Acties:
  • 0Henk 'm!

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thralas slordigheid, ik gebruik "DNSrule1" en "DNSrule2" in de comments maar had ze uit een backup textbestand hier geplakt voor het gemak en daarin stonden nog oude namen.

Als ik je goed begrijp bedoel je dat ik het script gewoon via Terminal uitvoer zodat ik de output kan zien? En dus print statements toevoegen.
Ik gebruik de terminal niet zoveel (oeronhandig zonder copy paste!!) dus stond er niet bij stil dat dat ook moet kunnen. Ik ga het proberen!

Acties:
  • 0Henk 'm!

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
OK, het script werkt voor geen meter. Ik krijg altijd een "Expected end of command (line x column xx)".
Zelfs als ik alleen dit als script heb:

code:
1
/ip firewall nat disable[find comment="DNSrule1"]

Met of zonder ; op het einde maakt niks uit.
Ook met do: { } eromheen.

Acties:
  • 0Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Ik bedoelde eigenlijk in het script, ik weet niet of alle scripting ook 1:1 op de terminal werkt.

In je laatste code snippet mist er sowieso een spatie na de disable, lijkt me.

  • wolkewietje
  • Registratie: juli 2010
  • Laatst online: 17-08 20:23
Goede morgen,

Ik hoop dat iemand me kan helpen met een volledige script om een RB2011UiAS-2HnD aan de gang te krijgen met t-mobile glasvezel
Voorheen zat ik bij KPN maar was net overgestapt naar t-mobile toen ik een beroerte kreeg voordat ik de mikrotik goed kon omzetten.
Als ik bij de KPN script de vlan op 300 zet wil het nog niet werken.

Verder de vraag of ik dat kastje tussen de glasvezel en het zyxcel modem moet gebruiken of moet die er tussen uit en moet ik een SFP S-35LC20D gebruiken?

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Wolkewietje Volledige script wordt lastig want ik heb al eerder ontdekt dat een export niet 1-op-1 te importeren is. Maar volgens mij heb ik in dit topic de stappen wel beschreven.

Ik ging omgekeerd, van T-Mobile naar KPN. Uiteindelijk werkte het niet omdat ik bij de Firewall NAT regels de allerlaatste regel op PPoE moest zetten (voor KPN), T-Mobile gebruikt geen PPoE, dus die laatste regel stond op vlan-internet.

Verder kan je gewoon de SFP module rechtstreeks in je Mikrotik prikken. Niet vergeten daarna in te stellen (bij Quick Set, de 1-page wizard) dat internet via SFP binnenkomt ipv via LAN poort.
Ik heb deze instelling na heel vaak zoeken trouwens nooit gevonden... alleen bij Quick Set.

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thralas dank voor je hulp, inderdaad de spatie was de oorzaak van de error. Verder heb ik de IF constructie eruit gesloopt om het te versimpelen en het gaat goed!

Getest door mijn netwerkverbinding aan/uit te zetten en op mijn telefoon de NAT regels te monitoren. Je ziet dat ze uit/aan gaan :)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
:local serverIP "192.168.88.2"
:local testDomain "www.google.com"


:do {
     :resolve $testDomain server $serverIP
      /ip firewall nat;
          enable [find comment="DNSrule1"];
          enable [find comment="DNSrule2"];
    } on-error={
                /ip firewall nat;
                    disable [find comment="DNSrule1"];
                    disable [find comment="DNSrule2"];
               }
    }


Ik ben nog niet helemaal tevreden: Wanneer AdGuard Home op mijn server down is, kan de server nog steeds DNS resolven! Heel bijzonder. Alle andere clients kunnen dat niet. Hierdoor heeft het script geen effect wanneer AGH down is, alleen als mijn server uitstaat faalt de test..

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
Ok nu het script werkt ga ik een stapje verder:

Voor het forced doorsturen van alle DNS verzoeken naar mijn server (ook Chromecasts etc) had ik eerst 2 NAT regels, een dst-nat en een masqerade.
Door nu mijn server in een aparte DHC-server Network te gooien, werkt het nu met 1 enkele NAT regel:

code:
1
2
/ip firewall nat
add action=dst-nat chain=dstnat comment=DNSrule1 dst-address=!192.168.88.2 dst-port=53 in-interface=bridge protocol=udp src-address=!192.168.88.2 to-addresses=192.168.88.2 to-ports=53


Nu:
- hebben clients internet
- zie ik in AdGuard Home de ip adressen van de clients voorbij komen (voorheen zag je hier maar 1 adres, die van de router).
- heeft de server ook internet

Probleem:
Clients kunnen de server niet benaderen! Ik kan bijvoorbeeld op mijn telefoon niet naar 192.168.88.2:3000 om AdGuard Ui te zien, of poort 8096 voor jellyfin of zelfs 22 voor SSH.

Hoe kan ik ervoor zorgen dat alle clients gewoon bij de server kunnen? Dit is dus het enige dat ik heb aangepast:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
dhcp-server network print  

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER                           WINS-SERVER     DOMAIN                                        

 0   ;;; defconf

     192.168.88.0/24    192.168.88.1    192.168.88.1                                         Menhir                                        

 1   ;;; Obelix

     192.168.88.2/32    192.168.88.1    192.168.88.1                                         Menhir
Netmask is bij beide 0.

  • wolkewietje
  • Registratie: juli 2010
  • Laatst online: 17-08 20:23
Ik probeer het eerst met die media convertor er tussen omdat een UTP kabel wisselen sneller en makkelijker gaat dan een glasvezel.

Mijn basis script op dit moment is
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes name=bridge-local protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp loop-protect=off
/interface vlan
add interface=ether1 loop-protect=off name=vlan300 vlan-id=300
add add-default-route=yes allow=pap disabled=no interface=vlan300 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client password=<PASSWORD> user=<USERNAME>
/ip dhcp-server option
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip pool
add name=thuisnetwerk ranges=192.168.10.1-192.168.10.99
/ip dhcp-server
add address-pool=thuisnetwerk disabled=no insert-queue-before=bottom interface=bridge-local lease-time=1h30m name=dhcp-network
/ppp profile
set *0 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.10.254/24 interface=bridge-local network=192.168.10.0
/ip dhcp-client
add default-route-distance=210 dhcp-options=option60-vendorclass,hostname,clientid disabled=no interface=ether1 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.253 gateway=192.168.10.254
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=192.168.10.253
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Amsterdam
/tool traffic-monitor
add interface=bridge-local name=tmon1 threshold=0 trigger=always
add interface=bridge-local name=tmon2 threshold=0 traffic=received trigger=always

Helaas maar ik krijg hier mee geen verbinding met internet van T-mobile.

p.s.:het TV stukje is niet nodig omdat ik een grote wok buiten heb hangen voor 4000+ tv zenders met zelden iets goeds er op.

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@wolkewietje

Zoals ik aangaf, ik heb in dit topic reeds uitgelegd hoe je T-Mobile instelt. Even zoeken op mijn naam en voila:
Jazco2nd in "[MikroTik-apparatuur] Ervaringen & Discussie"

En ik noemde ook nog eens een firewall regel, die mis je juist.

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Jazco2nd schreef op maandag 28 juni 2021 @ 11:57:
Probleem:
Clients kunnen de server niet benaderen! Ik kan bijvoorbeeld op mijn telefoon niet naar 192.168.88.2:3000 om AdGuard Ui te zien, of poort 8096 voor jellyfin of zelfs 22 voor SSH.

Hoe kan ik ervoor zorgen dat alle clients gewoon bij de server kunnen? Dit is dus het enige dat ik heb aangepast:
Die oplossing klopt niet. 192.168.88.2/32 is geen geldig netwerkadres. Het is me ook niet duidelijk wat je nu exact aan je server hebt toegewezen (netmask?) - maar het kan maar een oorzaak hebben: je server heeft nu een network dat een subnet is van 192.168.88.0/24.

Hierdoor denken de clients dat ze er direct mee kunnen babbelen (layer 2), maar andersom werkt dat niet (want vanuit de server gezien zitten je clients niet in hetzelfde subnet).

De simpelste oplossing is om twee niet-overlappende subnets te gebruiken. Als je het heel simpel wilt houden, gebruik 192.168.88.0/24 voor je clients, en 192.168.89.0/24 voor je DNS-server. Stop de router in beide subnets.
wolkewietje schreef op maandag 28 juni 2021 @ 14:28:
Helaas maar ik krijg hier mee geen verbinding met internet van T-mobile.
Je hebt daar een PPPoE-client staan terwijl T-Mobile niet eens PPPoE gebruikt. Verwijder deze, en stel een DHCP-client in op het VLAN.

Het is wel handig als je een klein beetje probeert te begrijpen wat je aan het doen bent...

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
Thralas schreef op maandag 28 juni 2021 @ 19:14:
[...]


Die oplossing klopt niet. 192.168.88.2/32 is geen geldig netwerkadres. Het is me ook niet duidelijk wat je nu exact aan je server hebt toegewezen (netmask?) - maar het kan maar een oorzaak hebben: je server heeft nu een network dat een subnet is van 192.168.88.0/24.

Hierdoor denken de clients dat ze er direct mee kunnen babbelen (layer 2), maar andersom werkt dat niet (want vanuit de server gezien zitten je clients niet in hetzelfde subnet).

