[MikroTik-apparatuur] Ervaringen & Discussie

zaterdag 14 november 2020 16:46

Acties:

0 Henk 'm!

Wifi

nescafe schreef op zaterdag 14 november 2020 @ 16:29:
Je kunt je config in delen (bijv. per subtree) plakken in de terminal om terug te zetten. Als je via mac-adres verbindt blijf je zo mogelijk verbonden of kun je in ieder geval herverbinden zonder ip-adres.

De "juiste" manier om een export in te lezen is /import file.rsc maar dan nog zou ik liever de terminal gebruiken.

Voor het terugzetten van je firewall naar default kun je ook gebruik maken van /system default-configuration print, de bestaande rules verwijderen en z.s.m. het firewall-gedeelte van de default config in terminal plakken.

Ja ik zie nu dat je het beter via import kan doen. En dat bepaalde acties niet kunnen, zoals default interfaces aanmaken die al default zijn aangemaakt. Dus ik heb mn config file verder moeten wijzigen. Maar nu lukt het nog steeds niet

code:

1 2	[admin@Mikrotik] > /system reset-configuration skip-backup=yes run-afer-reset=flash/nofw.rsc expected end of command (line 1 column 45)

Hij struikelt over "run-after-reset" terwijl dat toch echt is zoals het in de wiki staat:
https://wiki.mikrotik.com...t#Importing_Configuration

zaterdag 14 november 2020 17:07

Acties:

0 Henk 'm!

nescafe

Wifi

Mogelijk moet je flash/nofw.rsc even tussen quotes zetten; daarnaast helpt het om een :delay 10s bovenin je script te zetten zodat alle interfaces zijn geïnitialiseerd (anders struikelt hij daar al snel over).

Maar waarom niet gewoon je export in delen plakken in je Terminal?

BTW Wijzigingen worden onmiddellijk toegepast dus rebooten om je config te checken is niet nodig.

[ Voor 17% gewijzigd door nescafe op 14-11-2020 17:09 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 15 november 2020 08:00

Acties:

0 Henk 'm!

DRAFTER86

Thasaidon schreef op woensdag 11 november 2020 @ 07:51:
[...]

Wellicht is dit een optie:

[...]

https://forum.mikrotik.com/viewtopic.php?t=113283

Hm ik zie niet helemaal waarom dit handig zou zijn? DNS pakketten forwarden naar een andere DNS server?
Maar, inmiddels werkt het met:

code:

1	.*.docker.lan

Mattie112 schreef op vrijdag 13 november 2020 @ 13:58:
Let wel op met regex DNS entries dat die EERST worden behandeld. Ik heb ooit iets gehad ala

*.host -> 1.2.3.4
override.host -> 1.2.3.5

En ik maar debuggen waarom het niet werkte. override.host matched namelijk aan '*.host' dus die pakt hij. Volgorde maakt niet uit, regex komt eerst.

Goed om te weten!

zondag 15 november 2020 14:19

Acties:

0 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zaterdag 14 november 2020 @ 17:07:
Mogelijk moet je flash/nofw.rsc even tussen quotes zetten; daarnaast helpt het om een :delay 10s bovenin je script te zetten zodat alle interfaces zijn geïnitialiseerd (anders struikelt hij daar al snel over).

Maar waarom niet gewoon je export in delen plakken in je Terminal?

BTW Wijzigingen worden onmiddellijk toegepast dus rebooten om je config te checken is niet nodig.

Ik wil gewoon altijd een reset kunnen doen en dan met 1 import command mijn config (user modified/added values only, om problemen na een upgrade te voorkomen) terug zetten.
Ik test het nu met

code:

1	import verbose=yes flash/config.rsc

maar zo dom, verbose=yes laat wel regel zien wat er gebeurd (zodat ik het exported script kan debuggen) maar past de regels ook toe.

Dus zodra je een "already exist" melding krijgt (en dat zijn er veel), stopt het, kan je je script aanpassen maar NIET een 2e keer runnen.. want dan struikelt hij direct op de eerste regels (die waren immers al toegepast).

Dus moet je telkens weer een reset doen. Tijdrovend klusje dit.
Nog vervelender: de (Winbox) verbinding wordt verbroken, waardoor ik niet kan zien of het script volledig is uitgevoerd..

[ Voor 5% gewijzigd door Jazco2nd op 15-11-2020 14:25 ]

zondag 15 november 2020 14:27

Acties:

0 Henk 'm!

nescafe

Wifi

@Jazco2nd als je reset naar default, zul je inderdaad conflicten krijgen met je export. Dus als je je export wilt toepassen zul je ofwel moeten resetten zonder default config of resetten met je export in run-after-reset (bij voorkeur met een :delay 10s).

Dan nog blijft de import afhankelijk van de packages die geïnstalleerd zijn, dus helemaal fail-safe wordt het niet.

Dus, probeer eens te resetten zonder defaults, dan zou je veel minder conflicten moeten krijgen bij import.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 15 november 2020 14:50

Acties:

0 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zondag 15 november 2020 @ 14:27:
@Jazco2nd Dus, probeer eens te resetten zonder defaults, dan zou je veel minder conflicten moeten krijgen bij import.

Dat geloof ik meteen. Maar ik denk dat ik dan ook een niet werkende router heb.

Toen ik de export deed heb ik namelijk niet voor "no compact" ofzoiets gekozen. Dus alleen user modified values zitten erin. Dan mis je volgens mij essentiële configuratie.
Ik ben absoluut geen RouterOS expert. Dus dan moet ik zoeken in een hooiberg.

Nu doe ik trial en error, of test ik regel voor regel. Tis wel erg tijdrovend en omslachtig. En ik kom rare dingen tegen.

Bijvoorbeeld: stel je hebt alleen het start adres van je default IP pool (name=dhcp) aangepast. In je export komt dan een "ADD" regel te staan, bij een import werkt dat niet, want deze pool bestaat al met deze naam. Prima, maak je er SET van.
Helaas werkt dat niet

code:

1	/ip pool set name=dhcp ranges=192.168.88.15-192.168.88.254

Hij vraagt dan om een nummer. Met "0" werkt het. Dus alleen name is niet voldoende.

Echter volgens de wiki zijn nummers onbetrouwbaar want die kunnen wijzigen. Dus mag je ze niet in een script gebruiken. Maar dan is het dus onmogelijk om via een script bepaalde dingen aan te passen

https://wiki.mikrotik.com/wiki/Manual:Console

zondag 15 november 2020 15:02

Acties:

0 Henk 'm!

nescafe

Wifi

Jazco2nd schreef op zondag 15 november 2020 @ 14:50:
[...]

Dat geloof ik meteen. Maar ik denk dat ik dan ook een niet werkende router heb.

Je maakt het je echt veel te lastig.

Export in verbose, compact of regulier maakt niet uit.

Reset zonder default config + handmatig plakken van regels = je eigen setup (excl. users en certificaten) met volledige eigen controle.
Reset zonder default config + import rsc = je eigen setup (excl. users en certificaten) met iets minder controle.
Reset met default config + import rsc of handmatig plakken = exact de problemen die je nu hebt (conflicten).
Reset met run-after-reset = gokken dat het goed gaat.

En om te zorgen dat je niet te vaak disconnected wordt, verbinden via mac-adres en dat is toch de enige mogelijkheid bij een reset zonder default config.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 15 november 2020 15:06

Acties:

0 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zondag 15 november 2020 @ 15:02:
[...]

Je maakt het je echt veel te lastig.

Export in verbose, compact of regulier maakt niet uit.
Reset zonder default config + handmatig plakken van regels = je eigen setup (excl. users en certificaten) met volledige eigen controle.
Reset zonder default config + import rsc = je eigen setup (excl. users en certificaten) met iets minder controle.
Reset met default config + import rsc of handmatig plakken = exact de problemen die je nu hebt (conflicten).
Reset met run-after-reset = gokken dat het goed gaat.
En om te zorgen dat je niet te vaak disconnected wordt, verbinden via mac-adres en dat is toch de enige mogelijkheid bij een reset zonder default config.

Met optie 1 en 2 heb ik dus sowieso geen werkende router (als je een expert bent heb je dan "volledige controle", klinkt mooi, in mijn geval werkt m'n router gewoon niet).

Helaas elke regel 1 voor 1 importeren werkt dus ook niet want het numbers probleem heb ik nu overal. Oftewel, je komt niet verder met de Terminal en zal de regels moeten omzetten naar handmatige acties in de UI. Dat vind ik wel een echte tegenvaller.

zondag 15 november 2020 15:13

Acties:

0 Henk 'm!

nescafe

Wifi

Optie 1 is echt niet meer dan reset zonder defaults en daarna domweg je hele export (bij voorkeur in delen/hoofdstukken) plakken in de terminal.

Waarom je zo je best blijft doen om het zo moeilijk mogelijk te maken beats me, maar ik laat het hier even bij, succes ermee

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 15 november 2020 16:25

Acties:

0 Henk 'm!

Jazco2nd

Wifi

nescafe schreef op zondag 15 november 2020 @ 15:13:
Optie 1 is echt niet meer dan reset zonder defaults en daarna domweg je hele export (bij voorkeur in delen/hoofdstukken) plakken in de terminal.

Waarom je zo je best blijft doen om het zo moeilijk mogelijk te maken beats me, maar ik laat het hier even bij, succes ermee

Optie 1 werkt dus niet bij mij. Misschien had ik niet duidelijk vermeld dat ik dit (gister en vandaag) reeds heb geprobeerd. Ik zit dan zonder internet (T-Mobile SFP module, ik heb eerder in dit topic uitgevonden hoe je dat werkend krijgt).

Dat is de reden dat ik nog zoekende ben. In elk geval heb ik mijn export inmiddels kunnen importeren over de default config heen

Gek genoeg krijg ik, nadat alle regels netjes zijn uitgevoerd, een foutmelding over regels die helemaal niet bestaan, het bestand gaat maar tot regel 77:

code:

#line 78



#line 79

-----------------------------201082157917043178734187141534--bad command name -----------------------------201082157917043178734187141534-- (line 1 column 1)

Maar het lijkt erop dat wel alles is uitgevoerd..

