[MikroTik-apparatuur] Ervaringen & Discussie

[ Voor 7% gewijzigd door Hmmbob op 10-02-2021 10:35 ]

nescafe schreef op woensdag 10 februari 2021 @ 11:35:
@Jazco2nd
Hmm, als dat het probleem is heb je nog met een oude default config te maken. Je stelt vragen over bepaalde regels die zeer selectief filteren, terwijl de huidige default config goed is ingericht op basis van interface lists.

Het kost even wat werk maar.. ik zou de config exporteren, alles resetten naar default en dan opnieuw inrichten (vlan6 + pppoe-client) en hierbij sfp1, vlan6 en pppoe-client opnemen in de interface list "WAN". Dan ben je er zeker van dat firewalling goed is geregeld.

En dan zo weinig mogelijk overnemen van netwerkje.com als het kan E.e.a. is wat gedateerd en niet alles is nodig.

[ Voor 23% gewijzigd door Jazco2nd op 10-02-2021 12:10 ]

nescafe schreef op woensdag 10 februari 2021 @ 11:35:
En dan zo weinig mogelijk overnemen van netwerkje.com als het kan E.e.a. is wat gedateerd en niet alles is nodig.

[ Voor 26% gewijzigd door Jazco2nd op 10-02-2021 12:45 ]

[ Voor 12% gewijzigd door Theone098 op 11-02-2021 14:29 ]

Jazco2nd schreef op woensdag 10 februari 2021 @ 10:16:
PPoE Client, Connected
PPPoE-scan op vlan6 probeerde ik, het was een poosje running, maar ik zag niks.
Daarna had ik weer geen verbinding.

Naar aanleiding van m'n eerdere opmerking over het feit dat het hier soms ook niet werkt na een reboot heb ik nog even geëxperimenteerd: het blijkt zo te zijn dat je per 300 seconden slechts één kans krijgt om een PPPoE-sessie op te zetten. Concreter: je krijgt één PADO per 300 seconden; doe je daar niets mee, dan is dat jouw probleem en ben je effectief geblokkeerd. Als je de sessie netjes opzet en afbreekt mag je nog een keer initiaten, maar als je dat te vaak herhaalt wordt je ook geblokkeerd.

e ppp profile aanpassen (use-ipv6=yes)

Theone098 schreef op donderdag 11 februari 2021 @ 14:27:
Ik zou graag het IPTV-VLAN op een aparte poort van de Qotom willen zetten (poort 2).

Hoe kan ik dit nu realiseren zonder dat, als ik het IPTV-VLAN van de WAN aan poort 2 IPTV-VLAN hang, PFSense binnen 5 minuten hangt?

Thralas schreef op vrijdag 12 februari 2021 @ 15:36:
[...]


Waarom dat?

[...]


Vermoedelijk creëer je een loop met een untagged default vlan op beide interfaces, of iets dergelijks? Zou dat nalopen. Of kijken of (M)STP je erop kan wijzen waar het probleem zit.

Daarnaast zou ik overwegen om het hele IPTV vlan gewoon te routeren op pfSense. Dat is ook hoe KPN het doet, immers..

Thralas schreef op dinsdag 9 februari 2021 @ 22:52:
Waneer gebeurt dat? Net na het booten, of willekeurig? Welke versie draai je, en heb of had je management interfaces open naar het internet? Wat zegt het volgende, specifiek het aantal bad blocks?

code:

1	/system resource print

Lijkt me hardwaregerelateerd (bad blocks op NAND?) of een artefact van een gehackt device. In beide gevallen lijkt me een netinstall geen verkeerd idee (dan weet je zeker dat hij packages opnieuw wegschrijft).

Thralas schreef op zaterdag 13 februari 2021 @ 16:51:
Geen bad blocks, daar kan het dus niet aan liggen.

Manual: NetInstall

Je draait niet de laatste versie. Probeer te updaten; als dat niet werkt of niet helpt: netinstall.

[ Voor 10% gewijzigd door Theone098 op 17-02-2021 21:27 ]

/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=<het gaat dus om deze poorten>

1

/interface ethernet switch vlan print

1
2

/interface ethernet switch
set forward-unknown-vlan=no

[ Voor 13% gewijzigd door Theone098 op 21-02-2021 12:55 ]

The Executer schreef op vrijdag 5 maart 2021 @ 10:32:
Dit werkte niet, dus heb ik de route verwijderd en een andere optie geprobeerd, namelijk via IP Adresses:

Deze voegt ook automatisch een route toe, maar nog steeds kom ik er niet uit. Ben ik op de verkeerde manier bezig?

Thralas schreef op vrijdag 5 maart 2021 @ 10:46:
[...]


Dat kun je ook zien in de output, de route is niet Active (A). En dat komt weer omdat je router zelf geen IP in dat subnet heeft, en bij gebrek aan een gateway is die route onbruikbaar.


[...]


Je hebt het network address .0 toegekend als address. Maak er eens .1 van? En werp ook een blik op de routetabel, die zou dan een actieve route moeten hebben.