De simpelste oplossing is om twee niet-overlappende subnets te gebruiken. Als je het heel simpel wilt houden, gebruik 192.168.88.0/24 voor je clients, en 192.168.89.0/24 voor je DNS-server. Stop de router in beide subnets.
Oh, ik zag dit op het Mikrotik forum dus leek me ideaal. Maar daar werd aanvullend nog gerommeld met een IP Route en een Firewall regel.. daar kwam ik niet uit bij mij.
Maar /32 is wel gewoon een geldige CIDR hoor. Het is een IP range met als bereik 1 adres.


Maar ok als ik dan 2 niet-overlappende subnets gebruik, router IP bij router en DNS invul, heb ik toch nog steeds het probleem dat de clients en de server niet met elkaar kunnen praten? Ze zitten immers in andere DHCP netwerken en andere subnetten?

[Voor 3% gewijzigd door Jazco2nd op 28-06-2021 20:02]


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Jazco2nd schreef op maandag 28 juni 2021 @ 19:26:
Oh, ik zag dit op het Mikrotik forum dus leek me ideaal. Maar daar werd aanvullend nog gerommeld met een IP Route en een Firewall regel.. daar kwam ik niet uit bij mij.
Binnen hetzelfde subnet lukt volgens mij alleen goed met een source NAT rule, maar dan is het source IP van je client ook weg, en dat is niet wat je wilt geloof ik.
Maar /32 is wel gewoon een geldige CIDR hoor. Het is een IP range met als bereik 1 adres.
Hoe bereik je dan je router?
Maar ok als ik dan 2 niet-overlappende subnets gebruik, router IP bij router en DNS invul, heb ik toch nog steeds het probleem dat de clients en de server niet met elkaar kunnen praten? Ze zitten immers in andere DHCP netwerken en andere subnetten?
Daarvoor is je router. Die moet tussen de twee subnetten routeren, daarmee voorkom je het probleem dat je router gedestnat verkeer aflevert bij je DNS server en deze vervolgens de response direct naar de client stuurt (die weet van niets, want die had de query naar de router gestuurd).

Acties:
  • +1Henk 'm!

  • DutchITMaster
  • Registratie: augustus 2004
  • Laatst online: 17-09 23:42

DutchITMaster

Pay peanuts, get monkeys.

Het kan wel hoor met een /32 maar dan geeft je die niet op.

MikroTik is daar een vreemde eend in de bijt

192.168.1.1 als adres
192.168.1.2 als netwerk adres. ( is andere router) er voila een p2p netwerkje. Veel gebruikt in gre of Eoip tunnels

Telefoon en Netwerk Engineer


  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thralas ik had het met /32 voor mijn server dus gewoon werkend en kon vanaf mijn server gewoon de router bereiken (immers vul je dat adres apart in).

Enige probleem is dat de clients in 192.168.88.0/24 dus niet 192.168.88.2/32 konden bereiken.. daarom zal ik het morgen met jouw voorbeeld proberen.

Acties:
  • +2Henk 'm!

  • DutchITMaster
  • Registratie: augustus 2004
  • Laatst online: 17-09 23:42

DutchITMaster

Pay peanuts, get monkeys.

Jazco2nd schreef op maandag 28 juni 2021 @ 23:13:
@Thralas ik had het met /32 voor mijn server dus gewoon werkend en kon vanaf mijn server gewoon de router bereiken (immers vul je dat adres apart in).

Enige probleem is dat de clients in 192.168.88.0/24 dus niet 192.168.88.2/32 konden bereiken.. daarom zal ik het morgen met jouw voorbeeld proberen.
Dat laatste wat je zegt dat klopt dus niet. De /32 kan niet terug praten naar de /24.

De /24 kan jou server wel bereiken. Maar het antwoordt terug komt niet aan.

Telefoon en Netwerk Engineer


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
DutchITMaster schreef op maandag 28 juni 2021 @ 23:06:
Het kan wel hoor met een /32 maar dan geeft je die niet op.

MikroTik is daar een vreemde eend in de bijt

192.168.1.1 als adres
192.168.1.2 als netwerk adres. ( is andere router) er voila een p2p netwerkje. Veel gebruikt in gre of Eoip tunnels
Dat werkt inderdaad zo op MikroTik voor point-to-point interfaces, maar @Jazco2nd zegt dat het ook werkt voor z'n server...

Snap ik niet, want volgens mij werkt het onder Linux ook niet zomaar. Je kunt wel een /32 instellen, maar dan heb je ook een /32 interface route nodig voor je gateway. Misschien dat je DHCP client dat zelf bedenkt?

Dat is min-of-meer ook de reden dat ik het voorbeeld van de /24 gaf. Dat is voorspelbaarder dan kleinere subnets, en simpeler dan point-to-point-gedoe.

  • DRAFTER86
  • Registratie: april 2002
  • Laatst online: 21:13
Ik ben aan het kijken naar een nieuwe Mikrotik switch voor het netwerk in mijn nieuwe huis. Ik heb een aantal (+-16) CAT6 RJ45 punten in de muur, en mijn idee is om onder de vloer 10GB fiber te leggen naar een aantal devices (PC, NAS etc). Ik neig nu naar de CRS328-24P-4S-RM. Daarmee heb ik voldoende POE budget voor camera's, AP's (ik denk Ubiquitu ivm roaming....) en 4x 10GB SFP's. Wat ik me daarbij nog afvroeg, ik denk dat ik mijn HEX AC als router/firewall blijf gebruiken, is dat een goed idee? Of gaat die dan de performance nog beperken?

Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
DRAFTER86 schreef op dinsdag 29 juni 2021 @ 06:35:
Wat ik me daarbij nog afvroeg, ik denk dat ik mijn HEX AC als router/firewall blijf gebruiken, is dat een goed idee? Of gaat die dan de performance nog beperken?
In de meest gangbare thuissetups routeer je vooral verkeer van/naar het internet. Of de router daarvoor volstaat hangt vooral af van de snelheid van je internetlijn...

Die switch is vooral een switch; hoewel deze met de v7 betas dacht ik ook hardware accelerated L3 ondersteunt zou ik daar niet op inzetten.

  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

DRAFTER86 schreef op dinsdag 29 juni 2021 @ 06:35:
Wat ik me daarbij nog afvroeg, ik denk dat ik mijn HEX AC als router/firewall blijf gebruiken, is dat een goed idee?
HEX AC?

Eerst het probleem, dan de oplossing


  • DRAFTER86
  • Registratie: april 2002
  • Laatst online: 21:13
Scuzi, HAP AC natuurlijk. Hoe picky zijn die switches qua SFP's? Ik zat te denken om mijn desktop en NAS met een Intel X529 dual SFP NIC uit te rusten, kan ik dan gewoon eender welk setje SFP's pakken?

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
Thralas schreef op maandag 28 juni 2021 @ 19:14:
[...]


Die oplossing klopt niet. 192.168.88.2/32 is geen geldig netwerkadres. Het is me ook niet duidelijk wat je nu exact aan je server hebt toegewezen (netmask?) - maar het kan maar een oorzaak hebben: je server heeft nu een network dat een subnet is van 192.168.88.0/24.

Hierdoor denken de clients dat ze er direct mee kunnen babbelen (layer 2), maar andersom werkt dat niet (want vanuit de server gezien zitten je clients niet in hetzelfde subnet).

De simpelste oplossing is om twee niet-overlappende subnets te gebruiken. Als je het heel simpel wilt houden, gebruik 192.168.88.0/24 voor je clients, en 192.168.89.0/24 voor je DNS-server. Stop de router in beide subnets.
Nu heeft de server geen internet + kan vanaf de server de router niet bereiken + clients kunnen de server niet bereiken:
8)7

code:
1
2
3
4
5
6
7
8
9
10
11
/ip dhcp-server network print  

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER         WINS-SERVER     DOMAIN                           

 0   ;;; defconf

     192.168.88.0/24    192.168.88.1    192.168.88.1                        Menhir

 1   192.168.89.0/24    192.168.88.1    192.168.88.1                        Menhir

Verder: bij DHCP Server > Leases de statische IP toewijzing van mijn server gewijzigd van 192.168.88.2 naar 192.168.89.9 en vervolgens op de server de netwerkverbinding gecycled, het nieuwe IP adres werd toegewezen.

Vorige keer, toen ik 192.168.88.2/32 als netwerk gebruikte bleef internet werken maar ik heb toen niet de netwerkverbinding gecycled op de server, oftewel, de server zat eigenlijk nog gewoon in het eerste netwerk (192.168.88.0/24).

[Voor 8% gewijzigd door Jazco2nd op 29-06-2021 12:59]


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
DRAFTER86 schreef op dinsdag 29 juni 2021 @ 09:18:
[...]


Scuzi, HAP AC natuurlijk. Hoe picky zijn die switches qua SFP's? Ik zat te denken om mijn desktop en NAS met een Intel X529 dual SFP NIC uit te rusten, kan ik dan gewoon eender welk setje SFP's pakken?
MikroTik heeft van die compatibility lijstjes. Dit is de eerste link die ik vond :) link

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Jazco2nd schreef op dinsdag 29 juni 2021 @ 12:55:

code:
1
2
3
4
5
6
7
8
9
10
11
/ip dhcp-server network print  

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER         WINS-SERVER     DOMAIN                           

 0   ;;; defconf

     192.168.88.0/24    192.168.88.1    192.168.88.1                        Menhir

 1   192.168.89.0/24    192.168.88.1    192.168.88.1                        Menhir

De gateway van het netwerk 192.168.89.0 klopt niet. Dat kan geen 192.168.88.1 zijn.
Een gateway zit ALTIJD in hetzelfde netwerk.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thasaidon maar als ik daar wat anders zet, heeft mijn Mikrotik router (ik heb er slechts 1) dus automatisch 2 adressen? 1 voor de clients van het ene DHCP netwerk en 1 voor de clients van het andere DHCP netwerk?