Enige rare: mijn download (internet) snelheid is nog maar 10% van wat het was/hoort te zijn (10Mbit/s ipv 100Mbit/s). Upload is gek genoeg wel gewoon 100 Mbit/s.

[ Voor 9% gewijzigd door Jazco2nd op 15-11-2020 16:48 ]

zondag 15 november 2020 17:30

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

DRAFTER86 schreef op zondag 15 november 2020 @ 08:00:
[...]
Hm ik zie niet helemaal waarom dit handig zou zijn? DNS pakketten forwarden naar een andere DNS server?

Je forward de pakketten niet naar een andere DNS server, maar naar de server waar je al je subdomeinen hebt draaien. Dan kan deze de requesten vervolgens afhandelen en hoef je dit dus niet op je Mikrotik te doen.

En het was maar een optie

Mooi dat het werk iig.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 15 november 2020 17:56

Acties:

0 Henk 'm!

DRAFTER86

Thasaidon schreef op zondag 15 november 2020 @ 17:30:
[...]

Je forward de pakketten niet naar een andere DNS server, maar naar de server waar je al je subdomeinen hebt draaien. Dan kan deze de requesten vervolgens afhandelen en hoef je dit dus niet op je Mikrotik te doen.

En het was maar een optie

Mooi dat het werk iig.

Ok maar dan snap ik het niet en ben ik wel nieuwsgierig. Poort 53 zijn toch DNS pakketten? Als die geforward worden moet er toch een DNS server zijn om ze aan te pakken? De uiteindelijke (bijv) :443 https pakketten matchen niet met die L7 rule toch?

zondag 15 november 2020 18:30

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

DRAFTER86 schreef op zondag 15 november 2020 @ 17:56:
[...]
Ok maar dan snap ik het niet en ben ik wel nieuwsgierig. Poort 53 zijn toch DNS pakketten? Als die geforward worden moet er toch een DNS server zijn om ze aan te pakken? De uiteindelijke (bijv) :443 https pakketten matchen niet met die L7 rule toch?

Als jij je browser opent en bv https://dock1.local intypt, is het eerste wat er gebeurd een lookup.
Je client zal dus eerst een DNS request doen om dock1.local om te zetten naar een IP.
Dus een Layer7 filter heeft direct niets te maken met je web sessie, maar indirect dus wel

Vwbt die L7 filtering, ik heb daar zelf geen ervaring mee...
Maar wat ik er van begrijp is dat je een L7 filter maakt welke upd/53 (dus DNS) pakketten inspecteert.
Komt in een request bv dock1.local voor, dan kun je daar een foreward aan koppelen welke de pakketten dan doorstuurt naar je interne server (Deze zal dus idd een vorm van DNS moeten draaien).
De server zal dan antwoord geven waardoor jou client systeem het juiste IP krijgt voor dock1.local.

Op deze manier zou je dus meerder subdomeinen met verschillende IP's op je server kunnen draaien. En alles op je server kunnen inregelen.

[ Voor 5% gewijzigd door Thasaidon op 15-11-2020 18:34 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 15 november 2020 19:50

Acties:

0 Henk 'm!

Mattie112

Jazco2nd schreef op zondag 15 november 2020 @ 14:19:
[...]

Dus moet je telkens weer een reset doen. Tijdrovend klusje dit.
Nog vervelender: de (Winbox) verbinding wordt verbroken, waardoor ik niet kan zien of het script volledig is uitgevoerd..

Ja dat is lastig, als je een seriele kabel hebt (en een router met seriele poort) zou je het ook op die manier kunnen doen. Blijft je terminal in elk geval verbonden!

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

maandag 16 november 2020 20:04

Acties:

+1 Henk 'm!

Snippo

Thasaidon schreef op dinsdag 27 oktober 2020 @ 15:36:
[...]

Voor zover ik me herinner word de hAP ac2 default met een "router" config geleverd en zouden de default firewall regels al goed genoeg moeten zijn.

Ik moet mijn Mikrotik nog als "frontline router" ombouwen, maar dit is wat er bij mij default op staat:

code:

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input comment="defconf: accept untracked" connection-state=untracked

add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1

add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=forward comment="defconf: accept untracked" connection-state=untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1

Even een update: met de connect box in bridge modus is het probleem verholpen.... Top dat ze bridge modus beschikbaar stellen, maar vrij waardeloos dat dit benodigd is voor stabiel internet.

zondag 22 november 2020 10:51

Acties:

0 Henk 'm!

Yarisken

Allen,
Ik zit nu op Gigabit en mijn RB2011UiAS-2HnD-IN krijgt het niet getrokken.
Logisch zou ik nu opteren voor de RB4011iGS+5HacQ2HnD-IN, ik heb 8 poorten in gebruik.
Is dit beste keuze ?

zondag 22 november 2020 12:51

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Hangt af van je eisen en wensen, @Yarisken. Meestal staat een router "wirelessly" niet op de meest ideale plek. Daarnaast vind ik het persoonlijk prettiger om een router en een accespoint te gebruiken.

Maar nogmaals, kom eerst met je eisen en wensen (naast Wifi, Gigabit WAN-LAN throughput en 8 poorten).

Eerst het probleem, dan de oplossing

zondag 22 november 2020 12:59

Acties:

0 Henk 'm!

Hmmbob

Same here, mijn RB2011 doet niets meer op het wireless gebied, enkel LAN. Daar hangen dan wel weer 2 access points aan. Dit was voorheen anders, maar aangezien hij enkel 2.4Ghz doet en in de meterkast hangt, schiet t niet heel erg op.

Sometimes you need to plan for coincidence

zondag 22 november 2020 17:34

Acties:

0 Henk 'm!

Yarisken

lier schreef op zondag 22 november 2020 @ 12:51:
Hangt af van je eisen en wensen, @Yarisken. Meestal staat een router "wirelessly" niet op de meest ideale plek. Daarnaast vind ik het persoonlijk prettiger om een router en een accespoint te gebruiken.

Maar nogmaals, kom eerst met je eisen en wensen (naast Wifi, Gigabit WAN-LAN throughput en 8 poorten).

Ja wel ik heb genoeg aan 1 router die ook als AC dient.
Dus router / firewall / AC / switch.
Mijn router staat in de living dus heel centraal. Ik woon ook in een klein huis.

zondag 22 november 2020 22:18

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Dan is de pricewatch: MikroTik RB4011iGS+5HacQ2HnD-IN een hele mooie oplossing.

Alternatief zou nog een pricewatch: MikroTik hAP ac3 kunnen zijn:
https://mikrotik.com/product/hap_ac3
Deze is echter (naast veel goedkoper) iets eenvoudiger (en heeft minder poorten).

[ Voor 34% gewijzigd door lier op 23-11-2020 08:29 ]

Eerst het probleem, dan de oplossing

maandag 23 november 2020 11:35

Acties:

0 Henk 'm!

Mattie112

Yarisken schreef op zondag 22 november 2020 @ 10:51:
Allen,
Ik zit nu op Gigabit en mijn RB2011UiAS-2HnD-IN krijgt het niet getrokken.
Logisch zou ik nu opteren voor de RB4011iGS+5HacQ2HnD-IN, ik heb 8 poorten in gebruik.
Is dit beste keuze ?

4011 werkt hier toppie! je kan misschien wel wat optimaliseren aan de RB 2011 (minder firewall rules en natuurlijk fastpath aan). Ben zelf van een CRS109 (ook 600mhz cpu) naar de 4011 gegaan en geen spijt van gehad

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

maandag 23 november 2020 16:59

Acties:

0 Henk 'm!

Yarisken

Ok thx die 4011 stond op mijn radar

.

vrijdag 11 december 2020 13:14

Acties:

0 Henk 'm!

FabiandJ

Ik heb hier thuis 2x een 962UiGS-5HacT2HnT in gebruik, even een korte uitleg hoe de situatie er hier uitziet

In de meterkast staat de eerste, hier komt KPN glasvezel binnen, vanuit hier gaan de verbindingen naar:
- TV in woonkamer
- Slaapkamer
- Deze gaat naar de 2e verdieping en hier zit de tweede 962UiGS-5HacT2HnT aan.

Vanuit de 962UiGS-5HacT2HnT op de tweede verdieping, gaan de verbindingen naar:
- PC Studeerkamer
- NAS

De reden voor de 2e is omdat ik hier niet overal een lege leiding heb liggen, plus ik heb geen WiFi bereik als ik het alleen bij de eerste in de meterkast hou.

Nu heb ik alleen last van het volgende, in de logs van de MikroTik op de tweede verdieping verlies ik om de haverklap de verbinding:

code:

11:39:04 interface,info ether2 link up (speed 1G, full duplex) 
11:45:56 interface,info ether2 link down 
11:45:58 interface,info ether2 link up (speed 1G, full duplex) 
11:46:44 interface,info ether2 link down 
11:46:47 interface,info ether2 link up (speed 1G, full duplex) 
11:47:43 interface,info ether2 link down 
11:47:45 interface,info ether2 link up (speed 1G, full duplex) 
11:50:46 interface,info ether2 link down 
11:50:48 interface,info ether2 link up (speed 1G, full duplex) 
11:55:36 interface,info ether2 link down 
11:55:38 interface,info ether2 link up (speed 1G, full duplex)

Dit is de verbinding naar mijn PC op de studeerkamer, maar op de pc krijg ik geen pop-up te zien dat de verbinding weg is. Het lijkt te gebeuren als er een paar torrents aanstaan, als ik niks doe blijft de verbinding stabiel. Ook nog een extra test gedaan door van mijn PC data te verplaatsen naar de NAS, maar de verbinding blijft stabiel. Zit er mogelijk iets in mijn config die de boel blockt?

Verder zit ik uberhaupt nog met mijn config op MikroTik op de tweede verdieping, het liefst zou ik willen dat die de DHCP gebruikt van de MikroTik in de meterkast. Ditzelfde geld ook voor het WiFi, als ik nu naar boven loop moet ik zelf switchen naar het SSID daar, is het mogelij om door het hele huis dezelfde SSID te hebben en dat mijn telefoon automatisch switched? Hieronder de config van beide MikroTiks.

