het wél moet werken...

Als ik vanuit de console een PC ping met hetzelfde commando krijg ik een time-out (zowel wanneer management poort in gebruik is als niet, terwijl ik zou verwachten dat als ik ping wanneer die poort niet in gebruik is het commando wél werkt want dan haal ik volle snelheden)
Indien ik "size=9000" en 'do-not-fragment' weg laat kan ik de client telkens perfect pingen.

De volgende test die ik wou uitvoeren was om ipv de mngmt poort als uplink te gebruiken gewoon naar een SFP+ poort te gaan maar ik heb onvoldoende sfp+ copper modules of DAC kabels om dat te testen. En om er extra te kopen vind ik jammer want het zou toch gewoon moeten werken...?

-edit: ik bedenk net iets
als ik het goed heb moeten alle apparaten binnen het netwerk een MTU van 9000 hebben om dit te kunnen ondersteunen. Vandaar denk ik dat telkens als ik de router van m'n ISP aankoppel de MTU weer naar 1500 (of welke setting die ook gebruikt) gezet wordt aangezien deze naar mijn weten niet op 9000 staat.

Volgens mij is dit ook niet in te stellen op de telenet router.
Topic op telenet userbase/helpdesk: https://www.netweters.be/t5/Instellingen-software-hardware/MTU-grootte-aanpassen/td-p/86744

Hebben jullie suggesties hoe dit te omzeilen?
De oplossing in de thread van netweters.be -> 'modem only' wil ik vermijden aangezien ik dan nog een wireless access point moet opstellen/kopen en dit ook gevolgen heeft voor digitale tv (bekabeling)
Ik weet het even niet meer :-)

[ Voor 11% gewijzigd door Fees op 25-10-2020 01:22 ]

zondag 25 oktober 2020 10:53

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Hm het is wel een beetje vreemd verhaal. Je zou ook eens een mailtje kunnen sturen naar Mikrotik. Heb ik in het verleden ook wel eens gedaan met iets "vaags" en kreeg keurig antwoord.

(of het mikrotik forum zitten misschien net wat meer experts daar)

Not sure of MTU voor alles gelijk moet zijn of niet, staat hier allemaal standaard maar ik heb dan ook maar 1gbit

Deze ruimte is te huur!

zondag 25 oktober 2020 10:57

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Fees schreef op zondag 25 oktober 2020 @ 00:54:
Vandaar denk ik dat telkens als ik de router van m'n ISP aankoppel de MTU weer naar 1500 (of welke setting die ook gebruikt) gezet wordt aangezien deze naar mijn weten niet op 9000 staat.

Dat gaat sowieso niet vanzelf.

Ik weet het even niet meer :-)

Met overal 9000 mtu proberen te hanteren haal je jezelf ontzettend veel ellende op de hals. Zou het (uiteindelijk) proberen werkend te krijgen met 1500. Een netwerkkaart met TSO/GRO (check of dat actief is) zou met 1500 ook een heel eind moeten kunnen komen, lijkt me.

Enige wat ik verder nog niet terugzie is mijn suggestie om de poorten te isoleren. Snelle oplossing is om de 10G-poorten even in een aparte bridge te gooien. De netste oplossing is bridge vlan filtering, dan kun je namelijk óók de CPU bridge poort uitsluiten. Tip: maak gebruik Safe Mode.

zondag 25 oktober 2020 16:02

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op zaterdag 24 oktober 2020 @ 19:15:
Ik heb op een Ziggo verbinding regelmatig (meestal 's avonds of in het weekend) connectieproblemen. De browser geeft dan constant aan 'server kan niet gevonden worden' en ook speedtest valt vrijwel meteen uit met 'cannot connect to server'. Verder is bijv. een verbinding met AnyDesk wel gewoon stabiel.
Echter, op het netwerk is vrijwel geen verkeer (gecontroleerd met torch en graphing) en ping werkt ook gewoon. Ik heb al van alles getest en geprobeerd, en volgens Ziggo is er ook niets mis, dus ik kom er niet uit. De problemen zijn er ook met een PC rechtstreeks verbonden aan de connect box, echter wanneer het mikrotik netwerk wordt losgekoppeld zijn de problemen voorbij.

Dit is de configuratie van de router (hAP AC2) die aan de Connect box hangt:
https://pastebin.com/RHTjjEvx

Iemand enig idee wat er mis kan zijn? De connectbox staat overigens -niet- in bridge modus.

Klinkt als een DNS probleem. Vooral omdat websites het niet doen, welke op FQDN werken, maar Anydesk het wel doet, werkt op IP.

Ook als je de Mikrotik er tussenuit haalt en het dan op Ziggo zelf wel werkt.
Ziggo geeft andere DNS servers mee dan welke jij op je Mikrotik geconfigueerd hebt.
Je hebt namelijk zelf 1.1.1.1 (Cloudflare) ingesteld, en 1.1.0.0 (die ken ik niet, typo? 1.0.0.1 misschien?)

Dus ik zou zeggen, probeer eens andere DNS servers.
Die van Ziggo zelf, of een van deze...
https://duckduckgo.com/?t...vers&ia=answer&iax=answer

[ Voor 6% gewijzigd door Thasaidon op 25-10-2020 16:19 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 25 oktober 2020 21:34

Acties:

0 Henk 'm!

Snippo

@Snippo 'Ping werkt ook gewoon' - ook als je vanaf de MikroTik pingt, zowel naar zijn gateway als het internet?
[/quote]
Dat werkt ook prima.