Ik begrijp niet zo goed waarom die optie bestaat en de router niet gewoon altijd op 1 adres bereikbaar is.. maar vind het prima als het zo werkt natuurlijk. Wel raar: als ik achter mijn server zit moet ik dus naar een ander adres om de router te benaderen..

Ik kan vast ook geen DNS statisch instellen dat router.lan naar beide adressen verwijst.

edit:
sterker nog: ik snap er de ballen van nu, hoe kan dit mijn probleem oplossen?
Immers, de server zit in een range waar de clients niet in zitten en ik mag dus niet het IP van de server gebruiken als DNS voor de clients, net zoals ik niet dezelfde gateway ip mag gebruiken in beide.

Ik heb al zoveel op het Mikrotik forum en de wiki doorgebracht, ben vooral teleurgesteld in de wiki. Die zegt hier dus niets over:
https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server

[Voor 29% gewijzigd door Jazco2nd op 29-06-2021 19:49]


Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Jazco2nd schreef op dinsdag 29 juni 2021 @ 19:37:
@Thasaidon maar als ik daar wat anders zet, heeft mijn Mikrotik router (ik heb er slechts 1) dus automatisch 2 adressen? 1 voor de clients van het ene DHCP netwerk en 1 voor de clients van het andere DHCP netwerk?
Ja, dat is zo ongeveer de definitie van een router. Meerdere netwerken met elkaar verbinden, om dat te doen zal hij toch echt een IP in ieder netwerk moeten hebben. Je WAN-adres is net zo'n IP.
Ik begrijp niet zo goed waarom die optie bestaat en de router niet gewoon altijd op 1 adres bereikbaar is.. maar vind het prima als het zo werkt natuurlijk. Wel raar: als ik achter mijn server zit moet ik dus naar een ander adres om de router te benaderen..
Je kunt vanaf je server dan ook gewoon de router op het 'andere' adres bereiken, tenzij je de firewall instelt dat dat niet mag. Enkel de gateway is anders.
DRAFTER86 schreef op dinsdag 29 juni 2021 @ 09:18:
[...]


Scuzi, HAP AC natuurlijk. Hoe picky zijn die switches qua SFP's? Ik zat te denken om mijn desktop en NAS met een Intel X529 dual SFP NIC uit te rusten, kan ik dan gewoon eender welk setje SFP's pakken?
Het grootste probleem van SFPs is vendor whitelisting. Daar doet MikroTik niet aan, dus je kunt ervanuitgaan dat het gewoon werkt. Voor je Intel-kaart heb je misschien wel iets met een Intel-id nodig.

[Voor 21% gewijzigd door Thralas op 29-06-2021 19:52]


  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
Aha, voor mij is gateway == synoniem voor router geweest! Immers de meeste clients (Windows, Android) tonen je router adres onder de noemer "gateway". Weer wat geleerd.

Ik ga het proberen.

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thasaidon
Ook dat werkt dus niet. De server (192.168.89.2, ingesteld via Leases > Static) heeft geen internet en kan de router op 192.168.89.1 niet bereiken..

code:
1
2
3
4
5
6
7
8
9
10
11
/ip dhcp-server network print  

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER         WINS-SERVER     DOMAIN                           

 0   ;;; defconf

     192.168.88.0/24    192.168.88.1    192.168.89.2                        Menhir

 1   192.168.89.0/24    192.168.89.1    192.168.89.2                        Menhir

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@Thralas
Ik heb het uiteindelijk toch werkend op de manier die onmogelijk zou moeten zijn

code:
1
2
3
4
5
6
7
8
9
/ip dhcp-server network print 

Flags: D - dynamic 

 #   ADDRESS            GATEWAY         DNS-SERVER             WINS-SERVER     DOMAIN                                         

 0   ;;; defconf
     192.168.88.0/24    192.168.88.1    192.168.88.1                                        Menhir                                         
 1   192.168.88.253/32  192.168.88.1    192.168.88.1                                       Menhir


Via DHCP Server Leases statisch ip 192.168.88.253 toegewezen aan mn server.
Vervolgens deze route rule erbij:

code:
1
2
3
/ip route rule print  
Flags: X - disabled, I - inactive 
 0   src-address=192.168.88.0/24 dst-address=192.168.88.0/24 action=lookup table=main


Server en clients kunnen de router op 192.168.88.1 bereiken, clients kunnen server bereiken op 192.168.88.253.
Geen idee of dingen als DLNA, SMB/discovery etc zo ook nog werken, test ik morgen.

Bijzonder toch dat de eerdere suggesties allemaal niet werken.. 8)7

En wat heb ik nu bereikt?
Helemaal niets: ondanks dat clients de server kunnen benaderen, werkt deze regel vervolgens niet zonder de 2e regel (masquerade), waardoor AdGuard Home nog steeds niet per-client requests ziet:

code:
1
2
3
/ip firewall nat
add action=dst-nat chain=dstnat comment=DNSrule1 dst-address=!192.168.88.253 dst-port=53 in-interface=bridge protocol=udp src-address=!192.168.88.253 to-addresses=192.168.88.253 to-ports=53
add action=masquerade chain=srcnat comment=DNSrule2 dst-address=192.168.88.253 dst-port=53 protocol=udp src-address=192.168.88.0/24


Het kan dus gewoon niet is mijn conclusie.

[Voor 20% gewijzigd door Jazco2nd op 29-06-2021 23:01]


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Goed dat het werkt. Kun je de routetabel van de server nog eens laten zien? En waar heb je die route rule vandaan? Ik begrijp daar de functie niet van..

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
Ja het werkt, alleen ik heb er niks aan want heb vervolgens toch een masquerade regel nodig om DNS naar mijn server te forceren. De reden dat ik met 2 Networks ging werken was juist om die regel overbodig te maken zodat ik clients zie in AdGuard Home.

Ik heb het dus alweer helemaal teruggedraaid :+
Wil het best nog een keer omzetten om een route table uit te printen. Morgen!

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Jazco2nd schreef op dinsdag 29 juni 2021 @ 19:37:
@Thasaidon maar als ik daar wat anders zet, heeft mijn Mikrotik router (ik heb er slechts 1) dus automatisch 2 adressen? 1 voor de clients van het ene DHCP netwerk en 1 voor de clients van het andere DHCP netwerk?
Sorry voor de wat late reactie.

Maar als je twee netwerken wil gebruiken, heb je dus ook 2 gateways nodig.
Een netwerk kent alleen zijn "eigen straatje". Alles daarbuiten moet via een gateway naar buiten.

Daarnaast moet de gateway dan ook weten waar dat andere netwerk zit, of een default route hebben voor alles wat hij niet kent. In het geval van 2 netwerken op de router, zouden beide "directly connected" moeten zijn.

Je router zal dan idd ook 2 IP's moeten hebben, want deze is voor beide netwerken dus de gateway.
Waar je deze instelt (vlan, interface, etc) is afhankelijk van wat jij verder configureert.
En omdat je router dus lokaal beide netwerken zou moeten kennen, is een routering in principe niet nodig, maar zou bv wel de firewall verkeer tussen beide netwerken kunnen tegen houden.
Je moet er dus wel voor zorgen dat de firewall hier niets blokkeert.

Zaken als NAT zijn dan gewoon niet nodig.


Ik zelf gebruik 1 range, en het IP (dus de gateway voor mijn netwerk) staat op de Bridge interface ingesteld.
Op die manier is mijn router dus altijd bereikbaar omdat de bridge interface voor alle fysieke interfaces benaderbaar is (mits deze in dezelfde bridge groep zitten).
Zou je het IP op een fysieke interface zetten en die interface gaat om wat voor reden down, dan is ook de router dus niet meer benaderbaar en valt ook de gateway voor je netwerk dus weg.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • mbovenka
  • Registratie: januari 2014
  • Laatst online: 13:24
Ik heb sinds een storing bij Tweak (de power outage bij Nikhef van 18 juni) een heel raar probleem met mijn CCR1036-8G-2S+.

Ik had een BiDi SFP in sfp-sfpplus1 zitten als uplink. Tot dan toe werkte dat probleemloos, ongeveer 1.5 jaar lang. Na de storing kwam de link wel terug, maar deed mijn DHCP client het niet meer. De DHCP DISCOVERs gingen de deur wel uit (volgens de Packet Sniffer), maar er kwam niets terug.

Na het een en ander geprobeerd te hebben, for giggles de mediaconverter maar eens aan Ether1 geknoopt en de SFP daarin geplugd. Wat schetst mijn verbazing: dat werkt wel!

Wat ik ondertussen geprobeerd heb:

Beide PSUs aangesloten (hij liep op 1 powersupply)

Reboot & power cycle.

Twee andere SFPs (FiberStore 1310/1490 & 1310/1550 generics, origineel is een TP-Link TL-SM321B) geprobeerd. Zelfde issue: ze worden netjes herkend, de link komt op, maar DHCP doet het niet.

Upgrade van RouterOS 7.1beta1 naar 7.1beta6. (ik draai 7.1beta omdat mijn 4G backup USB stick niet werkt onder ROS6).