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[richard@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                                                          
 0   ;;; defconf
     192.168.88.1/24    192.168.88.0    bridge                                                                                                                                                                                                             
 1 D 217.120.46.239/23  217.120.46.0    ether1                                                                                                                                                                                                             
 2   192.168.2.1/24     192.168.2.0     ether3                                                                                                                                                                                                             
[richard@MikroTik] > ip route print  
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          217.120.46.1              1
 1 ADC  192.168.2.0/24     192.168.2.1     bridge                    0
 2 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 3 ADC  217.120.46.0/23    217.120.46.239  ether1                    0

[ Voor 22% gewijzigd door The Executer op 05-03-2021 10:59 ]

The Executer schreef op vrijdag 5 maart 2021 @ 10:58:
[...]


Daar had ik ff een foutje gemaakt in alle dingen die ik al had getest. Aangepast:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

[richard@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; defconf 192.168.88.1/24 192.168.88.0 bridge 1 D 217.120.46.239/23 217.120.46.0 ether1 2 192.168.2.1/24 192.168.2.0 ether3 [richard@MikroTik] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 217.120.46.1 1 1 ADC 192.168.2.0/24 192.168.2.1 bridge 0 2 ADC 192.168.88.0/24 192.168.88.1 bridge 0 3 ADC 217.120.46.0/23 217.120.46.239 ether1 0

Wat blijkt: Ik kan vanaf de Mikrotik de switch wel pingen, maar nog niet vanaf een aan de Mikrotik aangesloten device.

The Executer schreef op vrijdag 5 maart 2021 @ 10:58:
Wat blijkt: Ik kan vanaf de Mikrotik de switch wel pingen, maar nog niet vanaf een aan de Mikrotik aangesloten device.

ik222 schreef op vrijdag 5 maart 2021 @ 11:21:
[...]

Dat komt waarschijnlijk omdat de apparaten in 217.120.46.0/23 de weg terug naar subnets op de mikrotik niet weten. Sowieso heb je hiervoor geen statische route nodig op je Mikrotik (daar is het subnet immers directly connected) maar juist aan de andere kant.

Als het puur routering is zou je de gateway in 217.120.46.0/23 dus moeten vertellen dat hij 192.168.2.0/24 en 192.168.88.0/24 kan vinden achter 217.120.46.239. Maar weet je wel zeker dat dit puur routing is aangezien 217.120.46.0/23 public IP space is? Ben je dus niet meer op zoek naar een NAT regel?
Laat maar, eerste post niet goed gelezen...

Thralas schreef op vrijdag 5 maart 2021 @ 11:24:
[...]


Je switch heeft geen default gateway en kent dus alleen 192.168.2.0/24.

Je zult een gateway moeten configureren, of al dan niet tijdelijk een masquerade rule in de firewall van de MikroTik zetten voor out interface ether3, zodat gerouteerd verkeer vanaf de MikroTik zelf lijkt te komen.

Het handigste is natuurlijk om hem uiteindelijk onderdeel te maken van je reguliere subnet, dan loop je hier niet tegenaan (maar er ligt een kip/ei-probleem op de loer).

The Executer schreef op vrijdag 5 maart 2021 @ 11:54:
Onder IP Route wordt bij het toevoegen van het netwerk via IP Addresses de gateway op bridge gezet, dit lijkt mij toch goed?

Mijn gedachtengang: Bridge kent nu 192.168.88.1/24 en 192.168.2.1/24 op ETH3 (Doordat ik dit adres toe heb gevoegd), dan zou hij nu toch moeten kunnen routeren daartussen?

[ Voor 6% gewijzigd door Thralas op 05-03-2021 12:24 ]

Thralas schreef op vrijdag 5 maart 2021 @ 12:22:
[...]


Dat klopt allemaal.

Maar de switch kent alleen 192.168.2.0/24 (z'n eigen subnet); daardoor komen packets van je LAN nu wel aan bij de switch (MikroTik zal ze afleveren), maar die weet vervolgens niet hoe hij 192.168.88.0/24 kan bereiken.

Het logische antwoord is: routeren via 192.168.2.1, maar dat zul je wel moeten configureren (meest logische als default gateway). Omdat je waarschijnlijk netwerktoegang nodig hebt om dat voor elkaar te krijgen is die tijdelijke masquerade rule handig (want dan vervangt de MikroTik het source address van packets richting de switch voor 192.168.2.1 en die weet de switch wel te vinden).

The Executer schreef op vrijdag 5 maart 2021 @ 12:41:
Als die routering niet zou werken, dan zou de Mikrotik hem toch ook niet kunnen bereiken?

Als het vanaf de Mikrotik bereikbaar is, zou dat vanaf de laptop toch ook moeten?