Thasaidon schreef op zondag 25 oktober 2020 @ 16:02:
[...]

Klinkt als een DNS probleem. Vooral omdat websites het niet doen, welke op FQDN werken, maar Anydesk het wel doet, werkt op IP.

Ook als je de Mikrotik er tussenuit haalt en het dan op Ziggo zelf wel werkt.
Ziggo geeft andere DNS servers mee dan welke jij op je Mikrotik geconfigueerd hebt.
Je hebt namelijk zelf 1.1.1.1 (Cloudflare) ingesteld, en 1.1.0.0 (die ken ik niet, typo? 1.0.0.1 misschien?)

Dus ik zou zeggen, probeer eens andere DNS servers.
Die van Ziggo zelf, of een van deze...
https://duckduckgo.com/?t...vers&ia=answer&iax=answer

Ik had ook al een vermoeden dat het DNS problemen waren, dus ik had al het eea veranderd waarbij inderdaad die typo is ontstaan

.
Echter, dit lijkt niet het probleem. Het is wel vrijwel zeker iets met DNS, want als ik een traceroute op de Connect Box doe naar google.nl werkt dat ook niet. Op een of andere manier werkt DNS dus niet, maar dit is niet per se de DNS van Ziggo want 1.1.1.1 werkt ook niet.
Dus wat zou het kunnen zijn wat een Mikrotik doet dat DNS requests om zeep helpt

?

_{Is er een manier om DNS requests van buitenaf te monitoren? Ik neem aan dat de Connect Box dit standaard blokkeert, maar ik kom er niet achter hoe ik dit controleer op routerOS. Ik neem ook aan dat Ziggo dit ook wel kan zien als het misbruikt wordt, en die zagen niks geks.}

zondag 25 oktober 2020 21:44

Acties:

0 Henk 'm!

Fees

@Mattie112
Jammer genoeg moet MTU wel degelijk overal gelijk zijn binnen een bepaald subnet en is de router van m'n ISP spelbreker.
Cfr wiki:
Ethernet jumbo frames - For correct interoperation, frames should be no larger than the maximum frame size supported by any device on the network segment.

Bovendien ben ik het met jullie eens dat MTU verzetten in feite niet de goede oplossing is.
Echter kom ik zonder MTU aan te passen amper aan 1.5Gbit/sec, vreemd genoeg.

Thralas schreef op zondag 25 oktober 2020 @ 10:57:
Tip: maak gebruik Safe Mode.

goeie tip, anders had ik mezelf waarschijnlijk veel meer dan slechts een paar keer uit de router/switch gesloten denk ik :-)
Jammer genoeg helpt het niet echt.
Een lang verhaal kort: ik ken bijzonder weinig van VLAN, heb het nog nooit gebruikt, en het lukt me niet dit correct in te stellen.

Als ik de twee poorten isoleer kunnen de clients wel onderling communiceren tegen 7Gbit/sec - dat heb ik getest en werkt met switch os- maar dan heb ik geen toegang tot de uplink poort en dus ook geen WAN op de clients.

In principe is het 'eenvoudig':
al het verkeer tussen client1 <-> client2 mag niet over WAN UPLINK poort, dit moet met MTU 9000 (één vlan/subnet?)
al het verkeer van en naar WAN uplink moet met MTU 1500 (een andere vlan/subnet?)
Hoe ik dit concreet kan instellen ontgaat me dus...

Fysiek kan dit wel door de 10Gbe NICS over de mikrotik switch/router te laten lopen en de 1Gbit adapters van het moederbord te gebruiken icm een andere switch welke dan naar de ISP router gaat.
Maar dan moet ik dus dubbel bekabelen, wat ook niet de bedoeling is...
Heb het toch maar getest en het werkt aan 7Gbit/sec.

enkele comments in die richting maar jammer genoeg zonder uitleg hoe dit juist moet opgezet worden:
Jumbo frames is best used in isolated networks. If you are determined enough there is always a way to get it to work. I always recommend against Mcgyvering a production network though.
If you want to continue to utilize jumbo frames for the internal network, since you're running Mac's, you can add an additional NIC or setup a VLAN interface for Internet traffic.

of

To accomplish this in our network we set edge interfaces to be 9000 mtu then we have end user sunbets set for 1500mtu they have no problem sending out and our router will break up any large packets when it hits the vlan interface. On the 9000mtu networks we set the vlan interface and servers on 9000 mtu and they are fine.

zondag 25 oktober 2020 21:53

Acties:

0 Henk 'm!

Hmmbob

Snippo schreef op zondag 25 oktober 2020 @ 21:34:
Dus wat zou het kunnen zijn wat een Mikrotik doet dat DNS requests om zeep helpt ?

Firewall regels?

Sometimes you need to plan for coincidence

maandag 26 oktober 2020 08:00

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op zondag 25 oktober 2020 @ 21:34:
@Snippo 'Ping werkt ook gewoon' - ook als je vanaf de MikroTik pingt, zowel naar zijn gateway als het internet?

Dat werkt ook prima.

