[MikroTik-apparatuur] Ervaringen & Discussie

Jazco2nd schreef op maandag 28 juni 2021 @ 11:57:
Probleem:
Clients kunnen de server niet benaderen! Ik kan bijvoorbeeld op mijn telefoon niet naar 192.168.88.2:3000 om AdGuard Ui te zien, of poort 8096 voor jellyfin of zelfs 22 voor SSH.

Hoe kan ik ervoor zorgen dat alle clients gewoon bij de server kunnen? Dit is dus het enige dat ik heb aangepast:

wolkewietje schreef op maandag 28 juni 2021 @ 14:28:
Helaas maar ik krijg hier mee geen verbinding met internet van T-mobile.

Thralas schreef op maandag 28 juni 2021 @ 19:14:
[...]


Die oplossing klopt niet. 192.168.88.2/32 is geen geldig netwerkadres. Het is me ook niet duidelijk wat je nu exact aan je server hebt toegewezen (netmask?) - maar het kan maar een oorzaak hebben: je server heeft nu een network dat een subnet is van 192.168.88.0/24.

Hierdoor denken de clients dat ze er direct mee kunnen babbelen (layer 2), maar andersom werkt dat niet (want vanuit de server gezien zitten je clients niet in hetzelfde subnet).

De simpelste oplossing is om twee niet-overlappende subnets te gebruiken. Als je het heel simpel wilt houden, gebruik 192.168.88.0/24 voor je clients, en 192.168.89.0/24 voor je DNS-server. Stop de router in beide subnets.

[ Voor 3% gewijzigd door Jazco2nd op 28-06-2021 20:02 ]

Jazco2nd schreef op maandag 28 juni 2021 @ 19:26:
Oh, ik zag dit op het Mikrotik forum dus leek me ideaal. Maar daar werd aanvullend nog gerommeld met een IP Route en een Firewall regel.. daar kwam ik niet uit bij mij.

Maar /32 is wel gewoon een geldige CIDR hoor. Het is een IP range met als bereik 1 adres.

Maar ok als ik dan 2 niet-overlappende subnets gebruik, router IP bij router en DNS invul, heb ik toch nog steeds het probleem dat de clients en de server niet met elkaar kunnen praten? Ze zitten immers in andere DHCP netwerken en andere subnetten?

Jazco2nd schreef op maandag 28 juni 2021 @ 23:13:
@Thralas ik had het met /32 voor mijn server dus gewoon werkend en kon vanaf mijn server gewoon de router bereiken (immers vul je dat adres apart in).

Enige probleem is dat de clients in 192.168.88.0/24 dus niet 192.168.88.2/32 konden bereiken.. daarom zal ik het morgen met jouw voorbeeld proberen.

DutchITMaster schreef op maandag 28 juni 2021 @ 23:06:
Het kan wel hoor met een /32 maar dan geeft je die niet op.

MikroTik is daar een vreemde eend in de bijt

192.168.1.1 als adres
192.168.1.2 als netwerk adres. ( is andere router) er voila een p2p netwerkje. Veel gebruikt in gre of Eoip tunnels

DRAFTER86 schreef op dinsdag 29 juni 2021 @ 06:35:
Wat ik me daarbij nog afvroeg, ik denk dat ik mijn HEX AC als router/firewall blijf gebruiken, is dat een goed idee? Of gaat die dan de performance nog beperken?

DRAFTER86 schreef op dinsdag 29 juni 2021 @ 06:35:
Wat ik me daarbij nog afvroeg, ik denk dat ik mijn HEX AC als router/firewall blijf gebruiken, is dat een goed idee?

lier schreef op dinsdag 29 juni 2021 @ 09:05:
[...]

HEX AC?

Thralas schreef op maandag 28 juni 2021 @ 19:14:
[...]


Die oplossing klopt niet. 192.168.88.2/32 is geen geldig netwerkadres. Het is me ook niet duidelijk wat je nu exact aan je server hebt toegewezen (netmask?) - maar het kan maar een oorzaak hebben: je server heeft nu een network dat een subnet is van 192.168.88.0/24.