Allemaal niks. En alledrie de SFPs doen het prima in de media converter.

Ik kan er geen chocola van maken. Iemand enig idee?

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 22:14
@mbovenka
Ik heb toevallig gisteren 7.1beta6 getest met een SFP die ook direct naar de CPU loopt (RB4011). Wat mij opvalt (na diverse interfacewijzigingen) is dat de DHCP-client soms geen adres krijgt (status renewing), maar wel als ik een release forceer. Heb je dat al eens geprobeerd?

Heb je daarnaast al eens het mac-adres van sfp-sfpplus1 (tijdelijk) aangepast in bijv. die van ether1?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • mbovenka
  • Registratie: januari 2014
  • Laatst online: 13:24
nescafe schreef op dinsdag 13 juli 2021 @ 12:02:
@mbovenka
Ik heb toevallig gisteren 7.1beta6 getest met een SFP die ook direct naar de CPU loopt (RB4011). Wat mij opvalt (na diverse interfacewijzigingen) is dat de DHCP-client soms geen adres krijgt (status renewing), maar wel als ik een release forceer. Heb je dat al eens geprobeerd?

Heb je daarnaast al eens het mac-adres van sfp-sfpplus1 (tijdelijk) aangepast in bijv. die van ether1?
Release/renew en disable/enable van de DHCP client (en zelfs verwijderen en opnieuw aanmaken) heb ik geprobeerd, dat hielp ook niet.

Mac adres aanpassen heb ik nog niet geprobeerd.

  • mbovenka
  • Registratie: januari 2014
  • Laatst online: 13:24
mbovenka schreef op dinsdag 13 juli 2021 @ 12:20:
[...]
Mac adres aanpassen heb ik nog niet geprobeerd.
@nescafe Dat hielp dus ook niet, helaas.

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 22:14
@mbovenka
Ik snap dat het niet meteen een oplossing is, maar is het probleem ook aanwezig als je downgrade naar stable (6.48.3)? Je kunt de disk hiervoor partitioneren zodat je makkelijk weer terugkunt naar je huidige beta + config.

[Voor 3% gewijzigd door nescafe op 13-07-2021 13:44]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • mbovenka
  • Registratie: januari 2014
  • Laatst online: 13:24
Dat is nog een idee, al draaide ik al sinds december 7.1beta1 en werkte dat prima tot afgelopen 18 juni, ook door een aantal reboots (en zelfs een power outage aan mijn kant) heen.

Het blijft dus nogal mysterieus...

  • mbovenka
  • Registratie: januari 2014
  • Laatst online: 13:24
@nescafe Ik heb maar eens een ticket bij MT ingeschoten. Eens kijken of die ergens mee terugkomen.

  • DRAFTER86
  • Registratie: april 2002
  • Laatst online: 21:13
Hier met een beetje stoeien eindelijk gelukt om een OpenVPN server te draaien op mijn hAP AC en te connecten met OpenVPN vanaf mijn Android device.
Enige is dat ik een beetje zit te stoeien met mijn firewall om de client device toegang te geven tot het IP van de router (waarop o.a. DNS draait), alle andere IP's in mijn interne LAN werken weer wel.
Als ik het volgende toevoeg werkt het ook:
code:
1
add action=accept chain=input in-interface=all-ppp

Kan ik dit veilig doen?

Acties:
  • +1Henk 'm!

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 22:14
@DRAFTER86 als je geen PPPoE gebruikt voor het opzetten van je internetverbinding wel. De vraag is waarom je wel bij je lan-devices kunt. Liever maak je een OVPN Server Binding aan voor de user en voeg je die interface toe aan Interface List LAN, dan hoef je de firewall niet aan te passen.

[Voor 55% gewijzigd door nescafe op 13-07-2021 21:51]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +1Henk 'm!

  • DRAFTER86
  • Registratie: april 2002
  • Laatst online: 21:13
nescafe schreef op dinsdag 13 juli 2021 @ 21:49:
@DRAFTER86 als je geen PPPoE gebruikt voor het opzetten van je internetverbinding wel. De vraag is waarom je wel bij je lan-devices kunt. Liever maak je een OVPN Server Binding aan voor de user en voeg je die interface toe aan Interface List LAN, dan hoef je de firewall niet aan te passen.
Als ik het goed begrijp komt het door deze:
code:
1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Alle verkeer voor de router (input) niet uit LAN wordt gedropt.
Maar met de serverbinding werkt het prima!

Inmiddels ook het 10GBit netwerk tussen mijn desktop en server (Proxmox) aangelegd middels een CRS328-24P-4S. Server hangt via een DAC kabel direct aan de switch, desktop gaat via koper.
Voor die laatste heb ik een Mikrotik 10G SFP (S+RJ10) in de switch zitten (de NIC in mijn desktop doet direct RJ45). Maar het lijkt er op dat die SFP zo warm wordt (68deg) dat de fans van de switch continue op 9k RPM draaien....
Ik wist dat die RJ45 SFP's warm werden, maar ging er vanuit dat dat vooral onder load was. Nu lijkt het er op dat dat ook bij een min of meer idle connectie al het geval is...
Nouja, switch hangt in de kelder, maar optimaal is het ook niet :+

Acties:
  • +1Henk 'm!

  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

SFP gebruiken voor koper is een warm item...letterlijk. Kijk of je kunt overstappen op glas want SFP blijven veel koeler.

De kabel trekken is een probleem als de connector niet door de buis past.

68 Graden is nog niets en heb al waarden gelezen die over de 100 graden gingen. Ik heb zelf ooit een koeling toegepast met twee heatsinks en dat was voor een optische verbinding.

  • DRAFTER86
  • Registratie: april 2002
  • Laatst online: 21:13
msatter schreef op woensdag 21 juli 2021 @ 21:31:
SFP gebruiken voor koper is een warm item...letterlijk. Kijk of je kunt overstappen op glas want SFP blijven veel koeler.

De kabel trekken is een probleem als de connector niet door de buis past.

68 Graden is nog niets en heb al waarden gelezen die over de 100 graden gingen. Ik heb zelf ooit een koeling toegepast met twee heatsinks en dat was voor een optische verbinding.
Hm ja heb het nu wel een beetje onder controle geloof ik. Idle doen de fans 1500RPM ofzo, onhoorbaar.
Als ik mijn PC aan heb en de koper 10GB link actief wordt gaat dat naar 5000RPM, niet stil meer maar niet hoorbaar buiten de kelder waar het spul in hangt. Maar goed optimaal is het allemaal niet, misschien trek ik nog wel een keer glas (ook gedoe, door de kruipruimte etc.). Verder wel echt een mooi apparaat die CRS328, lekker veel POE, en 4x SFP is genoeg voor mij.

  • Mattie112
  • Registratie: januari 2007
  • Laatst online: 17-09 16:39

Mattie112

3780wP (18x 210wP EC Solar)

Helaas kan ik mijn SFP module (gejat uit Draytek modem van toen nog Vodafone thuis) geen temp zien met de RB4011. Maar als ik er aan voel is hij wel warm maar niet heet, vergelijkbaar met de rest van mijn RB4011 en die is 37gr reported.

edit:
oh het ging over 10G tja hier gaat het om 1G

[Voor 10% gewijzigd door Mattie112 op 24-07-2021 15:23]

Star Citizen - Gathering of Tweakers Incorporated - Referal Code


Acties:
  • 0Henk 'm!

  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

10Gb/s op koper is eieren bakken...hele kleine scharrelkip eieren.

De 1Gb/s op glas en 10 Gb/s op glas is cool en ook nog eens koeler. Iedereen zit te kwijlen bij 2,5/5/10 over koper maar bij die snelheden denk ook na over glas. Er speciale fiber die strakkere bochten kunnen maken en niet veel duurder zijn dan de standaard fibers. Je hebt 'armored' fibers die ook in goten in fabrieksruimtes zich lekker voelen.

Snuffel maar eens rond in de Fiber Store om te zien wat mogelijk is voor een bescheiden bedrag.
  • Designed for Providing Protection to Resist Indoor Harsh Environments
  • Lightweight and Flexible Cables with Bend Insensitive Fiber
  • Great Durability with 120 to 225 N Tensile Strength
  • Elastic Stainless Steel Tube Prevents the Optical Fiber from Breaking
  • Rodents, Pests and Birds Resistance & Tramping Resistance
  • Low Insertion Loss and High Return Loss, Stable Transmission
Voor buiten zijn 'militairy grade' fibers.

[Voor 32% gewijzigd door msatter op 25-07-2021 12:56]


  • Fritti
  • Registratie: juni 2000
  • Laatst online: 10-09 22:11
Hoi,

nadat ik erg goed geholpen ben met mijn nieuwe RB4011 en xs4all FTTH, toch nog een probleempje, en dus een kleine vraag over IPTV.

Ik heb namelijk "soms" dat de STB na uit standby komen klaagt met een blauw scherm, alsof de IGMP proxy functionaliteit niet goed meer staat. Ik heb de MikroTik nu ongeveer een week als hoofdrouter, en in die tijd is dit een keer of 3 voorgekomen. Het gekke is dus dat dit soms pas na uren is, en dat de STB in de tussentijd prima werkt. Wat dan helpt is een reset van de MikroTik en daarna restart van de STB, maar vervelend is het wel.