Doe je dan een ping naar bv google.nl? of naar een IP?

... als ik een traceroute op de Connect Box doe naar google.nl werkt dat ook niet.

Heb je dit getest mét of zonder de Mikrotiks aan het netwerk?

En waarom doe je een traceroute? Met een traceroute maakt je systeem gebruik van de door je DHCP server meegegeven DNS server (tenzij je DNS fixed op je systeem hebt ingesteld)

Als het DNS is kun je beter een nslookup doen.
Daarbij kun je bv ook een specifieke DNS server opgeven om te kijken of een ander bv wel werkt...

code:

C:\>nslookup tweakers.net 208.67.220.220
Server:  resolver2.opendns.com
Address:  208.67.220.220

Non-authoritative answer:
Name:    tweakers.net
Addresses:  2001:9a8:0:e:1337:0:80:1
          213.239.154.31


C:\>nslookup tweakers.net 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Non-authoritative answer:
Name:    tweakers.net
Addresses:  2001:9a8:0:e:1337:0:80:1
          213.239.154.30

Op deze manier kun je DNS testen zonder deze op je routers te hoeven aanpassen.

En idd, wat Hmmbob zegt...
Het zou een firewall regel kunnen zijn, maar ik zie zo snel even niet waar het hem in zou zitten.

Wel zie ik dat je SCTP blokkerd? Waarom?
En je staat 2x established verkeer toe...

code:

add action=accept chain=input comment="Allow Estab & Related" connection-state=\
    established,related
...
add action=accept chain=input comment="Allow Established connections" \
    connection-state=established

[ Voor 14% gewijzigd door Thasaidon op 26-10-2020 08:40 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 26 oktober 2020 09:48

Acties:

0 Henk 'm!

Snippo

Thasaidon schreef op maandag 26 oktober 2020 @ 08:00:
[...]

Doe je dan een ping naar bv google.nl? of naar een IP?

Dit was naar een IP.

[...]

Heb je dit getest mét of zonder de Mikrotiks aan het netwerk?

En waarom doe je een traceroute? Met een traceroute maakt je systeem gebruik van de door je DHCP server meegegeven DNS server (tenzij je DNS fixed op je systeem hebt ingesteld)

Als het DNS is kun je beter een nslookup doen.
Daarbij kun je bv ook een specifieke DNS server opgeven om te kijken of een ander bv wel werkt...
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
C:\>nslookup tweakers.net 208.67.220.220
Server:  resolver2.opendns.com
Address:  208.67.220.220

Non-authoritative answer:
Name:    tweakers.net
Addresses:  2001:9a8:0:e:1337:0:80:1
          213.239.154.31


C:\>nslookup tweakers.net 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Non-authoritative answer:
Name:    tweakers.net
Addresses:  2001:9a8:0:e:1337:0:80:1
          213.239.154.30
Op deze manier kun je DNS testen zonder deze op je routers te hoeven aanpassen.

En idd, wat Hmmbob zegt...
Het zou een firewall regel kunnen zijn, maar ik zie zo snel even niet waar het hem in zou zitten.

Wel zie ik dat je SCTP blokkerd? Waarom?
En je staat 2x established verkeer toe...
code:
1
2
3
4
5
add action=accept chain=input comment="Allow Estab & Related" connection-state=\
    established,related
...
add action=accept chain=input comment="Allow Established connections" \
    connection-state=established

Die traceroute zit in de Connect Box ingebouwd, zie bijv: https://uploads-eu-west-1...b70-ae05-e75ffd380c53.png . De Connect Box zit voor de Mikrotik en verkeer gaat dan rechtstreeks het internet op, dus dat zou gewoon moeten werken. De mikrotik zat echter nog wel aangesloten toen er problemen waren.

Ik heb zitten rommelen met de configuratie en inderdaad staan er nu een paar gekke dingen in.... Ik zal eerst eens de originele configuratie terug zetten. Op dit moment werkt alles bijv. weer gewoon prima, maar grote kans dat het vanavond weer mis is.

maandag 26 oktober 2020 12:19

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op maandag 26 oktober 2020 @ 09:48:
[...]
Op dit moment werkt alles bijv. weer gewoon prima, maar grote kans dat het vanavond weer mis is.

Als het nu wel werkt, maar wellicht vanavond ineens niet meer, dan denk ik niet dat het met de configuratie van de Mikrotik te maken heeft.
De configuratie nu zou immers niet anders zijn dan die in de avond.

Ook geeft je aan dat de Connect Box rechtstreeks aan het internet hangt en dus vóór de Mikrotik zit, maar een traceroute dan bv ook niet werkt.
Ook daarmee sluit je eigenlijk de Mikrotik al uit, tenzij de Connect Box iets raars doet icm de Mikrotik.

Maar begin idd eerst eens met de basis.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 26 oktober 2020 17:40

Acties:

0 Henk 'm!

Snippo

Thasaidon schreef op maandag 26 oktober 2020 @ 12:19:
[...]

Als het nu wel werkt, maar wellicht vanavond ineens niet meer, dan denk ik niet dat het met de configuratie van de Mikrotik te maken heeft.
De configuratie nu zou immers niet anders zijn dan die in de avond.