Hierdoor denken de clients dat ze er direct mee kunnen babbelen (layer 2), maar andersom werkt dat niet (want vanuit de server gezien zitten je clients niet in hetzelfde subnet).

De simpelste oplossing is om twee niet-overlappende subnets te gebruiken. Als je het heel simpel wilt houden, gebruik 192.168.88.0/24 voor je clients, en 192.168.89.0/24 voor je DNS-server. Stop de router in beide subnets.

1
2
3
4
5
6
7
8
9
10
11

/ip dhcp-server network print  

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER         WINS-SERVER     DOMAIN                           

 0   ;;; defconf

     192.168.88.0/24    192.168.88.1    192.168.88.1                        Menhir

 1   192.168.89.0/24    192.168.88.1    192.168.88.1                        Menhir

[ Voor 8% gewijzigd door Jazco2nd op 29-06-2021 12:59 ]

DRAFTER86 schreef op dinsdag 29 juni 2021 @ 09:18:
[...]


Scuzi, HAP AC natuurlijk. Hoe picky zijn die switches qua SFP's? Ik zat te denken om mijn desktop en NAS met een Intel X529 dual SFP NIC uit te rusten, kan ik dan gewoon eender welk setje SFP's pakken?

[ Voor 29% gewijzigd door Jazco2nd op 29-06-2021 19:49 ]

Jazco2nd schreef op dinsdag 29 juni 2021 @ 19:37:
@Thasaidon maar als ik daar wat anders zet, heeft mijn Mikrotik router (ik heb er slechts 1) dus automatisch 2 adressen? 1 voor de clients van het ene DHCP netwerk en 1 voor de clients van het andere DHCP netwerk?

Ik begrijp niet zo goed waarom die optie bestaat en de router niet gewoon altijd op 1 adres bereikbaar is.. maar vind het prima als het zo werkt natuurlijk. Wel raar: als ik achter mijn server zit moet ik dus naar een ander adres om de router te benaderen..

DRAFTER86 schreef op dinsdag 29 juni 2021 @ 09:18:
[...]


Scuzi, HAP AC natuurlijk. Hoe picky zijn die switches qua SFP's? Ik zat te denken om mijn desktop en NAS met een Intel X529 dual SFP NIC uit te rusten, kan ik dan gewoon eender welk setje SFP's pakken?

[ Voor 21% gewijzigd door Thralas op 29-06-2021 19:52 ]

1
2
3
4
5
6
7
8
9

/ip dhcp-server network print 

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER             WINS-SERVER     DOMAIN                                         

 0   ;;; defconf
     192.168.88.0/24    192.168.88.1    192.168.88.1                                        Menhir                                         
 1   192.168.88.253/32  192.168.88.1    192.168.88.1                                       Menhir

1
2
3

/ip route rule print  
Flags: X - disabled, I - inactive 
 0   src-address=192.168.88.0/24 dst-address=192.168.88.0/24 action=lookup table=main

1
2
3

/ip firewall nat
add action=dst-nat chain=dstnat comment=DNSrule1 dst-address=!192.168.88.253 dst-port=53 in-interface=bridge protocol=udp src-address=!192.168.88.253 to-addresses=192.168.88.253 to-ports=53
add action=masquerade chain=srcnat comment=DNSrule2 dst-address=192.168.88.253 dst-port=53 protocol=udp src-address=192.168.88.0/24

[ Voor 20% gewijzigd door Jazco2nd op 29-06-2021 23:01 ]

Jazco2nd schreef op dinsdag 29 juni 2021 @ 19:37:
@Thasaidon maar als ik daar wat anders zet, heeft mijn Mikrotik router (ik heb er slechts 1) dus automatisch 2 adressen? 1 voor de clients van het ene DHCP netwerk en 1 voor de clients van het andere DHCP netwerk?

[ Voor 3% gewijzigd door nescafe op 13-07-2021 13:44 ]

mbovenka schreef op dinsdag 13 juli 2021 @ 10:49:
Ik kan er geen chocola van maken. Iemand enig idee?