Nu heb ik logging voor igmp-proxy eens aangezet op debug mode in een poging om er achter te komen waardoor dit komt, en het valt me op dat er regelmatig deze melding in staat:

code:
1
2
22:45:49 igmp-proxy,debug RECV IGMP membership query from 10.60.141.93 to 224.0.0.1 on vlan1.4 
22:45:49 igmp-proxy,debug ignoring IGMP message: received on the upstream interface


Ik weet niet genoeg van IGMP om dit helemaal te snappen, maar het leek me eigenlijk wel logisch dat iets op het KPN netwerk zou willen weten of er multicast verkeer naar mij moet? Dus waarom blokkeert de proxy dit?

Helaas lijkt dit niets met mijn probleem van doen te hebben want deze melding is er om de paar minuten zolang er TV gekeken wordt, ook zolang het goed gaat. Dus de vraag is meer uit nieuwsgierigheid, ben benieuwd.

Voor wat betreft het echte probleem vermoed ik dat er een ander device op het netwerk niet goed meewerkt, maar ik weet nog niet hoe ik dat kan gaan bewijzen. Wordt vervolgd.

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Die debug message: dat kan ik ook niet verklaren.

Als je de queries van KPN onverhoopt blokkeert in je firewall dan loop je het risico dat de stream eens in de zoveel tijd stopt omdat hij niet optijd een membership report terugkrijgt. Lijkt me een legitieme query, en volgens mij geeft 'ie er ook gewoon antwoord op...

Over je probleem: zou een packet capture maken (handig om het naar een PC te streamen tot het probleem optreedt), dan kun je meestal wel zien wat er misgaat.

Je zou in ieder geval quick leave uit kunnen zetten, als je meer dan 1 STB hebt is dat zeker problematisch.

  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
daansan schreef op vrijdag 14 mei 2021 @ 14:06:
[...]


Die RB4011 gedraagt zich inderdaad iets anders, ik heb het nu aan de praat met MTU 1500 met de volgende settings:

sfp-sfpplus1
- MTU 1508
- L2MTU 1598

vlan 6
- MTU 1508
- L2MTU 1594

pppoeclient
- max mtu: 1500
- max mru: 1500

Dit levert een actual MTU van 1500 op de pppoe verbinding zonder dat mss clamping nodig is.

Hurrah!
Ik heb hetzelfde geprobeerd met mijn 4011, maar de PPoE client schiet telkens terug naar 1480.

Aansluiting: NT --> SFP converter (Mikrotik Mikrotik S+RJ10 netwerk transceiver module 10000 Mbit/s SFP+). KPN abbo is 1 Gbit.

Zou een SFP module het verschil kunnen maken? Welke zou ik daarvoor moeten hebben? Heb de oude Genexis variant (foto van Google).

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • daansan
  • Registratie: maart 2000
  • Nu online
The Wizard schreef op dinsdag 3 augustus 2021 @ 17:23:
[...]


Ik heb hetzelfde geprobeerd met mijn 4011, maar de PPoE client schiet telkens terug naar 1480.

Aansluiting: NT --> SFP converter (Mikrotik Mikrotik S+RJ10 netwerk transceiver module 10000 Mbit/s SFP+). KPN abbo is 1 Gbit.

Zou een SFP module het verschil kunnen maken? Welke zou ik daarvoor moeten hebben? Heb de oude Genexis variant (foto van Google).
Ik kan me niet voorstellen dat de sfp module of externe media converter uberhaupt invloed heeft op je MTU.

Maar gebruik je nu die genexis en ga je van daar uit door met ethernet naar je mikrotik? Of gebruik je daadwerkelijk die S+RJ10 module?

Ik gebruik overigens zelf een sfp module (geen sfp+) van fs.com, typenr kan ik zo even niet vinden

I love it when a plan comes together!


  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
daansan schreef op dinsdag 3 augustus 2021 @ 19:38:
[...]


Ik kan me niet voorstellen dat de sfp module of externe media converter uberhaupt invloed heeft op je MTU.

Maar gebruik je nu die genexis en ga je van daar uit door met ethernet naar je mikrotik? Of gebruik je daadwerkelijk die S+RJ10 module?

Ik gebruik overigens zelf een sfp module (geen sfp+) van fs.com, typenr kan ik zo even niet vinden
Ik ook niet 😋, maar je weet het nooit.

Ik gebruik de standaard oplossing, ethernet van de NT naar de SFP module.

Voor de rest werkt alles perfect, haal gewoon 960 Mbit, maar met een MTU van 1480 heb je wel fragmentatie.

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

@The Wizard

Als de MTU terugschiet moet je de SFP herstarten.

Het werkt wel goed in de Beta versie (6.49) op de 4011.

Ik gebruikte voorheen een script in ppp-profile-up

code:
1
2
3
4
5
6
7
8
9
{
:delay 4s
/interface
:if (([pppoe-client monitor pppoe-ikev2 as-value once]->"mtu") < 1500) do={
disable sfp-sfpplus1
:delay 50ms
enable  sfp-sfpplus1
:log warning "PPPoE MTU lower than 1500 so the SFP port is restarted"} 
}

[Voor 55% gewijzigd door msatter op 04-08-2021 00:29]


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
The Wizard schreef op dinsdag 3 augustus 2021 @ 20:12:
Ik gebruik de standaard oplossing, ethernet van de NT naar de SFP module.
Waarom een S+RJ10? Dat ding wordt zo warm, ik kan me niet voorstellen dat je die wilt gebruiken zolang KPN geen 10 Gbit/s op je link zet..

Probeer het eens met eeen ethernetpoortje als je er met bovenstaande tips niet uitkomt. En als het echt een S+RJ10 is: de initiele modellen hadden een bug mbt. het zetten van de MTU (geen idee of er een revisiemarkering op staat)..

  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
Thralas schreef op woensdag 4 augustus 2021 @ 07:36:
[...]


Waarom een S+RJ10? Dat ding wordt zo warm, ik kan me niet voorstellen dat je die wilt gebruiken zolang KPN geen 10 Gbit/s op je link zet..

Probeer het eens met eeen ethernetpoortje als je er met bovenstaande tips niet uitkomt. En als het echt een S+RJ10 is: de initiele modellen hadden een bug mbt. het zetten van de MTU (geen idee of er een revisiemarkering op staat)..
Geen idee, kreeg dit advies 😋. Ik zal eens op zoek gaan naar een andere, nog advies?

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • Goof2000
  • Registratie: februari 2003
  • Nu online
Mijn eerste stappen met MikroTik apparatuur, ik heb een MikroTik Routerboard RB750Gr3 gekocht om tussen mijn glasvezelmodem en de rest van mijn netwerk te zetten. (vervanging van een oude Fritzbox)

Nog tips voor documentatie om te lezen, YouTube filmpjes en/of best practice?

Wat wil ik doen:
- buiten laten wat buiten hoort (Firewall)
- poort open zetten voor mijn Wireguard (Port forwarding)
- DHCP server

Wat heb ik al gedaan:
- Update naar laatste versie en firmware update gedaan
- De admin verwijderd en een user aangemaakt met full access
- Daarvoor Winbox gebruikt

Note: Ik zal ook nog een Wifi access point gaan plaatsen, ik zit te denken aan een https://tweakers.net/pric...unifi-6-professional.html

[Voor 0% gewijzigd door Goof2000 op 04-08-2021 10:47. Reden: Note toegevoegd]


  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Default staat de MikroTik al goed ingesteld en hoef je alleen een port farward aan te maken. Eventueel IP range aanpassen en je bent klaar (voor wat betreft je eisen hierboven).

Draai je Wireguard op een ander device? Anders zit je (geloof ik) aan een beta versie vast.

Mijn tips:
- verbind op basis van MAC als je iets met IP adressen wil doen
- stel safe mode in als je wijzigingen gaat doen aan je firewall
- sla regelmatig een export van je config op (/export file=bedenkeenleukenaam)
- lees veel en vaak op het forum van MikroTik

Eerst het probleem, dan de oplossing


  • Goof2000
  • Registratie: februari 2003
  • Nu online
lier schreef op woensdag 4 augustus 2021 @ 11:14:
Default staat de MikroTik al goed ingesteld en hoef je alleen een port farward aan te maken. Eventueel IP range aanpassen en je bent klaar (voor wat betreft je eisen hierboven).

Draai je Wireguard op een ander device? Anders zit je (geloof ik) aan een beta versie vast.

Mijn tips:
- verbind op basis van MAC als je iets met IP adressen wil doen
- stel safe mode in als je wijzigingen gaat doen aan je firewall
- sla regelmatig een export van je config op (/export file=bedenkeenleukenaam)
- lees veel en vaak op het forum van MikroTik
Dank je voor je reactie.

Wireguard had ik even moeten uitleggen dat ik die lokaal op mijn Linux server draai zodat ik overal buiten via mijn server online ga.
Dat van beta versie begrijp ik niet helemaal.

Goede tips.