Maar, ik denk dat ik de conclusie van mijn collega kan delen, namelijk dat deze switch gewoon ruk is. Een ping puur naar de switch (in dit geval vanaf de Mikrotik dus) is al 4ms met regelmatig uitschieters naar 18ms, terwijl er nog niet eens iets aan hangt. Naar mijn PC welke op een andere non managed switch zit doet gewoon 0ms.

Thralas schreef op vrijdag 5 maart 2021 @ 13:10:
[...]


Jawel, want die delen een subnet (192.168.2.0/24) zodat er niet gerouteerd wordt.

Verkeer van 192.168.2.0/24 zal wel werken (je MikroTik pingt vanaf 192.168.2.1)
Verkeer van 192.168.88.0/24 zal niet werken (je LAN)

[...]


Nee, want dan moet je wél routeren omdat deze in een ander subnet zit en je switch kent überhaupt geen routers nu. Maak je de MikroTik zijn default gateway, dan zal het wel werken.

Ik kan het niet heel veel duidelijker uitleggen dan ik al in de voorgaande twee posts heb gedaan, vrees ik.

[...]


Daar moet je je ook niet op verkijken. Alles dat dóór de switch gaat gebeurt in hardware. Als je de switch zelf pingt dan verlaat je dat hardwarepad en dan kan het best wel eens traag zijn. Ook al is 18 ms erg traag, het zegt niets over switching performance.

The Executer schreef op vrijdag 5 maart 2021 @ 16:53:
Ik probeer het te begrijpen hoor, doe mijn best.

[ Voor 22% gewijzigd door Thasaidon op 06-03-2021 18:56 ]

[ Voor 48% gewijzigd door Maverick op 13-03-2021 13:14 ]

[ Voor 72% gewijzigd door nescafe op 14-03-2021 13:54 ]

nescafe schreef op zaterdag 13 maart 2021 @ 14:03:
@Maverick, Quick Set Mode: WISP AP, Mode: Bridge en Bridge All LAN Ports: Yes

@DeadLock, dat zou moeten werken. Check ook even of de caps de juiste bridge onder cap (voor local forwarding) hebben geselecteerd. In default config (CAPS Mode) zou het al goed moeten staan.

SpikeHome schreef op maandag 15 maart 2021 @ 13:06:
Ik heb een vraagje.
Heb een 2011 als main router met een 2e Hpac2 als AP en extra poorten voor bij de tv in de woon kamer.
Ik heb ook een vlan voor gasten (wifi) die naar de main router gaat.
Dit werkt allemaal goed.
Nu heb ik de 2e router een bridge-lan en ene bridge-vlan ook dat werkt en krijgen beide bridges het adres van mijn dhcp van de eerste router.
Maar nu mijn probleem is dat de uplink poort ether1 ook een dhcp doet en dan ook een adres krijgt.
Hoe zorg ik ervoor dat die geen adres krijgt?

Jazco2nd schreef op donderdag 25 maart 2021 @ 23:45:
Kan dit via IP>DNS>Static?

spanx schreef op donderdag 15 april 2021 @ 16:09:
hallo,

Ik ben aan het kijken voor een switch thuis.

Nu kwam ik de volgende switches tegen:

MikroTik CRS326-24G-2S+RM & CSS326-24G-2S+RM tegen.

Ik ben geen op en top netwerk specialist en zoek eigenlijk een simpele L2 switch maar de CRS is misschien beter geschikt als ik in de toekomst meer wil doen met routeren en queues.

Ik heb zeer weinig ervaring met microtik maar door mijn vrijwilligers werk ben ik in aanraking gekomen met de microtik die ze daar hadden staan.(niet bovenstaand model trouwens)

Ik wil minimaal 3 vlans (ip camera,thuis netwerk en smart meuk netwerk).

Kan ik dan beter de R (routerOS pakken)? Voeden wil ik hem via de PoE poort aan de voorzijde (niet PoE+).

verdere verschillen zijn 24w tov 19w en L3 functies.

heb glasvezel 100/100. is het echt zo dat als je de L3 functies gaat gebruiken dat de R switch aan cpu tekort komt? (800mhz)

spanx schreef op donderdag 15 april 2021 @ 18:04:
Dus R voor de zekerheid....

superyupkent schreef op donderdag 15 april 2021 @ 20:00:
[...]

Yes!

daansan schreef op zondag 2 mei 2021 @ 17:01:
De exact zelfde config op de RB760 geeft wel een mtu van 1500 op de pppoe client.

[ Voor 9% gewijzigd door Hmmbob op 03-05-2021 09:00 ]

Hmmbob schreef op maandag 3 mei 2021 @ 08:58:

Iemand die dit beeld herkend?

[ Voor 22% gewijzigd door cossy nl op 03-05-2021 09:21 ]

Hmmbob schreef op maandag 3 mei 2021 @ 08:58:
Ik heb de indruk dat we sinds 6.48.2 op de RB2011 hier een trager internet hebben - in de beleving dan. Dat zit hem vooral in "time to first byte" zullen we maar zeggen: het duurt echt lang voordat we iets op het telefoonscherm te zien krijgen. Mijn vrouw vindt het zo irritant dat ze ondertussen de 4G maar opstookt, ik merk dat ik ook vaak overschakel. Áls de verbinding dan eenmaal gelegd is, gaat alles bloedsnel en ook de speedtest gaat gewoon voluit 200/200.