[ Voor 55% gewijzigd door nescafe op 13-07-2021 21:51 ]

nescafe schreef op dinsdag 13 juli 2021 @ 21:49:
@DRAFTER86 als je geen PPPoE gebruikt voor het opzetten van je internetverbinding wel. De vraag is waarom je wel bij je lan-devices kunt. Liever maak je een OVPN Server Binding aan voor de user en voeg je die interface toe aan Interface List LAN, dan hoef je de firewall niet aan te passen.

1

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Verwijderd schreef op woensdag 21 juli 2021 @ 21:31:
SFP gebruiken voor koper is een warm item...letterlijk. Kijk of je kunt overstappen op glas want SFP blijven veel koeler.

De kabel trekken is een probleem als de connector niet door de buis past.

68 Graden is nog niets en heb al waarden gelezen die over de 100 graden gingen. Ik heb zelf ooit een koeling toegepast met twee heatsinks en dat was voor een optische verbinding.

[ Voor 10% gewijzigd door Mattie112 op 24-07-2021 15:23 ]

• Designed for Providing Protection to Resist Indoor Harsh Environments
• Lightweight and Flexible Cables with Bend Insensitive Fiber
• Great Durability with 120 to 225 N Tensile Strength
• Elastic Stainless Steel Tube Prevents the Optical Fiber from Breaking
• Rodents, Pests and Birds Resistance & Tramping Resistance
• Low Insertion Loss and High Return Loss, Stable Transmission

[ Voor 32% gewijzigd door Verwijderd op 25-07-2021 12:56 ]

daansan schreef op vrijdag 14 mei 2021 @ 14:06:
[...]


Die RB4011 gedraagt zich inderdaad iets anders, ik heb het nu aan de praat met MTU 1500 met de volgende settings:

sfp-sfpplus1
- MTU 1508
- L2MTU 1598

vlan 6
- MTU 1508
- L2MTU 1594

pppoeclient
- max mtu: 1500
- max mru: 1500

Dit levert een actual MTU van 1500 op de pppoe verbinding zonder dat mss clamping nodig is.

Hurrah!

The Wizard schreef op dinsdag 3 augustus 2021 @ 17:23:
[...]


Ik heb hetzelfde geprobeerd met mijn 4011, maar de PPoE client schiet telkens terug naar 1480.

Aansluiting: NT --> SFP converter (Mikrotik Mikrotik S+RJ10 netwerk transceiver module 10000 Mbit/s SFP+). KPN abbo is 1 Gbit.

Zou een SFP module het verschil kunnen maken? Welke zou ik daarvoor moeten hebben? Heb de oude Genexis variant (foto van Google).

daansan schreef op dinsdag 3 augustus 2021 @ 19:38:
[...]


Ik kan me niet voorstellen dat de sfp module of externe media converter uberhaupt invloed heeft op je MTU.

Maar gebruik je nu die genexis en ga je van daar uit door met ethernet naar je mikrotik? Of gebruik je daadwerkelijk die S+RJ10 module?

Ik gebruik overigens zelf een sfp module (geen sfp+) van fs.com, typenr kan ik zo even niet vinden

1
2
3
4
5
6
7
8
9

{
:delay 4s
/interface
:if (([pppoe-client monitor pppoe-ikev2 as-value once]->"mtu") < 1500) do={
disable sfp-sfpplus1
:delay 50ms
enable  sfp-sfpplus1
:log warning "PPPoE MTU lower than 1500 so the SFP port is restarted"} 
}

[ Voor 55% gewijzigd door Verwijderd op 04-08-2021 00:29 ]

The Wizard schreef op dinsdag 3 augustus 2021 @ 20:12:
Ik gebruik de standaard oplossing, ethernet van de NT naar de SFP module.

Thralas schreef op woensdag 4 augustus 2021 @ 07:36:
[...]


Waarom een S+RJ10? Dat ding wordt zo warm, ik kan me niet voorstellen dat je die wilt gebruiken zolang KPN geen 10 Gbit/s op je link zet..

Probeer het eens met eeen ethernetpoortje als je er met bovenstaande tips niet uitkomt. En als het echt een S+RJ10 is: de initiele modellen hadden een bug mbt. het zetten van de MTU (geen idee of er een revisiemarkering op staat)..