  • Mattie112
  • Registratie: januari 2007
  • Laatst online: 17-09 16:39

Mattie112

3780wP (18x 210wP EC Solar)

Of beter nog gebruik een automatisch backup per email :)

code:
1
2
3
4
5
/export file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]);

/tool e-mail send to="router@youremail.nl" subject=([/system identity get name] . " Backup " . [/system clock get date]) file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc"); :delay 10;

/file rem [/file find name=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc")]; :log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])


En stel dat in op eens per week bijv via de script support ;)

[Voor 1% gewijzigd door Mattie112 op 04-08-2021 11:40. Reden: formatting]

Star Citizen - Gathering of Tweakers Incorporated - Referal Code


  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

De beta ondersteunt Wireguard, dan hoef je die niet op je Linux server te draaien (maar draai je in plaats daarvan op de MT). De stable versie ondersteunt het nog niet:
https://forum.mikrotik.com/viewtopic.php?f=23&t=174417

Voor wat betreft port forwarding (scroll naar Port mapping/forwarding):
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

code:
1
/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234


Nice @Mattie112! _/-\o_

[Voor 3% gewijzigd door lier op 04-08-2021 11:42]

Eerst het probleem, dan de oplossing


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Ik ben momenteel erg aan het twijfelen om een Mikrotik router te kopen, als vervanging voor mijn Unifi USG-3P. Ik heb hem voorlopig niet nodig, de USG doet het prima en glasvezel wordt aan het einde van het jaar pas opgeleverd.

Ik heb geen méga uitgebreid thuisnetwerk, maar een aantal VLAN's, port forwards en firewall regels zijn wel voorwaardelijk voor het laten functioneren van mijn huis :+ Ik zit nu na te denken om een RB960PGS (V&A) aan te schaffen om te klooien/testen, totdat ik definitief beslis welke Mikrotik ik in de meterkast wil hebben (RB4011/RB5009/RB?)

Daarmee kan ik prima uit de voeten om een testnetwerkje te maken toch?

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
@lier je mist nog de hairpin, masquerade regel voor portforwarding..
Per poort heb je dus 2 NAT regels nodig.

  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

lolgast schreef op woensdag 4 augustus 2021 @ 11:52:
Daarmee kan ik prima uit de voeten om een testnetwerkje te maken toch?
Het leuke is dat je elk willekeurige RB kan pakken om mee te testen. De config kan je eenvoudig overzetten naar een andere RB.
Jazco2nd schreef op woensdag 4 augustus 2021 @ 11:55:
@lier je mist nog de hairpin, masquerade regel voor portforwarding..
Per poort heb je dus 2 NAT regels nodig.
Hairpin is alleen nodig als je je interne DNS niet op orde hebt :9

Eerst het probleem, dan de oplossing


  • Goof2000
  • Registratie: februari 2003
  • Nu online
Jazco2nd schreef op woensdag 4 augustus 2021 @ 11:55:
@lier je mist nog de hairpin, masquerade regel voor portforwarding..
Per poort heb je dus 2 NAT regels nodig.
Dat heb ik hier dus kunnen vinden: https://help.mikrotik.com...Id=3211299#NAT-HairpinNAT

(voor degene die net als ik geen idee had waar @Jazco2nd het over heeft)

  • Jazco2nd
  • Registratie: augustus 2002
  • Laatst online: 21:59
lier schreef op woensdag 4 augustus 2021 @ 12:02:
[...]


Hairpin is alleen nodig als je je interne DNS niet op orde hebt :9
Huh, dat snap ik niet. Ook in dit topic is meerdere malen uitgelegd dat hairpin noodzakelijk is.
Is er recent iets verandert waardoor je dit op een andere manier kan oplossen?

Mikrotik had een mooie wiki pagina hierover, die is weg:
Forum: https://forum.mikrotik.com/viewtopic.php?t=172380 linkt ook naar dat verdwenen artikel: https://wiki.mikrotik.com/wiki/Hairpin_NAT

Wat is er veranderd en wat is de alternatieve DNS oplossing?

  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Jazco2nd schreef op woensdag 4 augustus 2021 @ 12:06:
Wat is er veranderd en wat is de alternatieve DNS oplossing?
Diensten waarnaar geforward wordt op het interne netwerk laten resolven op het interne IP adres.

Eerst het probleem, dan de oplossing


  • Oortjes
  • Registratie: maart 2009
  • Laatst online: 15:51
Goof2000 schreef op woensdag 4 augustus 2021 @ 10:47:
Nog tips voor documentatie om te lezen, YouTube filmpjes en/of best practice?
YouTube kanaal met tutorials

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
The Wizard schreef op woensdag 4 augustus 2021 @ 10:27:
Geen idee, kreeg dit advies 😋. Ik zal eens op zoek gaan naar een andere, nog advies?
MikroTik doet niet aan whitelists, dus in principe zou iedere gigabit copper SFP moeten werken.

Die van MikroTik is nogal aan de prijs in Nederland:
pricewatch: MikroTik RJ45 SFP 10/100/1000M copper module (S-RJ01)

Zou het eerst met ethernet testen voor je andere spullen koopt. En als de tips van @msatter niet helpen, desnoods even MikroTik support vragen of MTU change hoort te werken op die SFP+ (zoals ik al zei: op early models werkte het niet of niet goed, maar dat zou verholpen moeten zijn).

En check even of hij inderdaad warm wordt (voorzichtig!). Misschien speelt dat alleen bij een 10GE line rate. Dan nog: voor 30 euro kun je een hoop stroom verstoken..
lolgast schreef op woensdag 4 augustus 2021 @ 11:52:
Daarmee kan ik prima uit de voeten om een testnetwerkje te maken toch?
Ja, lijkt me voor een tientje of 3 een prima deal.

[Voor 10% gewijzigd door Thralas op 04-08-2021 19:35]


  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 18:49
Nieuwe opvolger van RB4011 vanaf september beschikbaar met RouterOS v7 productie status:
https://mikrotik.com/product/rb5009ug_s_in

  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
Thralas schreef op woensdag 4 augustus 2021 @ 19:30:
[...]


MikroTik doet niet aan whitelists, dus in principe zou iedere gigabit copper SFP moeten werken.

Die van MikroTik is nogal aan de prijs in Nederland:
pricewatch: MikroTik RJ45 SFP 10/100/1000M copper module (S-RJ01)

Zou het eerst met ethernet testen voor je andere spullen koopt. En als de tips van @msatter niet helpen, desnoods even MikroTik support vragen of MTU change hoort te werken op die SFP+ (zoals ik al zei: op early models werkte het niet of niet goed, maar dat zou verholpen moeten zijn).

En check even of hij inderdaad warm wordt (voorzichtig!). Misschien speelt dat alleen bij een 10GE line rate. Dan nog: voor 30 euro kun je een hoop stroom verstoken..


[...]


Ja, lijkt me voor een tientje of 3 een prima deal.
Ja, hij wordt smerig warm/heet. Thanks voor de tip, zal eens testen met een ethernet poort.

MTU wijzigen op de SFP werkt trouwens gewoon, alleen op de PPoE verbinding niet.

[Voor 14% gewijzigd door The Wizard op 04-08-2021 20:55]

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
The Wizard schreef op woensdag 4 augustus 2021 @ 20:54:
MTU wijzigen op de SFP werkt trouwens gewoon, alleen op de PPoE verbinding niet.
Zo ziet het er bij mij uit:

code:
1
2
3
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan-internet keepalive-timeout=60
max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-kpn use-peer-dns=yes

  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
Thralas schreef op woensdag 4 augustus 2021 @ 21:15:
[...]


Zo ziet het er bij mij uit:

code:
1
2
3
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan-internet keepalive-timeout=60
max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-kpn use-peer-dns=yes
Ik heb deze settings geprobeerd, maar schiet na enkele seconden terug op 1480.

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

Welke versie va ROS draai je, is dit geen beta dan is dit 'normaal'.

Zet mijn scriptje in het profiel voor de PPPoE. Je kunt het ook testen door de SPF te herstarten.

Trouwens moet de MTU voor de SPF 1512 zijn i.v.m. 8 voor PPPoE en 4 voor VLAN. De VLAN is 1508.

Ik heb het zelfs nog ruimer staan wat niet nodig is.

[Voor 67% gewijzigd door msatter op 04-08-2021 22:25]


  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

sambaloedjek schreef op woensdag 4 augustus 2021 @ 20:44:
Nieuwe opvolger van RB4011 vanaf september beschikbaar met RouterOS v7 productie status:
https://mikrotik.com/product/rb5009ug_s_in
Een leuk ding en het enige wat mij tegenhoud is dat het alleen ROS 7BetaX is. Versie 7 heeft mij geen enkele keer blij kunnen maken. Alleen maar problemen.

Mijn 4011 is nog steeds krachtig genoeg voor mij.

[Voor 6% gewijzigd door msatter op 04-08-2021 22:32]


  • The Wizard
  • Registratie: januari 2000
  • Laatst online: 16-09 16:45

The Wizard

Moderator Mobile
Thralas schreef op woensdag 4 augustus 2021 @ 19:30:
[...]


MikroTik doet niet aan whitelists, dus in principe zou iedere gigabit copper SFP moeten werken.

Die van MikroTik is nogal aan de prijs in Nederland:
pricewatch: MikroTik RJ45 SFP 10/100/1000M copper module (S-RJ01)

Zou het eerst met ethernet testen voor je andere spullen koopt. En als de tips van @msatter niet helpen, desnoods even MikroTik support vragen of MTU change hoort te werken op die SFP+ (zoals ik al zei: op early models werkte het niet of niet goed, maar dat zou verholpen moeten zijn).

En check even of hij inderdaad warm wordt (voorzichtig!). Misschien speelt dat alleen bij een 10GE line rate. Dan nog: voor 30 euro kun je een hoop stroom verstoken..


[...]