Ook geeft je aan dat de Connect Box rechtstreeks aan het internet hangt en dus vóór de Mikrotik zit, maar een traceroute dan bv ook niet werkt.
Ook daarmee sluit je eigenlijk de Mikrotik al uit, tenzij de Connect Box iets raars doet icm de Mikrotik.

Maar begin idd eerst eens met de basis.

Ik heb vanmorgen de configuratie hersteld, maar op dit moment zijn er weer problemen. De rest van de dag verliep vlekkeloos.

Ik ben tot dezelfde conclusie gekomen. Echter, volgens Ziggo zijn er geen problemen en bij het loskoppelen van de Mikrotik is het probleem ook 'verholpen'. Dit zou natuurlijk ook een gevolg kunnen zijn van geen verkeer over het netwerk/connect box, maar dit is niet iets wat ik zelf kan controleren. Ik snap er weinig meer van

.

Het meest gekke is dat 1.1.1.1 handmatig instellen als DNS op een apparaat ook niet werkt. Een DNS server van Ziggo die het niet doet zou eea kunnen verklaren, maar dat is het dus ook niet.

maandag 26 oktober 2020 17:54

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op maandag 26 oktober 2020 @ 17:40:
[...]

Ik heb vanmorgen de configuratie hersteld, maar op dit moment zijn er weer problemen. De rest van de dag verliep vlekkeloos.

Ik ben tot dezelfde conclusie gekomen. Echter, volgens Ziggo zijn er geen problemen en bij het loskoppelen van de Mikrotik is het probleem ook 'verholpen'. Dit zou natuurlijk ook een gevolg kunnen zijn van geen verkeer over het netwerk/connect box, maar dit is niet iets wat ik zelf kan controleren. Ik snap er weinig meer van .

Het meest gekke is dat 1.1.1.1 handmatig instellen als DNS op een apparaat ook niet werkt. Een DNS server van Ziggo die het niet doet zou eea kunnen verklaren, maar dat is het dus ook niet.

Het is idd heel raar dat het de hele dag goed gaat, 's avonds de problemen beginnen en zodra je de Mikrotik er tussenuit haalt de problemen opgelost zijn.

Zijn de problemen dan ook gelijk weer terug als je de Mikrotik er weer aan hangt?

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 26 oktober 2020 18:06

Acties:

0 Henk 'm!

Snippo

Thasaidon schreef op maandag 26 oktober 2020 @ 17:54:
[...]

Het is idd heel raar dat het de hele dag goed gaat, 's avonds de problemen beginnen en zodra je de Mikrotik er tussenuit haalt de problemen opgelost zijn.

Zijn de problemen dan ook gelijk weer terug als je de Mikrotik er weer aan hangt?

Ja, Mikrotik los en niks aan de hand, Mikrotik terug (dus ook het gehele netwerk) en het is weer mis.
Een tijd terug was het probleem verholpen door één van de switches (ook een hAP ac2) achter de hoofdrouter los te koppelen, maar dit werkt ook niet altijd.
Het lijkt sterk op overbelasting van iets, maar op het netwerk zelf is er niets aan de hand en Ziggo zegt ook niets te zien, dus ik zou niet weten wat het is.

maandag 26 oktober 2020 18:15

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op maandag 26 oktober 2020 @ 18:06:
[...]

Ja, Mikrotik los en niks aan de hand, Mikrotik terug (dus ook het gehele netwerk) en het is weer mis.
Een tijd terug was het probleem verholpen door één van de switches (ook een hAP ac2) achter de hoofdrouter los te koppelen, maar dit werkt ook niet altijd.
Het lijkt sterk op overbelasting van iets, maar op het netwerk zelf is er niets aan de hand en Ziggo zegt ook niets te zien, dus ik zou niet weten wat het is.

Ik weet niet of dit hier de juiste plek is, maar wat is je precieze netwerk setup?
waar gebruik je welke IP ranges/adressen en zijn deze statisch of via DHCP, etc...

Ik zou bijna het idee krijgen dat die Connect Box settings van je Mikrotik over neemt en daarmee een conflict veroorzaakt (of andersom)

[ Voor 9% gewijzigd door Thasaidon op 26-10-2020 18:25 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 26 oktober 2020 19:25

Acties:

0 Henk 'm!

Snippo

Thasaidon schreef op maandag 26 oktober 2020 @ 18:15:
[...]

Ik weet niet of dit hier de juiste plek is, maar wat is je precieze netwerk setup?
waar gebruik je welke IP ranges/adressen en zijn deze statisch of via DHCP, etc...

Ik zou bijna het idee krijgen dat die Connect Box settings van je Mikrotik over neemt en daarmee een conflict veroorzaakt (of andersom)

code:

Connect box -> WAN (DHCP) hAP ac2 -> hAP ac2 -> cAP AC
                                  -> hAP ac2 -> cAP AC
                                  -> unmanaged switch
                                  -> cAP AC

Dit alles dus in 3 VLAN's (192.168.1.0, 10.0.10.0 en 10.0.20.0) waarbij de switch chips gebruikt worden voor VLAN switching. De mikrotik heeft als dynamic DNS server dus standaard de connect box omdat hij daar via DHCP aan hangt. Dat zou het kunnen verklaren ware het niet dat een statische 1.1.1.1 DNS op een client ook problemen geeft.

dinsdag 27 oktober 2020 07:50

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op maandag 26 oktober 2020 @ 19:25:
[...]
code:
1
2
3
4
Connect box -> WAN (DHCP) hAP ac2 -> hAP ac2 -> cAP AC
                                  -> hAP ac2 -> cAP AC
                                  -> unmanaged switch
                                  -> cAP AC
Dit alles dus in 3 VLAN's (192.168.1.0, 10.0.10.0 en 10.0.20.0) waarbij de switch chips gebruikt worden voor VLAN switching. De mikrotik heeft als dynamic DNS server dus standaard de connect box omdat hij daar via DHCP aan hangt. Dat zou het kunnen verklaren ware het niet dat een statische 1.1.1.1 DNS op een client ook problemen geeft.