[ Voor 0% gewijzigd door Goof2000 op 04-08-2021 10:47 . Reden: Note toegevoegd ]

lier schreef op woensdag 4 augustus 2021 @ 11:14:
Default staat de MikroTik al goed ingesteld en hoef je alleen een port farward aan te maken. Eventueel IP range aanpassen en je bent klaar (voor wat betreft je eisen hierboven).

Draai je Wireguard op een ander device? Anders zit je (geloof ik) aan een beta versie vast.

Mijn tips:
- verbind op basis van MAC als je iets met IP adressen wil doen
- stel safe mode in als je wijzigingen gaat doen aan je firewall
- sla regelmatig een export van je config op (/export file=bedenkeenleukenaam)
- lees veel en vaak op het forum van MikroTik

1
2
3
4
5

/export file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]);

/tool e-mail send to="router@youremail.nl" subject=([/system identity get name] . " Backup " . [/system clock get date]) file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc"); :delay 10;

/file rem [/file find name=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc")]; :log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])

[ Voor 1% gewijzigd door Mattie112 op 04-08-2021 11:40 . Reden: formatting ]

1

/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234

[ Voor 3% gewijzigd door lier op 04-08-2021 11:42 ]

lolgast schreef op woensdag 4 augustus 2021 @ 11:52:
Daarmee kan ik prima uit de voeten om een testnetwerkje te maken toch?

Jazco2nd schreef op woensdag 4 augustus 2021 @ 11:55:
@lier je mist nog de hairpin, masquerade regel voor portforwarding..
Per poort heb je dus 2 NAT regels nodig.

Jazco2nd schreef op woensdag 4 augustus 2021 @ 11:55:
@lier je mist nog de hairpin, masquerade regel voor portforwarding..
Per poort heb je dus 2 NAT regels nodig.

lier schreef op woensdag 4 augustus 2021 @ 12:02:
[...]


Hairpin is alleen nodig als je je interne DNS niet op orde hebt

Jazco2nd schreef op woensdag 4 augustus 2021 @ 12:06:
Wat is er veranderd en wat is de alternatieve DNS oplossing?

Goof2000 schreef op woensdag 4 augustus 2021 @ 10:47:
Nog tips voor documentatie om te lezen, YouTube filmpjes en/of best practice?

The Wizard schreef op woensdag 4 augustus 2021 @ 10:27:
Geen idee, kreeg dit advies 😋. Ik zal eens op zoek gaan naar een andere, nog advies?

lolgast schreef op woensdag 4 augustus 2021 @ 11:52:
Daarmee kan ik prima uit de voeten om een testnetwerkje te maken toch?

[ Voor 10% gewijzigd door Thralas op 04-08-2021 19:35 ]

Thralas schreef op woensdag 4 augustus 2021 @ 19:30:
[...]


MikroTik doet niet aan whitelists, dus in principe zou iedere gigabit copper SFP moeten werken.

Die van MikroTik is nogal aan de prijs in Nederland:
pricewatch: MikroTik RJ45 SFP 10/100/1000M copper module (S-RJ01)

Zou het eerst met ethernet testen voor je andere spullen koopt. En als de tips van @Verwijderd niet helpen, desnoods even MikroTik support vragen of MTU change hoort te werken op die SFP+ (zoals ik al zei: op early models werkte het niet of niet goed, maar dat zou verholpen moeten zijn).

En check even of hij inderdaad warm wordt (voorzichtig!). Misschien speelt dat alleen bij een 10GE line rate. Dan nog: voor 30 euro kun je een hoop stroom verstoken..


[...]


Ja, lijkt me voor een tientje of 3 een prima deal.

[ Voor 14% gewijzigd door The Wizard op 04-08-2021 20:55 ]

The Wizard schreef op woensdag 4 augustus 2021 @ 20:54:
MTU wijzigen op de SFP werkt trouwens gewoon, alleen op de PPoE verbinding niet.

1
2
3

/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan-internet keepalive-timeout=60
max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-kpn use-peer-dns=yes

Thralas schreef op woensdag 4 augustus 2021 @ 21:15:
[...]