Ja, lijkt me voor een tientje of 3 een prima deal.
msatter schreef op woensdag 4 augustus 2021 @ 22:01:
Welke versie va ROS draai je, is dit geen beta dan is dit 'normaal'.

Zet mijn scriptje in het profiel voor de PPPoE. Je kunt het ook testen door de SPF te herstarten.

Trouwens moet de MTU voor de SPF 1512 zijn i.v.m. 8 voor PPPoE en 4 voor VLAN. De VLAN is 1508.

Ik heb het zelfs nog ruimer staan wat niet nodig is.

[Afbeelding]
Bedankt voor het meedenken! Ik heb een andere SFP getest (S-RJ01), en deze werkt keurig op 1500. Mijn dank is groot!

7090 kWp, 3 subsystemen (20x LG 320 Wp / 3x Canadian Solar 230 Wp)


  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 20:32
Ik hoop dat het hier mag. Eigenaar van een RB4011. Alle services werken prima. Naar volle tevredenheid ook, ding is mega stabiel, nooit gedoe en ik kom niet in de buurt van enige limiet. Leuke is ook dat hij nog veel meer kan dan mijn kennis reikt.

Behalve één service. FTP (obv microsoft IIS). Alle andere port forwards werken prima.
Heeft iemand enig idee wat hier mis loopt? Ik krijg buiten mijn netwerk geen client met de FTP verbonden. Komt geen respons terug.
code:
1
2
3
add action=dst-nat chain=dstnat comment="FTP" connection-type="" \
    dst-address=217.117.230.49 dst-port=20-21 protocol=tcp src-port="" \
    to-addresses=192.168.1.197 to-ports=0-65535

Beetje storend, ik werk al jaren hobbymatig met netwerken en uitgerekend dit simpele punt waar ik echt niet uit kom. Vier verschillende howto's gebruikt, komen eigenlijk allen op hetzelfde neer.

[Voor 12% gewijzigd door fonsoy op 05-08-2021 22:00]

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • nescafe
  • Registratie: januari 2001
  • Laatst online: 22:14
@fonsoy op zich is er niets mis met je regel, hij lijkt poort 20-21 netjes door te zetten naar poort 20-21, maar:
  • In plaats van dst-address=... zou je dst-address-type=local kunnen gebruiken, dan is de rule niet afhankelijk van je ip
  • src-port="" is overbodig (je kunt het veld inklappen in winbox, of unsetten in cli met set [nummer] !src-port
  • to-ports=0-65535 is overbodig (ik zou zelfs verwachten dat hij 20-21 translate naar 0-1, maar dat is niet zo, echter omdat je toch niet translate kun je deze eigenschap ook inklappen / unsetten (!to-ports)
  • Het is even de vraag wat connection-type="" doet, dat is nl. geen geldige waarde. mogelijk dat die de rule ongeldig maakt. Ook deze kun je unsetten (!connection-type)
  • Poort 20 wordt niet gebruikt als destination port, maar als source port in active mode. Poort 20 is dus niet nodig (verkeer vanaf bridge wordt standaard toch al doorgelaten)
  • Mogelijk wil je een passive port range definiëren in IIS (FTP Firewall Support, Data Channel Port Range) en in deze regel toevoegen (bijv. dst-port=21,35000-35999)
Er komt geen respons terug..

Wat hierbij wel belangrijk is; lopen de counters in de NAT-table op als je een verbinding probeert te maken?
Als die op 0 blijft staan, matcht de regel dus niet en zit het waarschijnlijk in de regel. Als hij wel oploopt, kan het in de server zitten (of in de firewall filter, maar dstnatted-connecties worden in de default config doorgelaten).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 20:32
Verrek, het lijkt erop dat de connection-type="" de boosdoener was. Maar ook de andere tips zijn meer dan welkom.

Geweldig en super uitgebreid advies. Hartelijk dank hiervoor 8)
Ook de tip om met "local" te werken is een goede. Staat binnenkort een verhuizing voor de deur, dus deze neem ik gelijk even mee voor mijn andere regels.

Met een respons bedoelde ik zo 'weinig' als een ja/nee op een tool als canyouseeme.org. Zodra er in ieder geval gepraat kan worden tussen de twee, wordt eventueel verder troubleshooten stukken vereenvoudigd. Ik zie in de regel nu ook dat er 60 bytes zijn verstuurd. Dus dat is een prima graadmeter. Zodra e.e.a. in de server blijkt te zitten, ben ik verder dan nu (echter werkt deze lokaal prima, dus ik verwacht van niet).

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
fonsoy schreef op donderdag 5 augustus 2021 @ 21:49:
Ik hoop dat het hier mag. Eigenaar van een RB4011. Alle services werken prima. Naar volle tevredenheid ook, ding is mega stabiel, nooit gedoe en ik kom niet in de buurt van enige limiet. Leuke is ook dat hij nog veel meer kan dan mijn kennis reikt.

Behalve één service. FTP (obv microsoft IIS). Alle andere port forwards werken prima.
Heeft iemand enig idee wat hier mis loopt? Ik krijg buiten mijn netwerk geen client met de FTP verbonden. Komt geen respons terug.
code:
1
2
3
add action=dst-nat chain=dstnat comment="FTP" connection-type="" \
    dst-address=217.117.230.49 dst-port=20-21 protocol=tcp src-port="" \
    to-addresses=192.168.1.197 to-ports=0-65535

Beetje storend, ik werk al jaren hobbymatig met netwerken en uitgerekend dit simpele punt waar ik echt niet uit kom. Vier verschillende howto's gebruikt, komen eigenlijk allen op hetzelfde neer.
Firewalls van de MT al gecontroleerd? Verder als al de andere port forwards wel werken zou ik vooral gaan kijken naar je IIS config.

  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

Mikrotik is hier erg gebruikersonvriendelijk. Je kunt een optie in Winbox openen zonder er ook een waarde of setting te activeren.

Er zijn twee opties die zij maar niet willen implementeren. De eerste is dat er controle gedaan wordt en er een waarschuwing is dat er een optie actief die niet gedefinieerd is. De tweede is dit zich voordoet dat bij het opslaan het niet gedefinieerde optie automatisch gedeactiveerd wordt.

Zo krijg je niet een zoek plaatje waarom iets niet werkt en dan blijkt het een verkeerde klik te zijn geweest die niet opvalt.

  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
Ik vind het gebrek aan babysit functies in Winbox juist erg fijn.
Voor initiele config heb je toch console?

- knip -


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Raymond P schreef op vrijdag 6 augustus 2021 @ 07:23:
Ik vind het gebrek aan babysit functies in Winbox juist erg fijn.
Voor initiele config heb je toch console?
Het gaat niet om babysitten, maar om discutabele UI. Opties die een effect hebben als je ze enkel openklapt (ook al zet je ze niet) is gewoon objectief beroerde UI.

Enige dat er nog op het verhaal van @msatter af te dingen valt is dat de opties vziw. blauw worden als je ze openklapt - iets dat wel een hint geeft dat er iets staat te gebeuren. Voor mij is dat voldoende om niet te vergeten ze dan weer dicht te klappen als ik er niets mee wil doen, maar de crux is dat je wel moet weten dat dat uitmaakt.

Winbox is juist overzichtelijker (en dus toegankelijker) dan de console op de meeste vlakken zou ik zeggen.
fonsoy schreef op donderdag 5 augustus 2021 @ 22:41:
Maar ook de andere tips zijn meer dan welkom.
Vooruit, nog een dan: als je niet afhankelijk bent van externe gebruikers zou ik FTP altijd achter een VPN hangen. Dan loop je niet het risico van een vergeten test/test account, is alles meteen encrypted en zit je niet met die ongemakkelijke NAT mapping voor de FTP data port.

  • Gerrit Jan
  • Registratie: september 2005
  • Nu online
Sinds kort in het bezit van een Hex S waarmee ik een 6-tal vlans wil routeren en wat basis firewall regels wil afdwingen. Niks spannends.

Aangezien ik nieuw ben in de wereld van Mikrotik heb ik veel aan de wiki en het forum maar toch kom ik niet uit het volgende.

Ik heb een (niet Mikrotik) switch waarvan 1 poort is ingesteld als trunk waarover ik de vlans wil sturen. Ik wil aan de Hex S kant de trunk verbinding aansluiten op 'ether2' en aan een bridge hangen. Aangezien dit de 'way to go' is in de latere versies van RouterOS. Ik heb de vlans geconfigureerd op de bridge (bridge-lan). Een interface vlan aangemaak en hierop een IP address ingesteld. Ook heb ik de DHCP pool en network aangemaakt.

Echter krijg ik deze configuratie niet werkend zoals ik zou willen en volgens de wiki zou moeten zijn. Zodra ik vlan-filtering aanzet op de bridge werkt krijg ik geen IP adres meer van de DHCP server. Laat ik de filtering uit dan werkt dit wel en heb ik ook connectiviteit naar de WAN zijde van het netwerk.

Hieronder een stukje configuratie die van toepassing is. De foute configuratie zoals op https://wiki.mikrotik.com...with_a_physical_interface (VLAN interface in een bridge) beschreven werkt voor mij wel maar is dus niet hoe het zou moeten zijn.