Even zodat ik het snap, achter je CB (connectbox) hangt één hAP ac2 en daarachter hangt de rest?

Dus je CB draait DHCP server op zijn LAN, en je MT draait DHCP client op zijn "WAN" poort (ether1).
Is dit een statische lease op de CB? Of random uit een pool?
En welke IP range is dit? Volgens mij gebruikt Ziggo de 192.168.178.x range?

Persoonlijk zou ik hier gewoon statische IP's gebruiken.
Dus je CB 192.168.178.1 op zijn LAN en je MT 192.168.178.254 op zijn "WAN" (ether1).
En dan DHCP server op de CB uit zetten (als dat kan).

Overigens lees ik (alleen op Tweakers al) heel veel ellende over die CB. Wellicht is het een optie om hem in bridge modus te laten zetten zodat je MT je primaire router word en de CB enkel als modem fungeert?

Ziggo Connect Box reviews

[ Voor 46% gewijzigd door MisteRMeesteR op 27-10-2020 09:06 . Reden: Reactie op Quiten weggehaald en verhuisd naar een ander topic. ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

dinsdag 27 oktober 2020 10:40

Acties:

0 Henk 'm!

Snippo

Thasaidon schreef op dinsdag 27 oktober 2020 @ 07:50:
[...]

Even zodat ik het snap, achter je CB (connectbox) hangt één hAP ac2 en daarachter hangt de rest?

Dus je CB draait DHCP server op zijn LAN, en je MT draait DHCP client op zijn "WAN" poort (ether1).
Is dit een statische lease op de CB? Of random uit een pool?
En welke IP range is dit? Volgens mij gebruikt Ziggo de 192.168.178.x range?

Persoonlijk zou ik hier gewoon statische IP's gebruiken.
Dus je CB 192.168.178.1 op zijn LAN en je MT 192.168.178.254 op zijn "WAN" (ether1).
En dan DHCP server op de CB uit zetten (als dat kan).

Overigens lees ik (alleen op Tweakers al) heel veel ellende over die CB. Wellicht is het een optie om hem in bridge modus te laten zetten zodat je MT je primaire router word en de CB enkel als modem fungeert?

Ziggo Connect Box reviews

Klopt helemaal.
Ik ga inderdaad eens kijken naar die bridge modus. Ik moet alleen eerst even uitzoeken hoe ik de firewall correct instel, want tot nu toe heb ik de mikrotik apparatuur alleen gebruikt achter het modem/router van de provider. Dit heeft als voordeel dat niet het hele internet wegvalt als er iets mis gaat met configureren.

Overigens beweerde een Ziggo monteur dat het ding al in bridge modus staat (wat dus niet zo is), dus met die hulp kom je ook geen steek verder.

dinsdag 27 oktober 2020 15:36

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Snippo schreef op dinsdag 27 oktober 2020 @ 10:40:
[...]
Ik moet alleen eerst even uitzoeken hoe ik de firewall correct instel, want tot nu toe heb ik de mikrotik apparatuur alleen gebruikt achter het modem/router van de provider.

Voor zover ik me herinner word de hAP ac2 default met een "router" config geleverd en zouden de default firewall regels al goed genoeg moeten zijn.

Ik moet mijn Mikrotik nog als "frontline router" ombouwen, maar dit is wat er bij mij default op staat:

code:

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input comment="defconf: accept untracked" connection-state=untracked

add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1

add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=forward comment="defconf: accept untracked" connection-state=untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 29 oktober 2020 20:37

Acties:

+4 Henk 'm!

WeaZuL

Try embedded, choose ARM!

What's new in 6.47.7 (2020-Oct-27 13:27):

Changes in this release:

*) crs3xx - improved system stability on CRS354 devices;
*) defconf - improved default configuration generation on devices without wireless package installed;
*) poe - fixed automatic PoE firmware upgrade procedure;
*) poe - improved PoE-out status detection;
*) wireless - updated "kazakhstan" regulatory domain information;

"Very nice!!"

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

maandag 2 november 2020 17:42

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Is het inmiddels mogelijk om, nadat je via IP > DHCP Server > Leases je lokale clients een statisch IP adres hebt gegeven, ook de hostname per client in te stellen?
De meeste van mijn apparaten geven geen hostnames door.. dus zou mooi zijn als ik dit via RouterOS kan meegeven. Ik heb het in elk geval niet in de documentatie gevonden.