Ik merk het ook als ik op mijn thuisserver nieuwe images check: dan worden in korte tijd ~15 images op docker gecontroleerd en daar blijft ook het initiele antwoord lang op zich wachten, veel langer dan voorheen.

Iemand die dit beeld herkend?

Rb2011, enkel als switch (wifi via losse ap's), thuisserver is bedraad aangesloten, in Adguard Home DNS staan alle responses op <2ms.

Hmmbob schreef op maandag 3 mei 2021 @ 08:58:
Ik heb de indruk dat we sinds 6.48.2 op de RB2011 hier een trager internet hebben - in de beleving dan. Dat zit hem vooral in "time to first byte" zullen we maar zeggen: het duurt echt lang voordat we iets op het telefoonscherm te zien krijgen. Mijn vrouw vindt het zo irritant dat ze ondertussen de 4G maar opstookt, ik merk dat ik ook vaak overschakel. Áls de verbinding dan eenmaal gelegd is, gaat alles bloedsnel en ook de speedtest gaat gewoon voluit 200/200.

Ik merk het ook als ik op mijn thuisserver nieuwe images check: dan worden in korte tijd ~15 images op docker gecontroleerd en daar blijft ook het initiele antwoord lang op zich wachten, veel langer dan voorheen.

Iemand die dit beeld herkend?

Rb2011, enkel als switch (wifi via losse ap's), thuisserver is bedraad aangesloten, in Adguard Home DNS staan alle responses op <2ms.

Hmmbob schreef op maandag 3 mei 2021 @ 08:58:
Iemand die dit beeld herkend?

Hmmbob schreef op maandag 3 mei 2021 @ 08:58:
Ik merk het ook als ik op mijn thuisserver nieuwe images check: dan worden in korte tijd ~15 images op docker gecontroleerd en daar blijft ook het initiele antwoord lang op zich wachten, veel langer dan voorheen.

Iemand die dit beeld herkend?

Rb2011, enkel als switch (wifi via losse ap's), thuisserver is bedraad aangesloten, in Adguard Home DNS staan alle responses op <2ms.

[ Voor 3% gewijzigd door Thralas op 03-05-2021 10:15 ]

Thralas schreef op maandag 3 mei 2021 @ 10:15:
Ja, bijvoorbeeld als IPv6 weer eens lastig doet. Maar dat ligt niet specifiek aan MikroTik dan.
[...]
Als je 'm enkel als switch gebruikt lijkt het me heel, héél sterk dat het daaraan ligt. In any case: maak wat packetcaptures zodat je ziet wat er nu precies traag is.

Thralas schreef op zondag 2 mei 2021 @ 20:30:
[...]


Welke config? En welke ISP?

Je moet de PPPoE MTU en MRRU uiteraard op 1500 zetten. Het gekke daarbij is dat je op devices als de hAP ac verder niets hoeft te doen met de MTU van de VLAN interface (indien van toepassing) en ethernet. Ik vermoed dat dat komt door hardware offloading.

Voorzichtige gok: de RB4011 werkt anders en vereist daardoor wel accurate MTU values op de VLAN/ethernet iface. Probeer eens wat ik hier uiteenzet: Thralas in "[MikroTik] Geen verkeer over PPPoE-client (KPN Glasvezel)"

MSS clamping wil je inderdaad vermijden als het niet hoeft. Maar bij een MTU <1500 zonder clamping loopt het inderdaad gegarandeerd in de soep (want fragmentatie werkt in de praktijk niet).

[ Voor 3% gewijzigd door Hmmbob op 03-05-2021 18:59 ]

nescafe schreef op woensdag 5 mei 2021 @ 18:55:
@SpikeHome Aangezien je al een MikroTik hebt kun je dit eens proberen; het instellen van country 'no_country_set' waardoor het zendvermogen niet meer wordt beperkt tot de geldende regelingen. Dit is uiteraard officieel niet toegestaan maar kan je helpen om dat ene kleine stukje extra bereik te krijgen.

Daarbuiten ondersteunt iedere MikroTik met radio de modus station-bridge waarmee je datgene bereikt; een transparant L2-domein via wireless bridge.

nescafe schreef op woensdag 5 mei 2021 @ 19:12:
@Vorkie ik heb nog geen problemen ondervonden met apparaten die NL zijn ingesteld; als je bijv. WinFi even laat draaien zie je dat er meer routers zijn die geen of een verkeerde landcode uitzenden. Wat bedoel je met een drama-netwerk?

nescafe schreef op woensdag 5 mei 2021 @ 19:12:
@Vorkie ik heb nog geen problemen ondervonden met apparaten die NL zijn ingesteld; als je bijv. WinFi even laat draaien zie je dat er meer routers zijn die geen of een verkeerde landcode uitzenden. Wat bedoel je met een drama-netwerk?