MikroTik @ Meterkast

code:

[admin@MikroTik] > export hide-sensitive 
# dec/11/2020 12:51:43 by RouterOS 6.47
# software id = LX9S-J89A
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7709E2221B
/interface bridge
add admin-mac=B8:69:F4:35:47:8F auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] loop-protect=off
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-XX country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-2G wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-5G wireless-protocol=802.11
/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=xxxxxxxxx@internet
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=vlan1.6 list=WAN
add comment=defconf interface=pppoe-client list=WAN
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.1.4 client-id=1:0:16:b4:6:3:74 mac-address=00:16:B4:06:03:74 server=defconf
add address=192.168.1.2 client-id=1:b8:69:f4:39:f7:13 mac-address=B8:69:F4:39:F7:13 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ssh
set forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] advertise-dns=no
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

MikroTik @ 2e verdieping:

code:

[admin@MikroTik] > export hide-sensitive 
# dec/11/2020 13:45:13 by RouterOS 6.47.8
# software id = QX6W-X2YF
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A770908F1FE
/interface bridge
add admin-mac=B8:69:F4:39:F7:14 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-Ce country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik2-2G station-roaming=enabled wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik2-5G station-roaming=enabled wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

vrijdag 11 december 2020 14:18

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Paar dingen:

Een IP adres wordt altijd aan een bridge (of een VLAN interface) gekoppeld en nooit aan een ethernet poort
Het is zonde om de tweede RB als router in te zetten, kan je beter als accesspoint/switch instellen
Ik zie zelf vaak dat aanlsuitend aan een link down/up een DHCP deassigned en assigned plaatsvindt...heb jij dat ook?

Verder zie ik heel veel verbeteringen:

Gebruik alleen WPA2/AES
Gebruik geen (nooit) UPnP
Zorg dat de antenna gain goed ingesteld is
Op 2.4G radio alleen 20MHz bandbreedte gebruiken (anders storen de radio's elkaar)
Gebruik vast kanalen

Hopelijk kan je hier wat mee!

Eerst het probleem, dan de oplossing

vrijdag 11 december 2020 14:36

Acties:

0 Henk 'm!

nescafe

Wifi

FabiandJ schreef op vrijdag 11 december 2020 @ 13:14:
In de logs van de MikroTik op de tweede verdieping verlies ik om de haverklap de verbinding:
[..]
Dit is de verbinding naar mijn PC op de studeerkamer, maar op de pc krijg ik geen pop-up te zien dat de verbinding weg is.

Netwerkkabel al vervangen?

Daarnaast kun je met twee devices overwegen CAPsMAN te gaan gebruiken, de tweede router reset je dan naar CAPS mode dan is 'ie meteen bridged.

[ Voor 18% gewijzigd door nescafe op 11-12-2020 14:45 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 11 december 2020 20:16

Acties:

0 Henk 'm!

FabiandJ

lier schreef op vrijdag 11 december 2020 @ 14:18:
Paar dingen:
Een IP adres wordt altijd aan een bridge (of een VLAN interface) gekoppeld en nooit aan een ethernet poort
Het is zonde om de tweede RB als router in te zetten, kan je beter als accesspoint/switch instellen
Ik zie zelf vaak dat aanlsuitend aan een link down/up een DHCP deassigned en assigned plaatsvindt...heb jij dat ook?
Verder zie ik heel veel verbeteringen:
Gebruik alleen WPA2/AES
Gebruik geen (nooit) UPnP
Zorg dat de antenna gain goed ingesteld is
Op 2.4G radio alleen 20MHz bandbreedte gebruiken (anders storen de radio's elkaar)
Gebruik vast kanalen
Hopelijk kan je hier wat mee!

Helemaal mee eens, wat betreft dit punt:

Ik zie zelf vaak dat aanlsuitend aan een link down/up een DHCP deassigned en assigned plaatsvindt...heb jij dat ook?

Waar vind ik dat, in de logs die ik in mijn vorige post hed gezet staat het namelijk niet.

nescafe schreef op vrijdag 11 december 2020 @ 14:36:
[...]

Netwerkkabel al vervangen?

Daarnaast kun je met twee devices overwegen CAPsMAN te gaan gebruiken, de tweede router reset je dan naar CAPS mode dan is 'ie meteen bridged.

CAPsMAN lijkt mij inderdaad erg mooi, maar het is mij niet helemaal duidelijk hoe ik dit nu precies configureer. Hoe krijg ik de MikroTik boven gekoppeld aan de MikroTik beneden zodat die deze config overneemt etc. Is er een duidelijk uitleg te vinden hoe dit gedaan moet worden?

vrijdag 11 december 2020 20:21

Acties:

0 Henk 'm!

nescafe

Wifi

FabiandJ schreef op vrijdag 11 december 2020 @ 20:16:
Is er een duidelijk uitleg te vinden hoe dit gedaan moet worden?

Jep, de documentatie

Zie https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup en dan optie #2 vanaf stap #2, ik zou alleen wel voor local forwarding kiezen in datapath.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 11 december 2020 22:02

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Ook al is CAPsMAN echt wel mooi, voor twee devices zou ik het niet toepassen. Een accesspoint instellen is niet meer dan een bridge, DHCP client (voor een IP adres) op de bridge, alle interfaces toevoegen en de wireless interfaces configureren. That's it! En laat de QuickSet links liggen...dat is voor beginners

Eerst het probleem, dan de oplossing

zaterdag 12 december 2020 12:26

Acties:

0 Henk 'm!

FabiandJ

nescafe schreef op vrijdag 11 december 2020 @ 20:21:
[...]

Jep, de documentatie

Zie https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup en dan optie #2 vanaf stap #2, ik zou alleen wel voor local forwarding kiezen in datapath.

CAPsMAN op de Mikrotik boven laten draaien ging sneller dan verwacht.
System > Reset Config > No Default Config en daarna hetzelfde maar dan CAPS Mode.
Inmiddels ook een security profile aangemaakt en deze door zowel 2.4Ghz als 5Ghz laten gebruiken, en dit werkt. Ook krijgen de systemen, boven van de DHCP beneden hun ip.

Wat ik alleen niet werkend krijg is hoe kan ik de 2.4Ghz en de 5Ghz op de MikroTik beneden gebruik laten maken van CAPsMAN?

code:

[admin@MikroTik] > export hide-sensitive 
# dec/12/2020 12:21:54 by RouterOS 6.47.8
# software id = LX9S-J89A
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7709E2221B
/interface bridge
add admin-mac=B8:69:F4:35:47:8F auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] loop-protect=off
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=no_country_set disabled=no distance=indoors frequency=2417 frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-2G station-roaming=enabled wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-5G station-roaming=enabled wireless-protocol=802.11
/interface vlan
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=xxxxxxxxx@internet
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security1
/caps-man configuration
add channel.band=2ghz-b/g channel.control-channel-width=20mhz channel.frequency=2412 datapath.bridge=bridge mode=ap name=MikroTik rates.basic="" security=security1 ssid=MikroTik
add channel.save-selected=no datapath.bridge=bridge mode=ap name=MikroTik-5G security=security1 ssid=MikroTik-5G
/caps-man interface
add channel.control-channel-width=20mhz channel.frequency=2417 configuration=MikroTik configuration.mode=ap disabled=no l2mtu=1600 mac-address=B8:69:F4:39:F7:1A master-interface=none name=2.4G radio-mac=B8:69:F4:39:F7:1A radio-name=B869F439F71A security=security1
add configuration=MikroTik-5G disabled=no l2mtu=1600 mac-address=B8:69:F4:39:F7:19 master-interface=none name=5G radio-mac=B8:69:F4:39:F7:19 radio-name=B869F439F719
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *0 only-one=yes use-compression=yes use-ipv6=no use-upnp=no
add name=default-ipv6 only-one=yes use-compression=yes use-upnp=no
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=vlan1.6 list=WAN
add comment=defconf interface=pppoe-client list=WAN
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
set bridge=bridge discovery-interfaces=bridge interfaces=wlan1,wlan2
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.1.4 client-id=1:0:16:b4:6:3:74 mac-address=00:16:B4:06:03:74 server=defconf
add address=192.168.1.2 client-id=1:b8:69:f4:39:f7:13 mac-address=B8:69:F4:39:F7:13 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ssh
set forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] advertise-dns=no
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

zaterdag 12 december 2020 12:32

Acties:

0 Henk 'm!

nescafe

Wifi

@FabiandJ je kunt de provisioning-rule uit het voorbeeld dupliceren en voorzien van property hw-supported-modes=gn/ac om verschillende configs aan 2ghz resp. 5ghz radio toe te wijzen.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 12 december 2020 13:52

Acties:

0 Henk 'm!

FabiandJ

nescafe schreef op zaterdag 12 december 2020 @ 12:32:
@FabiandJ je kunt de provisioning-rule uit het voorbeeld dupliceren en voorzien van property hw-supported-modes=gn/ac om verschillende configs aan 2ghz resp. 5ghz radio toe te wijzen.

Volgens mij bedoel je dit, ik heb voor de hw-supported-modes gekeken wat die op de MikroTik boven heeft staan, namelijk.

code:

/interface wireless
# managed by CAPsMAN
# channel: 2417/20/g(27dBm), SSID: MikroTik, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(15dBm), SSID: MikroTik-5G, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik

En dit vervolgens gebruikt voor op de MikroTik beneden.

code:

1
2
3

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=MikroTik-5G radio-mac=B8:69:F4:35:47:94
add action=create-dynamic-enabled hw-supported-modes=g master-configuration=MikroTik radio-mac=B8:69:F4:39:F7:1A

Maar als ik vervolgens bij Wireless op CAP druk, en dan zowel wlan1 en 2 kies krijg ik dit:

code:

1
2
3

/interface wireless cap
# stopped because not all interfaces available
set bridge=bridge discovery-interfaces=bridge enabled=yes interfaces=wlan1,wlan2

Terwijl wlan1 als 2 gewoon aanstaan.

code:

1
2
3

/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=no_country_set disabled=no distance=indoors frequency=2417 frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-2G station-roaming=enabled wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=no_country_set disabled=no distance=indoors frequency=auto frequency-mode=manual-txpower mode=ap-bridge ssid=MikroTik-5G station-roaming=enabled wireless-protocol=802.11

zaterdag 12 december 2020 14:22

Acties:

0 Henk 'm!

nescafe

Wifi

@FabiandJ hmm, even opnieuw je interfaces selecteren.. of in de GUI het venster opslaan.