[ Voor 9% gewijzigd door Jazco2nd op 02-11-2020 17:42 ]

maandag 2 november 2020 19:31

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op maandag 2 november 2020 @ 17:42:
Ik heb het in elk geval niet in de documentatie gevonden.

Dat komt omdat MikroTik je in staat stelt om arbitraire DHCP options te sturen. Gewoon een option aanmaken (12 volgens RFC1533) en dan een string value opgeven (tussen single quotes). Vervolgens de option aan je lease toevoegen.

Zie ook DHCP Options

maandag 2 november 2020 19:43

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

What's new in 6.46.8 (2020-Oct-29 8:29):

Changes since 6.46.7:

*) cap - fixed L2MTU path discovery;
*) chr - fixed file system quiescing;
*) crs3xx - fixed IGMP snooping for CRS312, CRS326-24S+2Q+ and CRS354 devices;
*) crs3xx - fixed switch rules for CRS309 and CRS317 devices (introduced in v6.46.7);
*) crs3xx - improved system stability on CRS354 devices;
*) defconf - fixed default configuration loading on RBmAP-2nD;
*) defconf - improved default configuration generation on devices with changed wireless interface names;
*) dhcpv6-server - improved stability when changing server for static bindings;
*) dhcpv6-server - properly save bindings when executing "make-static" command;
*) fetch - fixed "src-address" usage for SFTP;
*) fetch - improved SSL handshake processing;
*) hotspot - do not verify Hotspot interface status when detecting if HTTP/HTTPS login method is allowed;
*) leds - fixed LED type setting;
*) lte - fixed multiple APN passthrough on R11e-4G;
*) lte - limit allowed APN count to 3 on R11e-LTE;
*) mpls - fixed duplicate "LabelRelease" message sending;
*) ospf - optimized LSA printing for smaller message sizes;
*) poe - fixed automatic PoE firmware upgrade procedure;
*) poe - improved PoE-out status detection;
*) ppp - allow specifying pool name for "remote-ipv6-prefix-pool" parameter;
*) radius - added "Service-Type" attribute to Access-Request for IPv4 and IPv6 DHCP servers;
*) smips - reduced RouterOS main package size;
*) sms - fixed SMS sending when both "interface" and "smsc" parameters are specified;
*) snmp - fixed "/tool snmp-get" functionality (introduced in v 6.46beta43);
*) switch - fixed Ethernet padding for small packets;
*) user - improved WinBox and The Dude authenticated session handling;
*) user-manager - updated PayPal's root certificate authorities;
*) vrrp - made "password" parameter sensitive;
*) w60g - general stability and performance improvements;
*) wireless - added support for US FCC UNII-2 and Canada country profiles for NetMetal series devices;
*) wireless - fixed incorrect wireless capability information in association response frames;
*) wireless - updated "kazakhstan" regulatory domain information;

Eerst het probleem, dan de oplossing

maandag 2 november 2020 20:47

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

lier schreef op maandag 2 november 2020 @ 19:43:
What's new in 6.46.8 (2020-Oct-29 8:29):

Changes since 6.46.7:

[...]

Vreemd, mijn apparaten geven aan dat er geen nieuwe versie is anders dan 6.46.7.

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

maandag 2 november 2020 21:06

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Heb geupgrade van 6.46.1, vreemdgenoeg werkte port forwarding niet meer. Dus begonnen met een schone lei. Nu heb ik succesvol open poorten vanaf internet. Maar als ik verbonden ben met mijn lokale LAN, kom ik niet bij deze poorten.
Daarvoor heeft Mikrotik Hairpin NAT: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Dat werkte met mijn oude configuratie, maar nu dus niet meer

Weet iemand hoe je dit kan oplossen? Het gaat dus om die 2e regel in de Hairpin documentatie (masquerade):

Enige wat ik anders doe is "dst-address=!192.168.88.0/24" en "dst-address-type=local" gebruiken, zodat ik niet mijn externe IP in de regels vastleg (vind ik onhandig, mocht de ISP het een keer veranderen).

Hier slechts 2 poorten geconfigureerd (80 en 443).

code:

[admin@MikroTik] /ip firewall> export 

# nov/02/2020 21:04:12 by RouterOS 6.47.7

# software id = B9GI-GZLG

#

# model = 960PGS

# serial number = 89F908900C86

/ip firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

add action=accept chain=forward in-interface=vlan-internet out-interface=vlan-internet

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat out-interface=vlan-internet

add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=80 out-interface=vlan-internet protocol=tcp src-address=192.168.88.0/24

add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=443 out-interface=vlan-internet protocol=tcp src-address=192.168.88.0/24

add action=dst-nat chain=dstnat dst-address=!192.168.88.0/24 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.88.2

add action=dst-nat chain=dstnat dst-address=!192.168.88.0/24 dst-address-type=local dst-port=443 protocol=tcp to-addresses=192.168.88.2

maandag 2 november 2020 22:29

Acties:

0 Henk 'm!

Jazco2nd

Wifi

OK er gaat iets goed mis.. ik zie in Terminal continu foutmeldingen:

code:

[admin@MikroTik] >  

22:27:14 echo: system,error,critical login failure for user contador from 116.234.249.136 via ssh

22:27:14 echo: system,error,critical login failure for user contador from 116.234.249.136 via ssh

[admin@MikroTik] >  

22:27:17 echo: system,error,critical login failure for user duni from 116.234.249.136 via ssh

[admin@MikroTik] >  

22:27:19 echo: system,error,critical login failure for user indra from 116.234.249.136 via ssh

[admin@MikroTik] >  

22:27:22 echo: system,error,critical login failure for user pi from 116.234.249.136 via ssh

22:27:22 echo: system,error,critical login failure for user pi from 116.234.249.136 via ssh

[admin@MikroTik] >  

22:27:25 echo: system,error,critical login failure for user baikal from 116.234.249.136 via ssh

Oftewel poort 22 staat open. Terwijl ik deze niet open heb gezet! Ik heb wat random poorten getest, allemaal dicht. Wat gaat hier mis? Hoe kan poort 22 specifiek open zijn als hier geen regels voor zijn?