SpikeHome schreef op woensdag 5 mei 2021 @ 18:42:
Even een vraag.
Ik heb thuis MikroTik router staan helaas is het bereik tot achterin de tuin niet geweldig.
Achterin de tuin staat ook de schuur waar ik internet wil hebben helaas is kabel leggen niet meer mogelijk.
Ik zie dat MikroTik ook antennes verkoopt die ik dan als ap zou kunnen gebruiken om het signaal op te vangen en weer aan een switch te koppelen.
Ik weet dat ze ook draadloze bridges verkopen maar ik wil liever geen antenne aan de woning buiten.

Is dat mogelijk en welk device zal ik dan nodig hebben?

SpikeHome schreef op donderdag 6 mei 2021 @ 07:36:
Ik heb wel ontvangst achter maar staat nu alleen een ontvanger.

Dus dacht ik door er een MikroTik ontvanger neer te hangen met een betere antenne met daarop weer een

Thralas schreef op zondag 2 mei 2021 @ 20:30:
[...]

Voorzichtige gok: de RB4011 werkt anders en vereist daardoor wel accurate MTU values op de VLAN/ethernet iface. Probeer eens wat ik hier uiteenzet: Thralas in "[MikroTik] Geen verkeer over PPPoE-client (KPN Glasvezel)"

latka schreef op dinsdag 18 mei 2021 @ 11:38:
Iemand hier al ervaringen met SwOS op een CRS354: ik heb de mijne hier nu op mijn buro liggen en wil deze van het weekend afmonteren dus tot die tijd heb ik eenvoudig toegang tot het apparaat (daarna uiteraard remote, maar de reset knop is dan minder handig). De vraag is dus RouterOS of SwOS op een CRS354 gebruiken. Het doel is een L2 TP-Link te vervangen, dus de uitgebreide L3 features van RouterOS heb ik niet nodig. Ik heb al wel wat ervaring met SwOS op de CRS305 en dat bevalt goed genoeg. Aangezien SwOS lange tijd niet op de CRS354 beschikbaar was weet ik niet of deze 1e release van SwOS nog buggy is.

# model = RouterBOARD 3011UiAS

/interface bridge=
add arp=proxy-arp igmp-snooping=yes name=bridge1-vlan200-MGMT protocol-mode=none

/interface ethernet
set [ find default-name=ether1 ] l2mtu=8156 mtu=8000 name=ether1-HP1810 rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether2 ] l2mtu=8156 mtu=8000 name=ether2-HP1920 rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether3 ] l2mtu=8156 mtu=8000 name=ether3-HP1820 rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether4 ] l2mtu=8156 mtu=8000 name=ether4-TP105E rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether5 ] l2mtu=8156 mtu=8000 rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether6 ] rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether7 ] rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether8 ] rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether9 ] rx-flow-control=auto speed=100Mbps tx-flow-control=auto
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full

/interface vlan
add interface=bridge1-vlan200-MGMT mtu=8000 name=vlan4-IPTV_RG vlan-id=4
add arp=proxy-arp interface=bridge1-vlan200-MGMT mtu=8000 name=vlan11-LAN vlan-id=11
add arp=proxy-arp interface=bridge1-vlan200-MGMT mtu=8000 name=vlan12-GUEST vlan-id=12
add interface=bridge1-vlan200-MGMT mtu=8000 name=vlan34-KPN vlan-id=34
add arp=proxy-arp interface=bridge1-vlan200-MGMT mtu=8000 name=vlan201-DNS vlan-id=201
add arp=proxy-arp interface=bridge1-vlan200-MGMT mtu=8000 name=vlan203-HOME vlan-id=203
add arp=proxy-arp interface=bridge1-vlan200-MGMT mtu=8000 name=vlan204-CCTV vlan-id=204

/interface list
add exclude=dynamic name=discover

/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

/ip dhcp-server option
add code=43 name=unifi value=0x01040a00020f
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'10.0.2.255'"
add code=28 name=option28-broadcast-vlan11 value="'10.0.1.255'"


/ip dhcp-server option sets
add name=IPTV-vlan200 options=option60-vendorclass,option28-broadcast
add name=IPTV-vlan11 options=option60-vendorclass,option28-broadcast-vlan11

/ip pool
add name=dhcp_pool_LAN ranges=10.0.1.100-10.0.1.200
add name=dhcp_pool_MGMT ranges=10.0.2.100-10.0.2.200
add name=dhcp_pool_GUEST ranges=10.0.12.100-10.0.12.250
add name=dhcp_pool_HOME ranges=10.0.203.100-10.0.203.200
add name=dhcp_pool_CCTV ranges=10.0.204.100-10.0.204.200