De foutmelding had ik nog niet eerder gezien, maar is wel reproduceerbaar agv foute config:

code:

[admin@MikroTik] /interface wireless cap> export 
# dec/12/2020 14:21:40 by RouterOS 6.48beta58
/interface wireless cap
# 
set bridge=bridge1 enabled=yes interfaces=wlan1

[admin@MikroTik] /interface wireless cap> set interfaces=*FE,*FF

[admin@MikroTik] /interface wireless cap> export 
# dec/12/2020 14:21:55 by RouterOS 6.48beta58
/interface wireless cap
# stopped because not all interfaces available             <------
set bridge=bridge1 enabled=yes interfaces=*FE,*FF

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 12 december 2020 18:12

Acties:

0 Henk 'm!

FabiandJ

@nescafe ik heb het nu als hieronder, maar als ik naar beneden loop om te testen of ik verbinding kan maken, zie ik zowel de 2.4Ghz als de 5Ghz niet.
Ik zie wel de melding "# managed by CAPsMAN" bij beide wlan's, maar de "# channel: 2417/20/g(27dBm), SSID: MikroTik, CAPsMAN forwarding" komt niet te voorschijn.

code:

/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set distance=indoors ssid=MikroTik-2G station-roaming=enabled wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] antenna-gain=0 country=no_country_set distance=indoors ssid=MikroTik-5G station-roaming=enabled wireless-protocol=802.11

/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=MikroTik-5G radio-mac=B8:69:F4:35:47:94
add action=create-dynamic-enabled hw-supported-modes=g master-configuration=MikroTik radio-mac=B8:69:F4:39:F7:1A
/interface wireless cap
# 
set bridge=bridge discovery-interfaces=bridge enabled=yes interfaces=wlan1,wlan2

Ik mis zo te zien een melding zoals als:

code:

/interface wireless
# managed by CAPsMAN
# channel: 2417/20/g(27dBm), SSID: MikroTik, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(15dBm), SSID: MikroTik-5G, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik

zaterdag 12 december 2020 18:15

Acties:

0 Henk 'm!

nescafe

Wifi

Ga naar CAPsMAN, Remote CAP, selecteer je device en klik op Provision. Als dat niet werkt geef je CAPsMAN server address 127.0.0.1 op.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 12 december 2020 19:12

Acties:

0 Henk 'm!

FabiandJ

nescafe schreef op zaterdag 12 december 2020 @ 18:15:
Ga naar CAPsMAN, Remote CAP, selecteer je device en klik op Provision. Als dat niet werkt geef je CAPsMAN server address 127.0.0.1 op.

Dit zou dan het resultaat moeten zijn denk ik.

code:

1
2
3

/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 discovery-interfaces=bridge enabled=yes interfaces=wlan1,wlan2

Maar helaas ook hierbij blijft het resultaat hetzelfde

Edit:
Heb het opgelost ben naar IP > Firewall gegaan en hier de rule "drop all not coming from LAN" op disable gezet en nu zie ik netjes hetvolgende op de MikroTik in de meterkast.

code:

/interface wireless
# managed by CAPsMAN
# channel: 2412/20/g(27dBm), SSID: MikroTik, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5785/20-eeCe/ac(28dBm), SSID: MikroTik-5G, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik

De oplossing had ik hier vandaan: https://forum.mikrotik.co...t=127517&p=627062#p627062

[ Voor 37% gewijzigd door FabiandJ op 12-12-2020 19:20 ]

zaterdag 12 december 2020 19:22

Acties:

0 Henk 'm!

nescafe

Wifi

Ah, je firewall uitzetten is niet de meest veilige oplossing... Check ook even de post onder de gelinkte post

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 12 december 2020 19:38

Acties:

0 Henk 'm!

FabiandJ

nescafe schreef op zaterdag 12 december 2020 @ 19:22:
Ah, je firewall uitzetten is niet de meest veilige oplossing... Check ook even de post onder de gelinkte post

Dit dus doen:
/interface wireless cap set caps-man-addresses=127.0.0.1
/ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
/ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

Daarna wel even deze 2 rules in de firewall boven de "defconf: drop all not coming from LAN" zetten anders werkt het niet

zondag 13 december 2020 22:54

Acties:

0 Henk 'm!

nescafe

Wifi

FabiandJ schreef op zaterdag 12 december 2020 @ 13:52:
En dit vervolgens gebruikt voor op de MikroTik beneden.

code:

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac \
  master-configuration=MikroTik-5G radio-mac=B8:69:F4:35:47:94
add action=create-dynamic-enabled hw-supported-modes=g \
  master-configuration=MikroTik radio-mac=B8:69:F4:39:F7:1A

Met het opgeven van radio-mac maak je je provision rule afhankelijk van de device hetgeen onnodig onderhoud geeft. Hw-supported-modes=gn/ac geeft onderscheid tussen 2.4ghz en 5ghz, zo kun je af met twee rules en zal de CAPsMAN per device de van toepassing zijnde configuraties omzetten naar interfaces.

(Er staat in de example config ook geen radio-mac genoemd?)

FabiandJ schreef op zaterdag 12 december 2020 @ 19:38:
[...]

/interface wireless cap set caps-man-addresses=127.0.0.1
/ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
/ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

Daarna wel even deze 2 rules in de firewall boven de "defconf: drop all not coming from LAN" zetten anders werkt het niet

Ik heb het nog even nagekeken maar dit is pas later aan de default configuration toegevoegd (/system default-configuration print). Oplossing is prima zo.

code:

1
2
3

/ip firewall
filter add chain=input action=accept dst-address=127.0.0.1 \
  comment="defconf: accept to local loopback (for CAPsMAN)"

FabiandJ schreef op zaterdag 12 december 2020 @ 12:26:
[...]

System > Reset Config > No Default Config en daarna hetzelfde maar dan CAPS Mode.

De reset naar CAPS mode hoeft niet per se vooraf te worden gegaan door een reset zonder default configuration.

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security1

/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf

Zet group-key-update even op 1h dat is iets vriendelijker voor mobiele devices (m.n. Apple).
Hetzelfde geldt voor je dhcp-server, lease-tijd naar 2h omdat de device op 1/2 leasetijd vernieuwt.
Ik kan er zo geen artikelen over vinden, maar mocht je last krijgen van group key exchange timeout-meldingen dan hier even naar kijken.

/caps-man configuration
add channel.band=2ghz-b/g channel.control-channel-width=20mhz channel.frequency=2412 datapath.bridge=bridge mode=ap name=MikroTik rates.basic="" security=security1 ssid=MikroTik
add channel.save-selected=no datapath.bridge=bridge mode=ap name=MikroTik-5G security=security1 ssid=MikroTik-5G

datapath.bridge=bridge geeft nog wat overhead (tunneling) terwijl je dat niet nodig hebt; mijn advies is schakel datapath.local-forwarding in en datapath.bridge uit, tevens datapath.client-to-client-forwarding=yes als je devices hebt die met elkaar moeten kunnen communiceren (IoT/Chromecast/...).

lier schreef op vrijdag 11 december 2020 @ 22:02:
Ook al is CAPsMAN echt wel mooi, voor twee devices zou ik het niet toepassen. Een accesspoint instellen is niet meer dan een bridge, DHCP client (voor een IP adres) op de bridge, alle interfaces toevoegen en de wireless interfaces configureren. That's it!

OK, misschien had je toch een beetje gelijk

[ Voor 6% gewijzigd door nescafe op 13-12-2020 23:13 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 15 december 2020 20:33

Acties:

0 Henk 'm!

Onk_the_Monk

Ik heb met MikroTik Routerboard RB2011UiAS-INiets vreemd aan de hand. Alles werkt vrij normaal en snelheden van downloaden etc zitten rond de 150 mbits surfen gaat vlot.

Downloaden van Nvidia drivers lukt mij dus niet. Op de website krijg ik geen download binnen al enkele weken aan het proberen alsook via de Nvidia geforce app. Start gewoon niet en blijft laden. Ik had al eens alle firewalls uit gezet om te testen maar dit hielp niet.

Heb nu net mijn Mikrotik gebypasst en rechtstreeks op de router ingestoken van de provider en dan start mijn download direct. Zowel via de browser als de app.

woensdag 16 december 2020 14:52

Acties:

0 Henk 'm!

dark.druicca

Onk_the_Monk schreef op dinsdag 15 december 2020 @ 20:33:
Ik heb met MikroTik Routerboard RB2011UiAS-INiets vreemd aan de hand. Alles werkt vrij normaal en snelheden van downloaden etc zitten rond de 150 mbits surfen gaat vlot.

Downloaden van Nvidia drivers lukt mij dus niet. Op de website krijg ik geen download binnen al enkele weken aan het proberen alsook via de Nvidia geforce app. Start gewoon niet en blijft laden. Ik had al eens alle firewalls uit gezet om te testen maar dit hielp niet.

Heb nu net mijn Mikrotik gebypasst en rechtstreeks op de router ingestoken van de provider en dan start mijn download direct. Zowel via de browser als de app.

Staat de router van de isp in bridge mode of als router?

Heb je een custom dns server in de router?
Zet je DNS op je computer eens op 8.8.8.8 of 1.1.1.1 en controleer of dit wel werkt.

woensdag 16 december 2020 20:06

Acties:

0 Henk 'm!

Onk_the_Monk

dark.druicca schreef op woensdag 16 december 2020 @ 14:52:
[...]

Staat de router van de isp in bridge mode of als router?

Heb je een custom dns server in de router?
Zet je DNS op je computer eens op 8.8.8.8 of 1.1.1.1 en controleer of dit wel werkt.

Deze staat als router. De DNS op mijn computer stond al op 8.8.8.8.

zaterdag 19 december 2020 12:57

Acties:

0 Henk 'm!

Shadow_Zero

Klein vraagje: in de WISP AP staat onder het kopje Internet "Mac Address". Wat is precies de functie van dit veld? Hij staat standaard met het ether1 mac address van de MikroTik ingevuld.