Voor nu heb ik Users > Admin > Allowed Addresses gewijzigd van 0.0.0.0 naar 192.168.88.0/24 en mn wachtwoord veranderd.

[ Voor 5% gewijzigd door Jazco2nd op 02-11-2020 22:33 ]

woensdag 4 november 2020 08:05

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Jazco2nd schreef op maandag 2 november 2020 @ 22:29:
OK er gaat iets goed mis.. ik zie in Terminal continu foutmeldingen:

Oftewel poort 22 staat open. Terwijl ik deze niet open heb gezet! Ik heb wat random poorten getest, allemaal dicht. Wat gaat hier mis? Hoe kan poort 22 specifiek open zijn als hier geen regels voor zijn?

Voor nu heb ik Users > Admin > Allowed Addresses gewijzigd van 0.0.0.0 naar 192.168.88.0/24 en mn wachtwoord veranderd.

SSH is een default poort waarop je Mikrotik te benaderen is voor beheer.
Als je dus 0.0.0.0 allowed, kan idd iedereen erbij, maar zou je firewall ervoor moeten zorgen dat dit iig vanaf het Internet geblokkeerd word.

Maar volgens mij laat deze regel dit verkeer wél toe.

code:

1	add action=accept chain=forward in-interface=vlan-internet out-interface=vlan-internet

En dus is je ssh vanaf Internet te benaderen.

Waarom staat die regel er überhaupt in?

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 7 november 2020 11:56

Acties:

0 Henk 'm!

Serefsiz

Hopelijk weet iemand waar ik een fout maak.

Ik heb 2 MikroTik CAP ACs hangen thuis. Graag wil ik ze handmatig configureren in kanaal 38 en 46 met een kanaalbreedte van 40mhz.

Name: Channel 46
Frequentie:5230
Control Channel Width: 40MHZ turbo
Band: 5GHZ-a/n/ac

Name: Channel 38
Frequentie:5190
Control Channel Width: 40MHZ turbo
Band: 5GHZ-a/n/ac

Bovenstaande heb ik gekoppeld aan de 5ghz cap interface
Maar alsnog krijg ik bij de interface lijst een melding dat kanaal niet ondersteund word.
Iemand een idee?

zaterdag 7 november 2020 12:05

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Control channel moet op 20MHz staan, om 40MHz bandbreedte te krijgen moet je Channel Width op 20/40MHz Ce zetten. Waarom kanaal 38 en 46?

Kanaal 38: 5180, control channel: 20MHz en Channel width: 20/40MHz Ce.
Kanaal 46: 5220, control channel: 20MHz en Channel width: 20/40MHz Ce.

Eerst het probleem, dan de oplossing

zaterdag 7 november 2020 12:37

Acties:

0 Henk 'm!

Serefsiz

lier schreef op zaterdag 7 november 2020 @ 12:05:
Control channel moet op 20MHz staan, om 40MHz bandbreedte te krijgen moet je Channel Width op 20/40MHz Ce zetten. Waarom kanaal 38 en 46?

Kanaal 38: 5180, control channel: 20MHz en Channel width: 20/40MHz Ce.
Kanaal 46: 5220, control channel: 20MHz en Channel width: 20/40MHz Ce.

Omdat het beide non dfs kanalen zijn. Ik kan ook voor 80Mhz gaan maar ik heb de snelheid niet nodig.
Ik heb geen ervaring met wat er gebeurt wanneer een AP op een DFS kanaal zit en moet switchen naar een non dfs kanaal. Ik heb liever geen downtime tijdens het gamen.

zaterdag 7 november 2020 18:30

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

DFS is alleen bedoeld voor wifi welke op "auto" ingesteld staat.

Als een router/ap op auto staat en een "DFS" kaneel heeft gekozen, maar vervolgens bv een radar detecteerd, dan zal hij naar een ander kanaal switchen.
Het heet immers ook Dynamic frequency selection

Stel je je kanaal zelf fixed in, dan werkt DFS niet.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 7 november 2020 22:51

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Kleine correctie, ook bij een vast ingesteld DFS kanaal zal de radio naar een non DFS kanaal springen indien er sprake is van een radar detectie.

@Serefsiz heb je de instellingen al aangepast? Overigens, gamen doe je met een kabel (wat mij betreft).

Eerst het probleem, dan de oplossing

zondag 8 november 2020 17:13

Acties:

0 Henk 'm!

Serefsiz

lier schreef op zaterdag 7 november 2020 @ 22:51:
Kleine correctie, ook bij een vast ingesteld DFS kanaal zal de radio naar een non DFS kanaal springen indien er sprake is van een radar detectie.