Zo ziet het er bij mij uit:

code:

1 2 3

/interface pppoe-client add add-default-route=yes disabled=no interface=vlan-internet keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-kpn use-peer-dns=yes

Thralas schreef op woensdag 4 augustus 2021 @ 19:30:
[...]


MikroTik doet niet aan whitelists, dus in principe zou iedere gigabit copper SFP moeten werken.

Die van MikroTik is nogal aan de prijs in Nederland:
pricewatch: MikroTik RJ45 SFP 10/100/1000M copper module (S-RJ01)

Zou het eerst met ethernet testen voor je andere spullen koopt. En als de tips van @Verwijderd niet helpen, desnoods even MikroTik support vragen of MTU change hoort te werken op die SFP+ (zoals ik al zei: op early models werkte het niet of niet goed, maar dat zou verholpen moeten zijn).

En check even of hij inderdaad warm wordt (voorzichtig!). Misschien speelt dat alleen bij een 10GE line rate. Dan nog: voor 30 euro kun je een hoop stroom verstoken..


[...]


Ja, lijkt me voor een tientje of 3 een prima deal.

Verwijderd schreef op woensdag 4 augustus 2021 @ 22:01:
Welke versie va ROS draai je, is dit geen beta dan is dit 'normaal'.

Zet mijn scriptje in het profiel voor de PPPoE. Je kunt het ook testen door de SPF te herstarten.

Trouwens moet de MTU voor de SPF 1512 zijn i.v.m. 8 voor PPPoE en 4 voor VLAN. De VLAN is 1508.

Ik heb het zelfs nog ruimer staan wat niet nodig is.

[Afbeelding]

1
2
3

add action=dst-nat chain=dstnat comment="FTP" connection-type="" \
    dst-address=217.117.230.49 dst-port=20-21 protocol=tcp src-port="" \
    to-addresses=192.168.1.197 to-ports=0-65535

[ Voor 12% gewijzigd door fonsoy op 05-08-2021 22:00 ]

• In plaats van dst-address=... zou je dst-address-type=local kunnen gebruiken, dan is de rule niet afhankelijk van je ip
• src-port="" is overbodig (je kunt het veld inklappen in winbox, of unsetten in cli met set [nummer] !src-port
• to-ports=0-65535 is overbodig (ik zou zelfs verwachten dat hij 20-21 translate naar 0-1, maar dat is niet zo, echter omdat je toch niet translate kun je deze eigenschap ook inklappen / unsetten (!to-ports)
• Het is even de vraag wat connection-type="" doet, dat is nl. geen geldige waarde. mogelijk dat die de rule ongeldig maakt. Ook deze kun je unsetten (!connection-type)
• Poort 20 wordt niet gebruikt als destination port, maar als source port in active mode. Poort 20 is dus niet nodig (verkeer vanaf bridge wordt standaard toch al doorgelaten)
• Mogelijk wil je een passive port range definiëren in IIS (FTP Firewall Support, Data Channel Port Range) en in deze regel toevoegen (bijv. dst-port=21,35000-35999)

fonsoy schreef op donderdag 5 augustus 2021 @ 21:49:
Ik hoop dat het hier mag. Eigenaar van een RB4011. Alle services werken prima. Naar volle tevredenheid ook, ding is mega stabiel, nooit gedoe en ik kom niet in de buurt van enige limiet. Leuke is ook dat hij nog veel meer kan dan mijn kennis reikt.

Behalve één service. FTP (obv microsoft IIS). Alle andere port forwards werken prima.
Heeft iemand enig idee wat hier mis loopt? Ik krijg buiten mijn netwerk geen client met de FTP verbonden. Komt geen respons terug.

code:

1 2 3

add action=dst-nat chain=dstnat comment="FTP" connection-type="" \ dst-address=217.117.230.49 dst-port=20-21 protocol=tcp src-port="" \ to-addresses=192.168.1.197 to-ports=0-65535

Beetje storend, ik werk al jaren hobbymatig met netwerken en uitgerekend dit simpele punt waar ik echt niet uit kom. Vier verschillende howto's gebruikt, komen eigenlijk allen op hetzelfde neer.