Aanvullend: ik ben bezig om een nieuwe MikroTik als switch + AP op de tweede verdieping te installeren (ter vervanging van een TP-Link TL-WR1043ND).

EDIT:
Additioneel nog de vraag, ik lijk geen e-mail op m'n smartphone via wifi te kunnen ontvangen (via mobiele netwerk gaat wel, en ook op een laptop met wifi). Zou dat puur een kwestie van port forwarding zijn in de modem en de router?

[ Voor 25% gewijzigd door Shadow_Zero op 19-12-2020 15:06 ]

zaterdag 19 december 2020 13:48

Acties:

+1 Henk 'm!

nescafe

Wifi

Shadow_Zero schreef op zaterdag 19 december 2020 @ 12:57:
Klein vraagje: in de WISP AP staat onder het kopje Internet "Mac Address". Wat is precies de functie van dit veld? Hij staat standaard met het ether1 mac address van de MikroTik ingevuld.

In router mode bepaal je het MAC-adres van je WAN-poort (MAC cloning). In bridge mode heb je er niets aan, want dan is de (admin) MAC van de bridge master en die wordt niet bijgewerkt door QuickSet.

Aanvullend: ik ben bezig om een nieuwe MikroTik als switch + AP op de tweede verdieping te installeren (ter vervanging van een TP-Link TL-WR1043ND).

Dan is WISP AP > Mode: Bridge + Bridge All LAN Ports de handigste configuratie vanuit QuickSet.

EDIT:
Additioneel nog de vraag, ik lijk geen e-mail op m'n smartphone via wifi te kunnen ontvangen (via mobiele netwerk gaat wel). Zou dat puur een kwestie van port forwarding zijn in de modem en de router?

Voor het ontvangen van mail (of eigenlijk alle niet-server-taken) hoef je geen poorten te forwarden.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 19 december 2020 15:08

Acties:

0 Henk 'm!

Shadow_Zero

Tx! Dus als ze het netjes hadden gedaan hadden ze het MAC Address veld greyed out oid als je hem in Bridge zet? : )

De e-mail op de smartphone blijft dan nog even een raadsel, hmmmz.

zaterdag 19 december 2020 15:26

Acties:

0 Henk 'm!

nescafe

Wifi

Het zou kunnen dat je verbinding verbroken wordt wegens een korte group key timeout; deze kun je verhogen tot 1 uur in de wireless settings (Wireless > Security Profiles > Group Key Update: 01:00:00). Maar dan zou ik verwachten dat je bijv. push-notificaties mist.

[ Voor 13% gewijzigd door nescafe op 19-12-2020 15:27 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 19 december 2020 15:47

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

nescafe schreef op zaterdag 19 december 2020 @ 15:26:
Het zou kunnen dat je verbinding verbroken wordt wegens een korte group key timeout; deze kun je verhogen tot 1 uur in de wireless settings (Wireless > Security Profiles > Group Key Update: 01:00:00). Maar dan zou ik verwachten dat je bijv. push-notificaties mist.

Dat is wel een beetje arbitrair advies..

Als dat het geval is dan zou je daar errors van in je log moeten terugzien, terwijl niet eens duidelijk is of de WiFi-verbinding wegvalt, of wat @Shadow_Zero eigenlijk bedoelt met 'geen email ontvangen'.

zaterdag 19 december 2020 22:12

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Mikrotik hex Poe met RouterOS versie 6.47.7 stable blokkeert regelmatig DNS verzoeken van Android 11 (Pixel 4a). Op andere toestellen is dit geen probleem.

Ik ben al maanden aan het testen:
Ik gebruik mijn eigen DNS servers (AdGuardHome + Unbound) dus zocht het probleem daar. Echter met 1.1.1.1 ingesteld in de router (ipv mijn server IP) treedt het probleem ook op.

In alle situaties is het probleem verholpen zodra ik wifi op de Pixel 4a uitschakel. Nu heeft Android 11 ook een MAC rotation functie, die had ik al direct uitgeschakeld. Daarnaast heb ik ook de geforceerde Google DNS ip uitgeschakeld.

Nu heb ik in de telefoon een statisch IP adres ingevoerd zodat ik daarin het DNS adres kan invoeren. Als ik daar 8.8.8.8 invul, gaat het nog steeds mis!

De enige factor is dus de router. Merk op dat wifi in een ander huis (KPN Experiabox V10 of een oude 11n Netgear router) wel prima werkt.

Er lijkt dus iets in RouterOS te zijn ingesteld waar Android 11 niet lekker mee omgaat. Ik gebruik simpelweg de standaard default Firewall regels na een reset van de router. Daarnaast heb ik enkele Hairpin NAT port forwards ingesteld maar dat zou er niks mee te maken moeten hebben.

Iemand enig idee wat ik zou kunnen testen/instellen?

Overigens geen problemen met een Pixel 1/Android 10, laptops, computers (Mac, Windows, Ubuntu). Het is echt alleen de combi Pixel 4a/Android11 + RouterOS.

zaterdag 19 december 2020 22:18

Acties:

0 Henk 'm!

nescafe

Wifi

Je kunt de pakket sniffer aanzetten, stream naar pc (wireshark met capture filter udp port 37008) of naar file (pcap). Filter op bridgeLocal, proto udp, poort 53 en kijk of er iets afwijkt tussen een reguliere request met en een request zonder response.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 20 december 2020 00:17

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Ik heb ook een Pixel 4a en v6.47.8 (op een hAP ac). Werkt als een trein. Voor DNS de MikroTik plus de twee upstream servers (zie WiFI-settings van je AP in Android).

Wellicht even controleren of je niet perongeluk een niet-werkende DNS-server meelevert? Bovenstaande suggestie (sniffer) kan daarbij helpen.

zondag 20 december 2020 07:56

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Zou je eens een /ip dhcp-server export hier willen posten, @Jazco2nd ?

Eerst het probleem, dan de oplossing

zondag 20 december 2020 13:05

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@Thralas ok ik zal in elk geval upgraden naar 6.47.8. Ik heb alleen 1.1.1.1

@lier ik heb wat IP adressen gereserveerd zodat ik deze via een hosts file kan koppelen aan een naam en ze in Adguard Home terug zie. Voorlopig gebruik ik Adguard echter niet zolang dit probleem niet is opgelost.

code:

[admin@MikroTik] > /ip dhcp-server export 

# dec/20/2020 13:01:37 by RouterOS 6.47.7

# software id = B9GI-GZLG

#

# model = 960PGS

# serial number = 89F908900C86

/ip dhcp-server

add address-pool=dhcp disabled=no interface=bridge name=defconf

/ip dhcp-server option

add code=12 name=Hostname

/ip dhcp-server lease

add address=192.168.88.4 client-id=1:78:8a:20:5c:3e:75 comment="WiFi Living" mac-address=78:8A:20:5C:3E:75 server=defconf

add address=192.168.88.5 client-id=1:78:8a:20:5c:3d:ea comment="WiFi Bed" mac-address=78:8A:20:5C:3D:EA server=defconf

add address=192.168.88.2 comment="Server Obelix" mac-address=4C:52:62:2F:F2:77 server=defconf

add address=192.168.88.6 client-id=1:bc:30:d9:36:8:6a comment="Receiver (Yamaha)" mac-address=BC:30:D9:36:08:6A server=defconf

add address=192.168.88.10 comment="TV bed" mac-address=44:09:B8:41:E2:4E server=defconf

add address=192.168.88.8 client-id=1:4c:1b:86:7e:23:d3 comment="Speaker Bed (left)" mac-address=4C:1B:86:7E:23:D3 server=defconf

add address=192.168.88.7 client-id=1:44:fe:3b:9:a1:9a comment="Speaker Office (right)" mac-address=44:FE:3B:09:A1:9A server=defconf

add address=192.168.88.14 client-id=1:40:4e:36:23:c5:b0 comment="phone user1" mac-address=40:4E:36:23:C5:B0 server=defconf

add address=192.168.88.22 client-id=1:6e:9e:b8:3c:91:8 comment="phone werk user2" mac-address=6E:9E:B8:3C:91:08 server=defconf

add address=192.168.88.23 client-id=1:e:7d:39:28:79:7 comment="iPad werk user2" mac-address=0E:7D:39:28:79:07 server=defconf

add address=192.168.88.11 client-id=1:6c:6a:77:3d:3:c4 comment="laptop Idefix" mac-address=6C:6A:77:3D:03:C4 server=defconf

add address=192.168.88.13 client-id=1:68:9a:87:8e:75:2a comment=ereader-user2 mac-address=68:9A:87:8E:75:2A server=defconf

add address=192.168.88.9 client-id=1:0:4:4b:ef:b8:38 comment=ShieldTV mac-address=00:04:4B:EF:B8:38 server=defconf

add address=192.168.88.21 client-id=1:ac:ed:5c:8a:1:4c comment=user2-werk-laptop mac-address=AC:ED:5C:8A:01:4C server=defconf

add address=192.168.88.12 client-id=1:60:b7:6e:4b:4a:cf comment=user2-Phone mac-address=60:B7:6E:4B:4A:CF server=defconf

/ip dhcp-server network

add address=192.168.88.0/24 comment=defconf dns-server=1.1.1.1 gateway=192.168.88.1

IP > DNS heb ik ook alleen 1.1.1.1 staan.

Packet sniffer moet ik nog doen.
De test die ik nu doe: ga naar ah.nl, wacht 30seconden voordat het begint te laden (en lijkt nooit te stoppen). Ga naar ad.nl zelfde, ga naar at5.nl, zelfde, ga weer naar ad.nl (rijtje weer terug) en laadt direct. Ga naar ah.nl, wacht weer eeuwig.. weer naar ad.nl, weer lang wachten.. enzovoorts.

Doe precies zelfde op de Pixel 1, geen problemen.

[ Voor 7% gewijzigd door Jazco2nd op 20-12-2020 13:14 ]

zondag 20 december 2020 13:44

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op zondag 20 december 2020 @ 13:05:
De test die ik nu doe: ga naar ah.nl, wacht 30seconden voordat het begint te laden (en lijkt nooit te stoppen). Ga naar ad.nl zelfde, ga naar at5.nl, zelfde, ga weer naar ad.nl (rijtje weer terug) en laadt direct. Ga naar ah.nl, wacht weer eeuwig.. weer naar ad.nl, weer lang wachten.. enzovoorts.