@Serefsiz heb je de instellingen al aangepast? Overigens, gamen doe je met een kabel (wat mij betreft).

Hoi. Instelling heb ik aangepast en het werkt!
Dank daarvoor. Info die ik van internet had was dus verkeerd wat betreft mhz. Haal nu max 400mbps ivm een minder brede kanaal maar voldoende waarvoor ik het gebruik..

Wat betreft gamen ben ik het totaal mee eens dat het via de kabel moet. Maar soms wil je ook relax op de bank zitten en dan is goede wifi wel fijn:P

woensdag 11 november 2020 07:25

Acties:

0 Henk 'm!

DRAFTER86

Vraagje, ik gebruik mijn HAp AC als DNS server voor interne hosts. Hiervoor zou het handig zijn als ik ook wildcard A records zou kunnen maken, maar dit lijkt niet mogelijk?
Zijn hier workarounds voor?

edit:
Ok, blijkbaar is hiervoor toch de Regexp optie onder een static DNS entry bedoeld, enkel is de documentatie van Mikrotik niet helemaal op orde.
Waar ze aangeven dat je de dots in de regexp dient te escapen, is dat niet meer het geval, dus:

code:

1	.*.docker.lan

werkt...

code:

1	.*\\.docker\\.lan\$

(voorbeeld uit de docs) werkt niet...

[ Voor 51% gewijzigd door DRAFTER86 op 11-11-2020 07:49 ]

woensdag 11 november 2020 07:51

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

DRAFTER86 schreef op woensdag 11 november 2020 @ 07:25:
Zijn hier workarounds voor?

Wellicht is dit een optie:

You can create an L7 protocol matcher which inspects udp/53 for queries matching *.local and configure a dnstnat rule which matches this L7 rule and redirects matching packets to the internal server.

https://forum.mikrotik.com/viewtopic.php?t=113283

[ Voor 12% gewijzigd door Thasaidon op 11-11-2020 07:51 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 13 november 2020 13:58

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Let wel op met regex DNS entries dat die EERST worden behandeld. Ik heb ooit iets gehad ala

*.host -> 1.2.3.4
override.host -> 1.2.3.5

En ik maar debuggen waarom het niet werkte. override.host matched namelijk aan '*.host' dus die pakt hij. Volgorde maakt niet uit, regex komt eerst.

Deze ruimte is te huur!

vrijdag 13 november 2020 14:15

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Is het best practice om na een firmware upgrade naar een hogere release (bijvoorbeeld 6.45.9 naar 6.46.8) om na de upgrade eerst een reset te doen van het device en daarna de config in te laden?

Ik meen daar wel eens op het MikroTik forum over gelezen te hebben maar ben vooral benieuwd naar jullie ervaringen.

Eerst het probleem, dan de oplossing

vrijdag 13 november 2020 14:23

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Dat heb ik nog nooit gedaan (en ik heb nooit issues gemerkt na een update

)

Deze ruimte is te huur!

vrijdag 13 november 2020 14:36

Acties:

+1 Henk 'm!

nescafe

Wifi

Nope, wellicht verwar je e.e.a. met het teruglezen van een backup van een andere device. Dan kun je het beste even een export maken, device resetten en config checken en importeren.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 14 november 2020 15:59

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Ik heb een configuratie reset gedaan omdat ik mijn firewall terug naar default wilde hebben. Ik heb eerst een backup gemaakt, daarna een export van de gehele configuratie gemaakt.

Vervolgens heb ik dat tekstbestand (config export) zorgvuldig bewerkt en alleen het firewall/nat gedeelte verwijderd (gekopieerd naar een ander bestand).

Na de reset wil ik via SCRIPTS mijn configuratie terugzetten (alles behalve firewall dus). Ondanks dat er staat "not invalid", en ik Run Script heb gedaan, 20sec gewacht en vervolgens een reboot, zie ik dat niet alles is aangepast.
Mijn SFP1 poort staat nog op auto-negotiate, mijn VLAN ontbreekt etc. Lijkt erop dat er vrijwel niks is gebeurd.

Hoe kan dat? Het is toch juist de manier om een configuratie terug te zetten?

Mijn config export:
https://pastebin.com/fZuRADTK

[ Voor 3% gewijzigd door Jazco2nd op 14-11-2020 16:07 ]

zaterdag 14 november 2020 16:29

Acties:

0 Henk 'm!

nescafe

Wifi

Je kunt je config in delen (bijv. per subtree) plakken in de terminal om terug te zetten. Als je via mac-adres verbindt blijf je zo mogelijk verbonden of kun je in ieder geval herverbinden zonder ip-adres.

De "juiste" manier om een export in te lezen is /import file.rsc maar dan nog zou ik liever de terminal gebruiken.

Voor het terugzetten van je firewall naar default kun je ook gebruik maken van /system default-configuration print, de bestaande rules verwijderen en z.s.m. het firewall-gedeelte van de default config in terminal plakken.

[ Voor 12% gewijzigd door nescafe op 14-11-2020 16:33 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

Pagina: Vorige 1 ... 25 ... 53 Volgende Laatste

Reageer

Onderwerpen