Raymond P schreef op vrijdag 6 augustus 2021 @ 07:23:
Ik vind het gebrek aan babysit functies in Winbox juist erg fijn.
Voor initiele config heb je toch console?

fonsoy schreef op donderdag 5 augustus 2021 @ 22:41:
Maar ook de andere tips zijn meer dan welkom.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

# aug/06/2021 11:30:10 by RouterOS 6.48.3

/interface bridge
add name=bridge-lan

/interface vlan
add interface=bridge-lan name=vl1801 vlan-id=1801

/interface list
add comment=defconf name=LAN

/ip pool
add name=1801-pool ranges=10.18.0.7-10.18.0.30

/ip dhcp-server
add address-pool=1801-pool disabled=no interface=vl1801 name=undefined

/interface bridge port
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether2

/interface bridge vlan
add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801

/ip address
add address=10.18.0.1/27 interface=vl1801 network=10.18.0.0

/ip dhcp-server network
add address=10.18.0.0/27 comment=undefined dns-server=10.18.0.3 gateway=\
    10.18.0.1 netmask=27

[ Voor 0% gewijzigd door Gerrit Jan op 06-08-2021 13:02 . Reden: Verkeerde pool configuratie geplakt ]

Thralas schreef op vrijdag 6 augustus 2021 @ 11:40:
[...]

Het gaat niet om babysitten, maar om discutabele UI. Opties die een effect hebben als je ze enkel openklapt (ook al zet je ze niet) is gewoon objectief beroerde UI.

Enige dat er nog op het verhaal van @Verwijderd af te dingen valt is dat de opties vziw. blauw worden als je ze openklapt - iets dat wel een hint geeft dat er iets staat te gebeuren. Voor mij is dat voldoende om niet te vergeten ze dan weer dicht te klappen als ik er niets mee wil doen, maar de crux is dat je wel moet weten dat dat uitmaakt.

Winbox is juist overzichtelijker (en dus toegankelijker) dan de console op de meeste vlakken zou ik zeggen.

lier schreef op vrijdag 6 augustus 2021 @ 13:54:
Voor VLAN configuratie bestaat een geweldige tutorial, @Gerrit Jan :
https://forum.mikrotik.com/viewtopic.php?t=143620

[ Voor 20% gewijzigd door Gerrit Jan op 06-08-2021 14:33 ]

lier schreef op vrijdag 6 augustus 2021 @ 16:25:
@ronjon , check even de URL die ik hier twee posts boven heb geplaatst. Daarin staat een hele duidelijke uitleg over VLAN's op MikroTik. Standaard staat intervlan verkeer open, je moet zelf op de firewall aangeven wie niet met een ander mag praten (behalve internet).

Gerrit Jan schreef op vrijdag 6 augustus 2021 @ 11:58:
Aangezien dit de 'way to go' is in de latere versies van RouterOS. Ik heb de vlans geconfigureerd op de bridge (bridge-lan).

1
2

/interface bridge vlan
add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801

Het probleem zat hem erbij mij in dat ik de ether2 interface niet mee had genomen als tagged. Als iemand die van andere apparatuur af komt voelt het tegenstrijdig om de bridge en de fysieke interface mee te moeten geven. De bridge voelt logisch omdat de ether2 interface onderdeel is van de bridge.

ronjon schreef op vrijdag 6 augustus 2021 @ 16:06:
paar vragen over deze setup:
1. is deze onderverdeling met 3 VLAN's correct ?

2. kunnen/moeten in de mikrotik router VLAN's aan specifieke poorten worden gehangen?
3. kunnen er meerder VLAN's aan 1 routerpoort worden toegewezen?
4. moet ik de VLAN's ook op de switch aanmaken ?

5. is het logisch/verstandig om apparaten zoals TV, receiver, Nest, etc op 1 van de 2 VLANs toe te wijzen, of zal ik deze nog een eigen VLAN te geven ?

ronjon schreef op vrijdag 6 augustus 2021 @ 17:25:
die heb ik doorgelezen, maar kom daar helaas niet veel verder mee

Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:


Klopt het dat vlan 300 het upstream vlan richting T-Mobile voor internet is? Dan kun je deze net zo goed als niet-bestaand beschouwen aangezien je hem toch niet over je LAN distribueert maar meteen op je router termineert.