Staar je dan vooral niet blind op DNS, want dat is een aanname. Niet-werkende IPv6 veroorzaakt ook wel eens vergelijkbare problemen. Ware het niet dat ah.nl helemaal geen AAAA record heeft..

/ip dhcp-server network is wat subtiel heb ik gemerkt: als je daar géén DNS invult stuurt hij zichzelf plus de dynamisch verkregen servers (PPPoE) - daarom heb ik er kennelijk 3.

Maargoed, met de packet sniffer moet je zo kunnen zien wat er misgaat. Filter op MAC van de telefoon is het handigst, dan de pcap in Wireshark bekijken. Als het display filter 'dns' gewoon een snelle DNS query/response laat zien dan zul je het ergens moeten zoeken in de TCP-verbinding die erop volgt.

zondag 20 december 2020 22:10

Acties:

0 Henk 'm!

Shadow_Zero

Thralas schreef op zaterdag 19 december 2020 @ 15:47:
[...]

Dat is wel een beetje arbitrair advies..

Als dat het geval is dan zou je daar errors van in je log moeten terugzien, terwijl niet eens duidelijk is of de WiFi-verbinding wegvalt, of wat @Shadow_Zero eigenlijk bedoelt met 'geen email ontvangen'.

Ik kan het nu niet meer reproduceren, want nu werkt het ineens wel weer !

Wel nog een ander vraagje, na de WISP AP QuickSet kan ik niet meer bij de admin page via de web url. Dit is de tweede MikroTik in ons home lan die als switch + ap fungeert, bij die andere werkt het wel. Ik ben zoekende waar dat in kan zitten...?

EDIT:
Ik zie nu ook als ik 'Check For Updates' doe, dat ik dan "ERROR: could not resolve dns name" krijg. Ligt dat aan mijn kant of de MikroTik kant?

[ Voor 10% gewijzigd door Shadow_Zero op 20-12-2020 22:13 ]

zondag 20 december 2020 22:32

Acties:

0 Henk 'm!

nescafe

Wifi

Mogelijk werkt je DHCP-client niet lekker, je kunt altijd even resetten naar Factory defaults, quickset is dan op zijn best. Je mag ook de config posten (/export hide-sensitive in Terminal) voor een iets gerichter advies

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 20 december 2020 22:53

Acties:

0 Henk 'm!

Shadow_Zero

Ik was sowieso begonnen met een factory reset en de WISP AP quickset ;D

code:

[admin@MikroTik2] > /export hide-sensitive
# jan/03/1970 11:56:33 by RouterOS 6.44.3
# software id = YJV9-2SSZ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 96890AFDDDA7
/interface bridge
add admin-mac=74:4D:28:08:A6:2B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=3 band=5ghz-a/n/ac country=netherlands disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain installation=indoor mode=\
    ap-bridge ssid=TP-Link-RG-5GHz wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=3 band=2ghz-b/g/n country=netherlands disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain installation=indoor mode=\
    ap-bridge ssid=TP-LINK-RG wireless-protocol=802.11
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
/ip address
add address=192.168.3.4/24 comment=defconf interface=ether2 network=192.168.3.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=bridge
/ip dhcp-relay
add dhcp-server=192.168.3.1 disabled=no interface=bridge name=relay1
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.4 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.3.4 name=router.lan
add address=159.148.172.226 name=upgrade.mikrotik.com
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system identity
set name=MikroTik2
/system leds
add interface=wlan2 leds=wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,wlan2_signal4-led,wlan2_signal5-led type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik2] >

zondag 20 december 2020 23:30

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Als je dat tussen [code][/code] zet is het een stuk leesbaarder.

Ik heb er een vluchtige blik op geworpen; wat je in ieder geval verkeerd doet is het gebruik van bridges. Een interface die een bridge port is heeft in principe geen zelfstandige functie meer: overal waar je een interface opgeeft moet je dan ook de bridge zelf specificeren, nimmer een poort.

Met andere woorden: al je interfaces zitten in bridge, dus de interface list LAN klopt niet meer. Vervolgens ben je hier je INPUT traffic kwijt, omdat dat van bridge komt als in-interface, niet van een poort op die bridge:

code:

1	add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Dus, bridge als enkele member in de interface LAN en het zou wel moeten werken. Daarnaast heb je het address van de router ook op ether2 (ook dat moet de bridge zijn, want ether2 is een bridge port). Dat laatste 'werkt' geloof ik wel, maar is niet hoe het hoort.

Also: je hebt zowel een DHCP server als client geconfigureerd. Dat klopt niet. Pick one.

[ Voor 4% gewijzigd door Thralas op 20-12-2020 23:33 ]

maandag 21 december 2020 10:20

Acties:

0 Henk 'm!

Shadow_Zero

Ok, daar moet ik even goed voor gaan zitten. Maar doet die WISP AP quickset dan zoveel dingen niet (goed)?
Ik zou zweren dat DHCP Server disabled was, zal nog kijken.

EDIT:
Even vergeleken met die andere MikroTik en inderdaad zag ik daar in Interfaces/Interface List alleen een WAN/ether1 en LAN/bridge entry. Alle LAN/etherx entries opgeschoond en LAN/bridge toegevoegd en nu kan ik inderdaad weer via IP adres er bij!

EDIT2:
Ik zag toch idd DHCP Server (ineens?) aan staan. Deze nu disabled. De DHCP Client staat wel op disabled.
Ik zie dat die andere MikroTik de DHCP Client op Interface/ether1 staat, terwijl bij deze hij op bridge staat (maar dus niet enabled).

Interface/bridge klinkt mij logischer? Of kan DHCP Client ook uit?
--> aanvulling: ik zie dat DHCP Client op de andere MikroTik wel enabled is, maar status 'stopped'. Dus wellicht doet die verder niks?

EDIT3:
Ik probeer nog te vinden waar dat stuk "interface=ether2 network 192.168.3.0" zit in de gui...?

[ Voor 82% gewijzigd door Shadow_Zero op 21-12-2020 12:09 ]

maandag 21 december 2020 12:55

Acties:

+1 Henk 'm!

nescafe

Wifi

Heb hier een device op WISP AP (Mode: Bridge) gezet en vergeleken, hieruit valt het volgende op:

- IP Address op ether2 mag worden disabled (ether2 is rechtgezet in een v/d laatste releases)
- IP DHCP Client op bridge moet worden enabled
- IP DHCP Relay mag eruit
- IP DHCP Server moet worden disabled (dit gaat fout in Quick Set)
- Interface bridge moet in interface list LAN (dit gaat fout in Quick Set)

V.w.b. GUI versus CLI/export, de menupaden in Winbox en/of Webfig komen over het algemeen redelijk overeen, dus /ip address zit in de GUI onder IP > Addresses

PS een ROS update + firmware upgrade mag altijd

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 22 december 2020 14:00

Acties:

0 Henk 'm!

Shadow_Zero

Ah ok, goed om te weten dat die QuickSet niet alles goed doet (helaas).

Had IP/Addresses inmiddels gevonden ja! Ik probeer nog te bedenken waarom het IP address op 192.168.3.0 staat (gateway is 192.168.3.1).

Zal zo weer een poging wagen of die auto update wel weer werkt.

EDIT:
Als ik IP/Addresses disable ('enabled' vink vakje uit) dan doet de admin page het niet meer via IP adres. Dus ik zet hem weer op Bridge zoals @Thralas zei.

EDIT2:
Interessant, check for updates werkt nu wel op de nieuwe MikroTik, maar nog niet op de oude (ERROR: no internet connection) . Investigating further...
--> hmmmz, misschien was mijn sessie verlopen of zo, want mijn DHCP Client en Relay wijzigingen waren niet opgeslagen. Nu werkt bij de andere ook auto update! $_/-\o_$

[ Voor 50% gewijzigd door Shadow_Zero op 22-12-2020 14:10 ]

woensdag 23 december 2020 11:14

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Nieuwe Stable release (v6.48):
https://forum.mikrotik.com/viewtopic.php?f=21&t=171035

Eerst het probleem, dan de oplossing

vrijdag 8 januari 2021 19:16

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Ik zag dat de MikroTik hAP ac3 inmiddels uit was, maar helaas nog nergens te krijgen

ZIjn er hier mensen die al ervaring hebben met dit apparaat?

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 8 januari 2021 23:31

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

Die is een stuk duurder dan de hAP ac² en heeft nogal twijfelachtige tot geen meerwaarde.

Meer flash, meer RAM (maar daar merk je niets van) en externe antennes. Als je dat laatste denkt nodig te hebben kun je de meerkosten beter investeren in een extra access point. Op de belangrijkste punten (SoC, kloksnelheid) is hij identiek aan de ac²...

Ik wacht wel op de 802.11ax-spullen...

donderdag 14 januari 2021 15:39

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Weet iemand waarom Static DNS niet werkt? Allow Remote Requests onder IP > DNS staat sowieso aan.

router.lan werkt niet (ook niet als ik http://router.lan invul). Gewoon met de default settings. Heeft volgens mij nog nooit gewerkt bij mij.

nu wil ik voor mijn server een static DNS toevoegen, maar die werkt dus ook niet. A en CNAME geprobeerd. Ik krijg altijd server not found.

In zowel DHCP Server als in DNS gewoon 1.1.1.1 als dns server ingevuld.

[ Voor 6% gewijzigd door Jazco2nd op 14-01-2021 15:41 ]

donderdag 14 januari 2021 15:41

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Jazco2nd schreef op donderdag 14 januari 2021 @ 15:39:
In zowel DHCP Server als in DNS gewoon 1.1.1.1 als dns server ingevuld.

Bedoel je op de clients? Welk(e) DNS server(s) krijgen zij toegewezen?
Zelf werk ik met een pihole en heb ik een DNS redirect geïntroduceerd voor alle VLAN's. Dan weet je echt zeker wie DNS in jouw netwerk resolved (afgezien van DoH).

Eerst het probleem, dan de oplossing

donderdag 14 januari 2021 15:42

Acties:

0 Henk 'm!

pyrofielo

Thralas schreef op vrijdag 8 januari 2021 @ 23:31:

Ik wacht wel op de 802.11ax-spullen...