/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_MGMT conflict-detection=no dhcp-option-set=IPTV-vlan200 disabled=no interface=bridge1-vlan200-MGMT lease-time=1d name=dhcp-MGMT src-address=10.0.2.1
add add-arp=yes address-pool=dhcp_pool_LAN bootp-support=none conflict-detection=no dhcp-option-set=IPTV_vlan11 disabled=no interface=vlan11-LAN lease-time=1d name=dhcp-LAN src-address=10.0.1.1
add add-arp=yes address-pool=dhcp_pool_HOME disabled=no interface=vlan203-HOME lease-time=1d name=dhcp-HOME src-address=10.0.203.1
add add-arp=yes address-pool=dhcp_pool_GUEST disabled=no interface=vlan12-GUEST lease-time=1d name=dhcp-GUEST src-address=10.0.12.1
add add-arp=yes address-pool=dhcp_pool_CCTV disabled=no interface=vlan204-CCTV lease-time=1d name=dhcp-CCTV src-address=10.0.204.1

/interface bridge port
add bridge=bridge1-vlan200-MGMT interface=ether3-HP1820
add bridge=bridge1-vlan200-MGMT interface=ether2-HP1920
add bridge=bridge1-vlan200-MGMT interface=ether1-HP1810
add bridge=bridge1-vlan200-MGMT interface=ether4-TP105E
add bridge=bridge1-vlan200-MGMT interface=ether5

/ip neighbor discovery-settings
set discover-interface-list=all

/ip settings
set accept-redirects=yes accept-source-route=yes

/ip address
add address=10.0.2.1/24 interface=bridge1-vlan200-MGMT network=10.0.2.0
add address=10.0.1.1/24 interface=vlan11-LAN network=10.0.1.0
add address=10.0.201.1/24 interface=vlan201-DNS network=10.0.201.0
add address=10.0.203.1/24 interface=vlan203-HOME network=10.0.203.0
add address=10.0.12.1/24 interface=vlan12-GUEST network=10.0.12.0
add address=10.0.204.1/24 interface=vlan204-CCTV network=10.0.204.0

/ip dhcp-client
add !dhcp-options disabled=no interface=vlan34-KPN use-peer-dns=no use-peer-ntp=no
add add-default-route=special-classless default-route-distance=210 dhcp-options=option60-vendorclass interface=vlan4-IPTV_RG use-peer-dns=no use-peer-ntp=no

/ip dhcp-server network
add address=10.0.1.0/24 dns-server=10.0.1.1 domain=rjm.lan gateway=10.0.1.1 netmask=24 ntp-server=10.0.1.1
add address=10.0.2.0/24 dhcp-option=unifi dns-server=10.0.2.1 domain=ic.rjm.lan gateway=10.0.2.1 netmask=24 ntp-server=10.0.2.1
add address=10.0.12.0/24 dns-server=10.0.12.1 domain=guest.rjm.lan gateway=10.0.12.1 netmask=24 ntp-server=10.0.201.2
add address=10.0.203.0/24 dns-server=10.0.203.1 domain=ic.rjm.lan gateway=10.0.203.1 netmask=24 ntp-server=10.0.203.1
add address=10.0.204.0/24 dns-server=10.0.204.1 domain=cctv.rjm.lan gateway=10.0.204.1 netmask=24 ntp-server=10.0.201.1

/ip dns
set allow-remote-requests=yes cache-max-ttl=30s cache-size=10000KiB servers=10.0.201.2

/ip firewall mangle
add action=change-mss chain=forward dst-address=172.16.0.0/12 new-mss=1360 passthrough=yes protocol=tcp src-address=!172.16.0.0/12 tcp-flags=syn tcp-mss=!0-1360

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.112.0/21 out-interface=vlan4-IPTV_RG
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan4-IPTV_RG
add action=masquerade chain=srcnat comment="NAT for all outgoing/WAN traffic" dst-address=!172.16.0.0/12 out-interface=vlan34-KPN src-address=!172.16.0.0/12

add action=same chain=srcnat comment="MASQ verkeer naar Boy-VPN" dst-address=172.18.0.0/16 log-prefix=VPNRON same-not-by-dst=yes to-addresses=172.17.0.0/16
add action=redirect chain=dstnat comment="Transparent Proxy Hook" disabled=yes dst-address=!10.0.0.0/8 dst-port=80 in-interface=!vlan34-KPN protocol=tcp src-address-list=!No-internet to-ports=8080
add action=dst-nat chain=dstnat comment="proxy https" dst-address=82.169.192.243 dst-port=443 protocol=tcp to-addresses=10.0.203.80 to-ports=443
add action=dst-nat chain=dstnat comment="proxy http" disabled=yes dst-address=82.169.192.243 dst-port=80 protocol=tcp to-addresses=10.0.203.80 to-ports=8080
add action=netmap chain=dstnat comment="NETMAP verkeer vanuit Boy-VPN" dst-address=172.17.0.0/16 src-address=172.18.0.0/16 to-addresses=10.0.0.0/16

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan4-IPTV_RG upstream=yes
add interface=bridge1-vlan200-MGMT

/tool netwatch
add comment="DNS Failover" down-script="/ip dns set servers=\"1.1.1.1\"" host=10.0.201.2 interval=10s timeout=100ms up-script="/ip dns set servers=\"10.0.201.2\""

RonJ schreef op dinsdag 18 mei 2021 @ 15:16:
Zou iemand eens met me mee willen denken?