Maak het vooral niet complexer dan nodig, vlans zijn geen doel maar een middel. Ik zie er voorlopig dus maar 2 (waarbij verkeer een kant op wordt gefilterd).

Ik vind de keuze om 'IoT' wel toegang tot het internet te geven, maar het vervolgens alsnog in een soort DMZ stoppen persoonlijk opmerkelijk. Natuurlijk niet met elke setup mogelijk, maar als je het geen internettoegang geeft is de kans dat het je eigen netwerk aanvalt ook niet erg realistisch meer

Ik ben bang dat je toch eerst zelf wat moet proberen. Als je een concreet probleem hebt is er vast iemand bereid om mee te denken, maar je configuratie voor je uitwerken gaat niemand voor je doen.

Zie de posts van @Gerrit Jan als uitstekend voorbeeld.

[ Voor 7% gewijzigd door Oortjes op 07-08-2021 23:35 ]

Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:
[...]


Niet perse. Zie de opmerking hier in het kader die nog gewoon naar een voorbeeld 'oude' stijl verwijst voor non-CRS3XX. Anders heb je geen wire speed switching. Hoeft geen probleem te zijn, maar goed om in het achterhoofd te houden.

[ Voor 4% gewijzigd door Thralas op 08-08-2021 16:28 ]

Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:
[...]


Niet perse. Zie de opmerking hier in het kader die nog gewoon naar een voorbeeld 'oude' stijl verwijst voor non-CRS3XX. Anders heb je geen wire speed switching. Hoeft geen probleem te zijn, maar goed om in het achterhoofd te houden.

Deze valt nog op in je config:

code:

1 2	/interface bridge vlan add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801

Waarover je zelf al zegt:

[...]


Er is een stelregel onder Linux (en daarom ook min-of-meer MikroTik) die zegt dat je de fysieke interface moet 'vergeten' als je hem onderdeel maakt van een bridge.

Maar dat geldt natuurlijk niet voor de vlan-toewijzingen binnen de bridge zelf. Daar is het juist logisch (en de bedoeling) om aan te geven hoe de vlans op de fysieke interfaces die deel uitmaken van de bridge moeten worden behandeld. De bridge is natuurlijk geen member port van zichzelf, dus die regel zoals je hem origineel had klopt niet (zou verwachten dat Winbox hem rood markeert). Juist is om de member/fysieke interfaces aan te geven (zoals je inmiddels hebt gedaan).

Thralas schreef op zondag 8 augustus 2021 @ 16:26:
Ik denk dat het wel losloopt en het niet perse verkeerd is om het op de nieuwe manier te doen, als je dat maar onthoudt voor het geval je tegen performanceproblemen aanloopt.

De 4011 is zeker snel genoeg dat het niet zo snel een probleem zou moeten zijn.

@Gerrit Jan Nog een correctie op mijn eerdere post; de bridge kan wel degelijk een slave van 'zichzelf' zijn (in tegenstelling tot wat ik eerder zei). Volgens mij representeert die slave de interface van de CPU. De Bridge VLAN Table-pagina legt dat alleraardigst uit: die poort wordt ook dynamisch toegevoegd als untagged poort op het pvid van de bridge.

Zie ook de suggestie om de bridge vlan table te inspecteren om na te gaan of er niet onbedoeld dynamische (lees: impliciete) vlans mogelijk zijn. In jouw geval zou ik vlan 1 untagged verwachten te zien omdat je geen expliciet pvid hebt gezet op de poorten.

1
2
3
4
5
6

[admin@MikroTik] > /interface bridge vlan print 
Flags: X - disabled, D - dynamic 
 #   BRIDGE                                                      VLAN-IDS  CURRENT-TAGGED                                                     CURRENT-UNTAGGED                                                    
 0   bridge-lan                                                  1801      bridge-lan                                                        
                                                                           ether2                                                            
 1 D bridge-lan

[ Voor 9% gewijzigd door nescafe op 12-08-2021 18:31 ]