Wanneer dan? Ik heb nog niks geen roadmap of aankondiging daarvan gezien.

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

donderdag 14 januari 2021 15:44

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@lier ja op clients (geen idee waar anders?)
Bij de clients zie ik bij netwerk info netjes 1.1.1.1 staan.
_{Ik heb trouwens ook Adguard Home (pihole alternatief) en weet dat ik het hosts bestand op mijn server kan aanpassen zodat ik netjes alle namen zie in AGH maar Adguard die gebruik ik nu even expres niet.}

Ik wil graag dat static dns werkt.
Ik heb alleen Ubuntu en Android clients hier.
Als ik vanaf Ubuntu

code:

1	ping router.lan

doe werkt het ook niet.

[ Voor 14% gewijzigd door Jazco2nd op 14-01-2021 15:47 ]

donderdag 14 januari 2021 15:47

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Dan zal je Cloudflare moeten vragen om jouw static IP address toe te voegen, want je clients vragen het aan 1.1.1.1. Of (en dat is misschien makkelijker

) je geeft het IP adres van je RB router mee via DHCP.

Eerst het probleem, dan de oplossing

donderdag 14 januari 2021 16:15

Acties:

0 Henk 'm!

peterstr

Jazco2nd schreef op donderdag 14 januari 2021 @ 15:56:
@lier
Dan kan ik dus geen gebruik maken van Mikrotiks static DNS maar moet ik het hosts bestandje aanpassen voor static DNS.
.

Of je zet je lokale DNS namen in ADGuard. Of je gebruikt je router als externe DNS server van ADguard. Dat laatste heb ik bijvoorbeeld

donderdag 14 januari 2021 16:19

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@peterstr ja zie mijn post boven je.
Ik heb beide nodig want ik wil een failsafe voor als de server met AdGuard erop ooit uitvalt. Het is me in elk geval duidelijk hoe het nu moet.

[ Voor 77% gewijzigd door Jazco2nd op 14-01-2021 16:24 ]

donderdag 14 januari 2021 16:53

Acties:

0 Henk 'm!

peterstr

Ik heb twee adguard servers geconfigureerd.

De eerste op mijn raspberry en een tweede als docker container op mijn synology.

Maar inderdaad zo'n script is ook een oplossing. Maar dan hoef je toch alleen de DHCP DNS instellingen aan te passen.

donderdag 14 januari 2021 18:40

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Jazco2nd schreef op donderdag 14 januari 2021 @ 16:19:
@peterstr ja zie mijn post boven je.
Ik heb beide nodig want ik wil een failsafe voor als de server met AdGuard erop ooit uitvalt. Het is me in elk geval duidelijk hoe het nu moet.

Waarom wil je persé een failsafe? Ik draai al jaren een pi-hole en die is nog nooit down gegaan.
(iig niet spontaan uit zichzelf

)

Mijn pi-hole heeft de publieke servers van OpenDNS ingesteld staan.
Mijn Mikrotik heeft de statische entries naar mijn servers en gebruikt daarnaast de pi-hole als DNS server.
De clients krijgen vervolgens het ip van de Mikrotik als DNS server voorgeschoteld via DHCP.

Mocht mijn pi-hole er dan toch mee stoppen, kan ik gewoon even de OpenDNS servers als DNS instellen op de Mikrotik en klaar.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 14 januari 2021 18:54

Acties:

0 Henk 'm!

peterstr

Thasaidon schreef op donderdag 14 januari 2021 @ 18:40:
[...]

Waarom wil je persé een failsafe? I

Gewoon omdat het kan

Maar ook omdat mijn medebewoners gierend gek worden als ze door het gepruts van mij zonder internet komen te zitten. Dus het is ook gewoon eigenbelang

donderdag 14 januari 2021 19:06

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@Thasaidon ik draai nog een hoop andere dingen (homeserver) en soms doe ik een restart. Verder exact wat peterstr zegt.

Ik wilde dit script gebruiken :
https://forum.mikrotik.com/viewtopic.php?t=161785#p837963

Maar zoals ik daaronder heb gepost: de masquerade rule ontbrak. Daarnaast heeft mijn server dan geen DNS meer dus een beetje rare oplossing. Toch zie ik dezelfde op reddit en andere topics op Mikrotiks forum. Zelfs als je een dedicated Raspberry Pi gebruikt, wil je die kunnen updaten.

donderdag 14 januari 2021 19:09

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

peterstr schreef op donderdag 14 januari 2021 @ 18:54:
[...]

Gewoon omdat het kan
Maar ook omdat mijn medebewoners gierend gek worden als ze door het gepruts van mij zonder internet komen te zitten. Dus het is ook gewoon eigenbelang

Ik snap wat je bedoeld

Ik gebruik daarom een 2e pi-hole, onder het motto "pruts maar raak voor een knaak".
En als ik dan wat wil testen stel ik op mijn pc of laptop die pi-hole even handmatig in als DNS server.
Niemand die er dan last van heeft en geen internet loze vrouw en kinderen meer

.

Jazco2nd schreef op donderdag 14 januari 2021 @ 19:06:

Ik wilde dit script gebruiken :
https://forum.mikrotik.com/viewtopic.php?t=161785#p837963

Een script is een goede manier, maar is afhankelijk van hoe vaak je het draait.
Dat betekend dat als je het iedere 60sec draait, je DNS er 59 sec uit zou kunnen liggen voordat het script weer draait en de DNS om zet.

[ Voor 26% gewijzigd door Thasaidon op 14-01-2021 19:28 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 14 januari 2021 20:03

Acties:

+1 Henk 'm!

peterstr

En daarna moeten je clients ook nog opnieuw connecteren om de gewijzigde DNS instellingen te krijgen.

donderdag 14 januari 2021 20:50

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@peterstr Heel goed punt.. er moet dus ook nog een renew lease achtig commando bij..
@Thasaidon Ja dat ook nog eens, minuutje vind ik niet erg.

Maarja het script werkt sowieso niet voor mij. Dus voorlopig doe ik het zonder.

donderdag 14 januari 2021 23:00

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

pyrofielo schreef op donderdag 14 januari 2021 @ 15:42:
Wanneer dan? Ik heb nog niks geen roadmap of aankondiging daarvan gezien.

In de packages van beta 7 zit o.a. firmware voor IPQ6018 en IPQ8074, dat zijn 802.11ax-chipsets. Dat zijn daarmee de logische opvolgers van de hAP AC² (IPQ4018) en RB3011 (IPQ8064).

Maar het is natuurlijk onbekend wanneer die op de markt komen.

vrijdag 15 januari 2021 16:58

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

@Jazco2nd
@peterstr

peterstr schreef op donderdag 14 januari 2021 @ 20:03:
En daarna moeten je clients ook nog opnieuw connecteren om de gewijzigde DNS instellingen te krijgen.

Dat hoeft dus niet.
Als de clients gewoon het IP van de Mikrotik router als DNS server mee krijgen in hun DHCP, maakt het niet uit of de Mikrotik vervolgens de Pi-hole, Adguard of een andere DNS gebruikt.
De Mikrotik zit er dan gewoon als een "relay" tussen.

Zoals ik al zei:

Mijn pi-hole heeft de publieke servers van OpenDNS ingesteld staan.
Mijn Mikrotik heeft de statische entries naar mijn servers en gebruikt daarnaast de pi-hole als DNS server.
De clients krijgen vervolgens het ip van de Mikrotik als DNS server voorgeschoteld via DHCP.

[ Voor 25% gewijzigd door Thasaidon op 15-01-2021 17:04 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 30 januari 2021 17:56

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Help!
Ik trok ff de adapter van mijn hEX POE uit stopcontact om de EM 231-A energiemeter ertussen te zetten (ben benieuwd hoeveel de router + aangesloten POE apparaten samen verbruiken).

Toen ik de 48POW adapter weer aansloot hoorde ik een constant getik in hoog tempo en de router ging niet aan. Heb de stekker er weer uit getrokken. Het getik ging verder maar langzamer.

Het bleek niet de router maar de adapter te zijn, zelfs zonder stekker in stopcontact knipperde het groene ledje en getik in dezelfde maat.

Wat betekent dit?
Ik heb nog 1x de stekker zonder energiemeter ertussen in het stopcontact gedaan: weer getik.
Nu dus nergens internet

En op de Mikrotik site vind ik geen handleiding.

zondag 31 januari 2021 16:33

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Klinkt als een overleden adapter.
Adapters die piepen of tikken kun je beter niet meer gebruiken.
Heb je niet toevallig nog een (niet POE) adapter liggen? Dan heb je iig weer (deels) internet.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 31 januari 2021 19:55

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Thasaidon schreef op zondag 31 januari 2021 @ 16:33:
Klinkt als een overleden adapter.
Adapters die piepen of tikken kun je beter niet meer gebruiken.
Heb je niet toevallig nog een (niet POE) adapter liggen? Dan heb je iig weer (deels) internet.

Ik heb bij Azerty direct een nieuwe besteld omdat ze de volgende werkdag bezorgen. Dat lijkt ook te gaan gebeuren.

Wat ik gek vond: waarom gebeurde dit toen ik de energiemeter ertussen zette?
Ik durf deze nu niet meer te gebruiken, maar wil dat wel graag.
Heb het wel ff met een oud nachtlampje geprobeerd en dat ging prima.

maandag 1 februari 2021 11:35

Acties:

+2 Henk 'm!

Ozzie

Zaterdag ook een Miktrotik setje besteld voor thuis. Een hEX PoE router met een cAP AC erbij. Als het bevalt koop ik nog twee of drie van AP's erbij. Dan heb ik er voor elke verdieping eentje en misschien nog eentje voor buiten zodat het bereik in de tuin ook goed is, maar daarvoor wil ik eerst even testen wat het bereik in de tuin is als er gewoon een AP binnen hangt.

Dus waarschijnlijk zal ik hier binnenkort wel wat meer rondhangen met allerlei vragen (of oplossingen).