Ik probeer routed IPTV op budget/kpn werkend te krijgen icm een Netgear DM200 modem en een Mikrotik RB3011. Ik heb eea conform de set-up van netwerkje.com ingesteld. Internetten via een lease op vlan34 werkt prima. Maar zodra ik de dhcp client op vlan 4 óók enable heb ik geen internet meer via vlan34. Totdat ik de dhcp client op vlan 4 weer uitzet, dan werkt het na een dhcp renew meteen weer. Enable ik de client op vlan4 weer, plop, internet weg. Maar ik krijg wel netjes een lease op vlan 4, de igmp proxy krijgt zn adres, etc.

Kan het soms zijn dat je internet vlan niet over dezelfde bridge mag lopen?

[Afbeelding]

Modem zit aangesloten via een HP 1920 8G-POE+ switch, waarop vlans 4 en 34 tagged worden doorgegeven tussen de router en het modem. Router heeft poort 1-4 gebridged met daarop alle vlans, incl de 2 WAN vlans.

[Afbeelding]

Mikrotik config export:

[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138

# may/18/2021 15:31:08 by RouterOS 6.47.9
#
# model = CRS328-24P-4S+
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge protocol-mode=none \
    vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan4 vlan-id=4
add interface=bridge name=vlan6 vlan-id=6
add interface=bridge name=vlan40 vlan-id=40
add interface=bridge name=vlan60 vlan-id=60
/interface list
add name=WAN
add name=LAN
add name=IPTV
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'10.10.40.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip pool
add name=IPTV-pool ranges=10.10.40.10-10.10.40.100
/ip dhcp-server
add address-pool=IPTV-pool disabled=no interface=vlan40 lease-time=1d name=\
    IPTV-server
/interface bridge port
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=yes \
    interface=ether6
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether9 pvid=60
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether11 pvid=70
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether12 pvid=60
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether13 pvid=60
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=yes \
    interface=ether14
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether15 pvid=70
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether16 pvid=70
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether17 pvid=70
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether18 pvid=60
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether19 pvid=60
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=yes \
    interface=sfp-sfpplus3
add bridge=bridge interface=sfp-sfpplus4
/interface bridge settings
set allow-fast-path=no
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set allow-fast-path=no
/interface bridge vlan
add bridge=bridge comment="IPTV source" tagged=bridge,sfp-sfpplus1 \
    vlan-ids=4
add bridge=bridge comment="Internet PPPoE" tagged=\
    bridge,sfp-sfpplus1,sfp-sfpplus2 vlan-ids=6
add bridge=bridge comment="IPTV LAN" tagged="bridge,sfp-sfpplus2,ether6,ether2\
    ,ether7,ether8,ether14,ether22,sfp-sfpplus3" vlan-ids=40
add bridge=bridge comment=LAN tagged="bridge,sfp-sfpplus2,sfp-sfpplus3,ether6,\
    ether8,ether2,ether14,ether22,ether7,ether21" untagged=\
    ether20,ether1,ether9,ether19,ether13,ether12 vlan-ids=60
/interface list member
add interface=vlan4 list=IPTV
add interface=vlan60 list=LAN
/ip address
add address=10.10.40.1/24 interface=vlan40 network=10.10.40.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=250 \
    dhcp-options=option60-vendorclass,hostname,clientid disabled=no \
    interface=vlan4 use-peer-dns=no use-peer-ntp=no
add disabled=no interface=vlan60
add add-default-route=no interface=vlan80 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=10.10.40.99 comment="Arcadyan HBM2260" mac-address=\
    50:7E:5D:C8:37:3A server=IPTV-server
add address=10.10.40.98 comment="Arris VIP5202" mac-address=00:02:9B:F7:71:4B \
    server=IPTV-server
/ip dhcp-server network
add address=10.10.40.0/24 dhcp-option-set=IPTV dns-server=\
    194.109.6.66,194.109.9.99 gateway=10.10.40.1 netmask=24
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \
    connection-state=established,related,untracked
add action=accept chain=input comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface-list=IPTV protocol=igmp
add action=accept chain=input comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface-list=IPTV protocol=udp
add action=drop chain=input comment="drop invalid" connection-state=invalid \
    log=yes log-prefix="drop input invalid"
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" \
    in-interface-list=!LAN log=yes log-prefix="dr input exept lan"
add action=accept chain=forward comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface-list=IPTV protocol=udp
add action=accept chain=forward comment=\
    "accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid \
    log=yes log-prefix="dr forward invalid"
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
    connection-state=new in-interface-list=IPTV
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade iptv" \
    dst-address-list=IPTV-NATNETs out-interface-list=IPTV
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set query-interval=25s quick-leave=yes
/routing igmp-proxy interface
add interface=vlan40
add alternative-subnets=0.0.0.0/0 comment=\
    "10.142.64.0/18  213.75.0.0/16 217.166.0.0/16" interface=vlan4 upstream=\
    yes

superyupkent schreef op dinsdag 18 mei 2021 @ 15:44:
[...]