Moet me nog helemaal inlezen over Mikrotik en RouterOS maar mijn stiefvader heeft bij hem op zijn bedrijf vorig jaar een heel systeem laten installeren en daarna thuis zelf ook de boel vervangen voor Mikrotik spullen en is er tot nu toe erg tevreden over. Wilde eerst Unifi router en accesspoints aanschaffen, maar vind een beetje hobbyen met mikrotik denk een stuk leuker

"Write code as if the next maintainer is a vicious psychopath who knows where you live."

maandag 1 februari 2021 15:11

Acties:

0 Henk 'm!

FabiandJ

Iemand die weet hoe ik een Wifi AP die in Dynamic mode in Cap staat, hieruit kan halen?
Ik wil namelijk de naam hiervan veranderen, maar door een simpele remove van de cap interface uit CapsMan wordt het niet verholpen.

En ik vermoed dat het komt omdat deze in CAP interface in Dynamic mode staat alle andere CAP Interfaces die ik heb en dus ook kan hernoemen, hebben dit niet.
Als ik op de CAP Interface klikt die ik kan hernoemen staat dit bovenin:
master bound not inactive running slave

En bij diegene die het niet kan:
master bound not inactive dynamic running slave

[ Voor 3% gewijzigd door FabiandJ op 01-02-2021 15:13 ]

maandag 1 februari 2021 15:13

Acties:

0 Henk 'm!

nescafe

Wifi

Als je op interfaceniveau zaken wilt gaan aanpassen kun je beter over op create-enabled; dan neemt 'ie de instellingen ook mee in een export. Zo niet dan zul je je CAP identity aan moeten passen en/of een name prefix op moeten geven in je provisioning rule.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 1 februari 2021 18:40

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Jazco2nd schreef op zondag 31 januari 2021 @ 19:55:
[...]
Wat ik gek vond: waarom gebeurde dit toen ik de energiemeter ertussen zette?

Murphy kwam langs denk ik.

Het gebeurd wel vaker dat apparatuur goed draait zolang de stroom erop blijft staan.
Maar zodra je de stroom eraf haalt de boel daarna niet meer wil.
Dat gebeurd niet allen bij apparatuur die al lang online is, maar ook bij net geplaatste apparatuur.
Al komt het wel vaker voor bij al langer draaiende apparatuur.

---edit---
Ook heel toevallig... de adapter van mijn externe docking bleek vanmorgen ook ineens niets meer te doen terwijl hij het gister nog prima deed...
Heb je Murphy mijn kant op gestuurd?

[ Voor 15% gewijzigd door Thasaidon op 02-02-2021 11:36 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

dinsdag 2 februari 2021 15:35

Acties:

0 Henk 'm!

dark.druicca

FabiandJ schreef op maandag 1 februari 2021 @ 15:11:
Iemand die weet hoe ik een Wifi AP die in Dynamic mode in Cap staat, hieruit kan halen?
Ik wil namelijk de naam hiervan veranderen, maar door een simpele remove van de cap interface uit CapsMan wordt het niet verholpen.

En ik vermoed dat het komt omdat deze in CAP interface in Dynamic mode staat alle andere CAP Interfaces die ik heb en dus ook kan hernoemen, hebben dit niet.
Als ik op de CAP Interface klikt die ik kan hernoemen staat dit bovenin:
master bound not inactive running slave

En bij diegene die het niet kan:
master bound not inactive dynamic running slave

Identity of naam van de cap is op device niveau. Je kan de identity aanpassen in capsman of op de cap zelf.
In capsman gaat het de identity pushen naar de cap.

Daarna kan de in provision het een automatische interface naam geven gebaseerd op de identity.

[ Voor 5% gewijzigd door dark.druicca op 02-02-2021 15:36 ]

maandag 8 februari 2021 09:56

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Ik ga dit toch even hier posten:

Doel:
1. NAT regels toevoegen die DNS requests doorsturen naar mijn server waar AdGuard Home op draait.
2. In DHCP server staat als DNS server gewoon het adres van de router zelf..
3. in IP > DNS staat 9.9.9.9 ingesteld als backup

Wanneer een client A nu een DNS request doet, checkt Mikrotik eerst de firewall regels > waardoor het request wordt doorgezet naar mijn server. Hierdoor zie ik in de logs van AdGuard Home ook netjes de verzoeken per client.

Het voordeel hiervan is dat ik een scriptje kan draaien die, indien de server plat ligt, de firewall rules disabled, waardoor vanzelf de backup van toepassing is. Het effect voor clients is direct.

Even los van het scriptje, krijg ik de firewall rules niet voor elkaar zoals het zou moeten.
192.168.88.1 = Mikrotik router
192.168.88.2 = server waar oa AdGuardHome op draait.

code:

1
2

ip firewall nat add chain=dstnat src-address=192.168.88.2 protocol=udp dst-port=53 comment="traffic AGH server to www"
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.2 protocol=udp src-address=192.168.88.0/24 dst-address=!192.168.88.2 dst-port=53 comment="forward requests to AGH"

Bovenstaande werkt niet.. geen enkele client kan dns requests doen nu. Maar als ik deze masquerade toevoeg:

code:

1	/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.2 dst-port=53 protocol=udp

Werkt het wel, helaas zie ik in AGH dan alle requests van alle clients afkomstig zijn van 192.168.88.1. Dat is niet de bedoeling.
De masquerade rule heb ik "gejat" van hairpin NAT maar zou hier toch niet nodig moeten zijn?
De middelste regel heb ik gekopieerd van iemand wiens server in een ander netwerk zit, daarom de 1e regel toegevoegd om dat te compenseren.

[ Voor 11% gewijzigd door Jazco2nd op 08-02-2021 09:59 ]

maandag 8 februari 2021 12:23

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

De eerste regel heeft geen effect. De masquerade heb je wel nodig, anders krijgen je clients een antwoord van een host waar ze geen vraag aan hebben gesteld.

Ik weet niet of hier een mooie oplossing voor is, Misschien iets als VRRP om een IP te delen?

maandag 8 februari 2021 12:32

Acties:

0 Henk 'm!

nescafe

Wifi

Je kunt de AdGuard in een ander subnet zetten dan heb je geen srcnat meer nodig.

Zelf heb ik een secundaire server (Pi4) opgezet, sindsdien geen problemen meer met DNS.

[ Voor 40% gewijzigd door nescafe op 08-02-2021 12:35 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 9 februari 2021 22:09

Acties:

0 Henk 'm!

Willy Mikrotik

Hoi Allemaal,

Ik heb al een tijdje dat mijn CRS125 druk is met (Niets) lijkt het wel maar in de logging zag ik het onderste verschijnen.

Afbeeldingslocatie: https://tweakers.net/i/KScCsOEcElbXH-U2QmMspkqWS50=/800x/filters:strip_icc():strip_exif()/f/image/D7rUsLjkTyaEeUhxSUkCwHUZ.jpg?f=fotoalbum_large

Wat te doen heb nog garantie of is een update de oplossing.

[ Voor 48% gewijzigd door Willy Mikrotik op 09-02-2021 22:09 ]

dinsdag 9 februari 2021 22:52

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Waneer gebeurt dat? Net na het booten, of willekeurig? Welke versie draai je, en heb of had je management interfaces open naar het internet? Wat zegt het volgende, specifiek het aantal bad blocks?

code:

1	/system resource print

Lijkt me hardwaregerelateerd (bad blocks op NAND?) of een artefact van een gehackt device. In beide gevallen lijkt me een netinstall geen verkeerd idee (dan weet je zeker dat hij packages opnieuw wegschrijft).

woensdag 10 februari 2021 08:51

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Hebben mensen met KPN glasvezel hier, eerst de KPN apparatuur (media converter en router) moeten aansluiten voordat het werkte met je eigen Mikrotik, met de SFP module erin?

Per vandaag heb ik KPN, komende van T-Mobile op het KPN netwerk.

Ik heb:

Een PPPoE cliënt ingesteld (gewoon ff via Quick Set, daarna via Interfaces>PPPoE cliënt, de max MTU en max MRU beide op 1500 gezet, "interface" op vlan-internet gezet en onder "allow" alleen PAP aangevinkt gelaten, keep-alive timeout naar 20 en als user/pw gewoon internet/internet gebruikt).
Mijn vlan-internet interface gewijzigd naar ID 6 en MTU 1508.
Bij de SFP interface de MTU op 1512 gezet.
Helaas blijft de PPPoE Cliënt op "connecting..." hangen

[ Voor 19% gewijzigd door Jazco2nd op 10-02-2021 09:03 ]

woensdag 10 februari 2021 09:02

Acties:

0 Henk 'm!

nescafe

Wifi

@Jazco2nd

Laat een PPPoE-scan op vlan 6 iets zien?
Wat krijg je met een torch op je SFP-interface (VLAN Id en (MAC) protocol aangevinkt) te zien (traffix rx/tx, pppoe discovery, broadcast, ..)?
Welke SFP-module gebruik je en welke frequenties tx/rx?
Wat is de status van je SFP-interface?
Wat staat er op de SFP tab van je SFP-interface (m.n. Rx Lose, Tx Power, Rx Power)?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

woensdag 10 februari 2021 09:04

Acties:

0 Henk 'm!

Jazco2nd

Wifi

@nescafe
Ik had in de PPPoE cliënt nog de interface op SFP1 staan ipv op vlan-internet. Direct na het wijzigen, krijg ik verbinding en wordt deze onmiddellijk verbroken en kom ik in een loop: telkens wordt het direct verbroken..

EDIT: Mikrotik even gereboot: nu blijft PPPoE cliënt connected!!

Maar ik heb nog geen internet. Ik ga even alles wat je vraagt nalopen.

[ Voor 23% gewijzigd door Jazco2nd op 10-02-2021 09:06 ]

woensdag 10 februari 2021 09:08

Acties:

0 Henk 'm!

Hmmbob

Jazco2nd schreef op woensdag 10 februari 2021 @ 08:51:
Hebben mensen met KPN glasvezel hier, eerst de KPN apparatuur (media converter en router) moeten aansluiten voordat het werkte met je eigen Mikrotik,

Ik gebruik niet de SFP van mijn Mikrotik, maar moest inderdaad wel eerst de Experiabox 1x aangesloten hebben voor ik iets kon.

Sometimes you need to plan for coincidence

Onderwerpen