Bij mij draait het gewoon goed met 1 bridge, hardware offloading en meerdere vlans. De relevante config hieronder. Wat doet je modem precies? Is dat puur bridging? of nog wat meer? wellicht dat het daar misgaat? Ik heb mijn glasvezel rechtstreeks in mijn switch gestopt.

lier schreef op dinsdag 18 mei 2021 @ 16:46:
Heb je aan het eind van configureren VLAN filtering aangezet, @RonJ ? Want dat zie ik niet terug in jouw config.

RonJ schreef op dinsdag 18 mei 2021 @ 18:23:
[...]


Ik heb m aangezet en daarna weer uitgezet omdat ik geen verschil zag. Nu ik nog eens naar de config van @superyupkent kijk, heeft hij ook op de bridge allerlei vlans gedefinieerd. Ik zie daar echter niks over in de diverse how-to's, waaronder netwerkje.com. Is het nodig om dat ook voor de bridge te configureren?

Ik heb de router nu direct aan het modem gepatcht en zelfs uit frustratie de MT config teruggezet op default, maar ik heb nog steeds hetzelfde issue.

RonJ schreef op dinsdag 18 mei 2021 @ 15:16:
Zou iemand eens met me mee willen denken?

1

/ip dhcp-client add add-default-route=special-classless default-route-distance=210 dhcp-options=option60-vendorclass interface=vlan4-IPTV_RG use-peer-dns=no use-peer-ntp=no

• yes - adds classless route if received, if not then add default route (old behavior)
• special-classless - adds both classless route if received and default route (MS style)

[ Voor 13% gewijzigd door RonJ op 19-05-2021 12:00 ]

RonJ schreef op woensdag 19 mei 2021 @ 11:53:
Dank voor jullie reacties, @superyupkent en @Thralas. Het is me duidelijk dat de voorbeeld config van netwerkje.com gewoon achterhaalt is en het bridge/vlan stukje helemaal mist. Ik ga dat later deze week verder proberen met een schone mikrotik config op basis van de voorbeelden hier. En anders red ik me wel zonder iptv, dit grapje heeft me al meer tijd gekost dan dat ik per jaar aan iptv kijk ;-) Het ging me er vooral om van de dubbele NAT icm de experiabox af te komen ivm een zakelijke voip app en dat werkt nu iig zonder problemen.

orvintax schreef op zaterdag 19 juni 2021 @ 00:52:
@superyupkent Maar qua performance, vergelijkbaar met een unifi product van dezelfde prijs?

[ Voor 20% gewijzigd door spokje op 19-06-2021 09:28 ]

orvintax schreef op vrijdag 18 juni 2021 @ 19:30:
Hebben er mensen ervaring met de MikroTik cAP ac? En hoe vergelijkt zo iets met Unifi AP's? Ik heb al routers en switchen van MikroTik en ik begin een beetje vervelend te worden van Ubiquiti hun beleid. Echter kan ik online niet echt een goede comparison vinden en ik ben benieuwd naar de mening van mede MikroTik gebruikers

orvintax schreef op zaterdag 19 juni 2021 @ 00:52:
@superyupkent Maar qua performance, vergelijkbaar met een unifi product van dezelfde prijs?

• /IP dhcp server: als DNS gewoon het IP van de router: 192.168.88.1
• [li/IP dns: DNS adressen van Adguard (publiek), bedoeld als fallback[/li]
• /IP firewall nat: 2 firewall regels die alle DNS requests (port 53) forceren naar mijn server: 192.168.88.2

1
2
3

/ip firewall nat
add action=dst-nat chain=dstnat comment=DNSrule1 dst-address=!192.168.88.2 dst-port=53 in-interface=bridge protocol=udp src-address=!192.168.88.2 to-addresses=192.168.88.2 to-ports=53
add action=masquerade chain=srcnat comment=DNSrule2 dst-address=192.168.88.2 dst-port=53 protocol=udp src-address=192.168.88.0/24

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

:local serverDown [/ip firewall nat get value-name=disabled [find comment="DNSrule1"]]
:local serverIP "192.168.88.2"
:local testDomain "www.google.com"


:if ($serverDown = false) do={
    :do {
        :resolve $testDomain server $serverIP
    } on-error={
        /ip firewall nat;
            disable [find comment="DNSrule1"];
            disable [find comment="DNSrule2"];
            }
} else={
    :do {
        :resolve $testDomain server $serverIP;
        /ip firewall nat;
            enable[find comment="DNSrule1"];
            enable[find comment="DNSrule2"];
    } on-error={}
}