Ik denk dat ik nog een stukje van de Mikrotik leercurve mis, kunnen jullie mij op weg helpen?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
# aug/06/2021 11:30:10 by RouterOS 6.48.3

/interface bridge
add name=bridge-lan

/interface vlan
add interface=bridge-lan name=vl1801 vlan-id=1801

/interface list
add comment=defconf name=LAN

/ip pool
add name=1801-pool ranges=10.18.0.7-10.18.0.30

/ip dhcp-server
add address-pool=1801-pool disabled=no interface=vl1801 name=undefined

/interface bridge port
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether2

/interface bridge vlan
add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801

/ip address
add address=10.18.0.1/27 interface=vl1801 network=10.18.0.0

/ip dhcp-server network
add address=10.18.0.0/27 comment=undefined dns-server=10.18.0.3 gateway=\
    10.18.0.1 netmask=27

[Voor 0% gewijzigd door Gerrit Jan op 06-08-2021 13:02. Reden: Verkeerde pool configuratie geplakt]


  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
Thralas schreef op vrijdag 6 augustus 2021 @ 11:40:
[...]

Het gaat niet om babysitten, maar om discutabele UI. Opties die een effect hebben als je ze enkel openklapt (ook al zet je ze niet) is gewoon objectief beroerde UI.
Ik zal de laatste zijn die zal schrijven dat ze de heilige graal te pakken hebben. Verre van, en dat is deels juist wat ik zo fijn eraan vind.
Winbox zie ik als een tool om snel een globaal overzicht van de huidige status te krijgen, en daarin is het absoluut superieur aan console.
Enige dat er nog op het verhaal van @msatter af te dingen valt is dat de opties vziw. blauw worden als je ze openklapt - iets dat wel een hint geeft dat er iets staat te gebeuren. Voor mij is dat voldoende om niet te vergeten ze dan weer dicht te klappen als ik er niets mee wil doen, maar de crux is dat je wel moet weten dat dat uitmaakt.
Vooral dat laatste dus, je hebt een stukje hardware/software met veel functionaliteit. Je verdiepen in RouterOS (en z'n quirks) is noodzaak, net zoals je (al dan niet veel minder) rariteiten hebt bij Juniper/Cisco.

Geen settings openen in Winbox in een live omgeving zonder safe mode aan is daar 1 van.
Winbox is juist overzichtelijker (en dus toegankelijker) dan de console op de meeste vlakken zou ik zeggen.
Yes, totdat er iets niet lekker gaat. En dan zegt een simpele export in command line in de meeste gevallen ineens een hoop meer.

Mja, ik ben geen UI/UX designer en ben zo'n persoon die het handig zou vinden als een liftdeur open zou gaan als je op de knop drukt.

- knip -


  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Voor VLAN configuratie bestaat een geweldige tutorial, @Gerrit Jan :
https://forum.mikrotik.com/viewtopic.php?t=143620

Eerst het probleem, dan de oplossing


  • Gerrit Jan
  • Registratie: september 2005
  • Nu online
Dank je wel @lier. Bij het voorbreiden van de configuratie had ik de router.rsc gebruikt van het router on a stick scenario (wat ik hier ook wil maken). Ik heb inmiddels door nog een keer naar die configuratie te kijken vlans en de filtering werkend.

Het probleem zat hem erbij mij in dat ik de ether2 interface niet mee had genomen als tagged. Als iemand die van andere apparatuur af komt voelt het tegenstrijdig om de bridge en de fysieke interface mee te moeten geven. De bridge voelt logisch omdat de ether2 interface onderdeel is van de bridge.

Iemand die kan uitleggen waarom dit zo is in het geval een Mikrotik? De bovengenoemde link verteld daar niet over en ben het ook nog niet in de documentatie tegengekomen.

[Voor 20% gewijzigd door Gerrit Jan op 06-08-2021 14:33]


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
sinds een week heb ik mijn adsl lijn ingeruild voor Tmobile glasvezel, en dat leek een mooi moment om mijn oude routers de deur uit te doen en te vervangen door nieuw.

momenteel heb ik een Mikrotik RB4011iGS+M router, RB260GSP switch en 2 Ruckus R500 AP's die dmv Unleased worden gemanaged.


ik wil op mijn thuis netwerk 3 vlans aanmaken:
- vlan300 (internet via tmobile: 143.177.x.x)
- vlan100 (home: 192.168.0.0/24)
- vlan200 (iot: 192.168.100.0/24)

op de Ruckus AP's heb ik momenteel 1 wifi network draaien (home) en wil ik een 2e aanmaken (iot) met VLAN200 (iot). De AP's draaien Unleashed, dus alle aanpassingen worden automatisch op beide AP's ingestel

VLAN100 moet zowel internet krijgen (via VLAN300) als ook devices op VLAN200 kunnen benaderen.
devices van VLAN200 mogen wel verbinding hebben met internet, maar niet op VLAN100 kunnen komen.

paar vragen over deze setup:
1. is deze onderverdeling met 3 VLAN's correct ?
2. kunnen/moeten in de mikrotik router VLAN's aan specifieke poorten worden gehangen?
3. kunnen er meerder VLAN's aan 1 routerpoort worden toegewezen?
4. moet ik de VLAN's ook op de switch aanmaken ?
5. is het logisch/verstandig om apparaten zoals TV, receiver, Nest, etc op 1 van de 2 VLANs toe te wijzen, of zal ik deze nog een eigen VLAN te geven ?
6. er moet een port forward komen naar Lora (deze krijgt een fixed ip adres op VLAN200)

en allerbelangrijkste vraag, hoe configureer ik mijn router+switch dusdanig dat dit allemaal gaat werken ?
Ik ben een noob op het gebied van VLAN's, bridges, etc, enig uitleg daarover is dan ook zeer welkom


  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

@ronjon , check even de URL die ik hier twee posts boven heb geplaatst. Daarin staat een hele duidelijke uitleg over VLAN's op MikroTik. Standaard staat intervlan verkeer open, je moet zelf op de firewall aangeven wie niet met een ander mag praten (behalve internet).

Eerst het probleem, dan de oplossing


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
lier schreef op vrijdag 6 augustus 2021 @ 16:25:
@ronjon , check even de URL die ik hier twee posts boven heb geplaatst. Daarin staat een hele duidelijke uitleg over VLAN's op MikroTik. Standaard staat intervlan verkeer open, je moet zelf op de firewall aangeven wie niet met een ander mag praten (behalve internet).
die heb ik doorgelezen, maar kom daar helaas niet veel verder mee

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Gerrit Jan schreef op vrijdag 6 augustus 2021 @ 11:58:
Aangezien dit de 'way to go' is in de latere versies van RouterOS. Ik heb de vlans geconfigureerd op de bridge (bridge-lan).
Niet perse. Zie de opmerking hier in het kader die nog gewoon naar een voorbeeld 'oude' stijl verwijst voor non-CRS3XX. Anders heb je geen wire speed switching. Hoeft geen probleem te zijn, maar goed om in het achterhoofd te houden.

Deze valt nog op in je config:

code:
1
2
/interface bridge vlan
add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801


Waarover je zelf al zegt:
Het probleem zat hem erbij mij in dat ik de ether2 interface niet mee had genomen als tagged. Als iemand die van andere apparatuur af komt voelt het tegenstrijdig om de bridge en de fysieke interface mee te moeten geven. De bridge voelt logisch omdat de ether2 interface onderdeel is van de bridge.
Er is een stelregel onder Linux (en daarom ook min-of-meer MikroTik) die zegt dat je de fysieke interface moet 'vergeten' als je hem onderdeel maakt van een bridge.

Maar dat geldt natuurlijk niet voor de vlan-toewijzingen binnen de bridge zelf. Daar is het juist logisch (en de bedoeling) om aan te geven hoe de vlans op de fysieke interfaces die deel uitmaken van de bridge moeten worden behandeld. De bridge is natuurlijk geen member port van zichzelf, dus die regel zoals je hem origineel had klopt niet (zou verwachten dat Winbox hem rood markeert). Juist is om de member/fysieke interfaces aan te geven (zoals je inmiddels hebt gedaan).
ronjon schreef op vrijdag 6 augustus 2021 @ 16:06:
paar vragen over deze setup:
1. is deze onderverdeling met 3 VLAN's correct ?
Klopt het dat vlan 300 het upstream vlan richting T-Mobile voor internet is? Dan kun je deze net zo goed als niet-bestaand beschouwen aangezien je hem toch niet over je LAN distribueert maar meteen op je router termineert.
2. kunnen/moeten in de mikrotik router VLAN's aan specifieke poorten worden gehangen?
3. kunnen er meerder VLAN's aan 1 routerpoort worden toegewezen?
4. moet ik de VLAN's ook op de switch aanmaken ?
Volgens mij is dit 3x: ja.
5. is het logisch/verstandig om apparaten zoals TV, receiver, Nest, etc op 1 van de 2 VLANs toe te wijzen, of zal ik deze nog een eigen VLAN te geven ?
Maak het vooral niet complexer dan nodig, vlans zijn geen doel maar een middel. Ik zie er voorlopig dus maar 2 (waarbij verkeer een kant op wordt gefilterd).

Ik vind de keuze om 'IoT' wel toegang tot het internet te geven, maar het vervolgens alsnog in een soort DMZ stoppen persoonlijk opmerkelijk. Natuurlijk niet met elke setup mogelijk, maar als je het geen internettoegang geeft is de kans dat het je eigen netwerk aanvalt ook niet erg realistisch meer
ronjon schreef op vrijdag 6 augustus 2021 @ 17:25:
die heb ik doorgelezen, maar kom daar helaas niet veel verder mee
Ik ben bang dat je toch eerst zelf wat moet proberen. Als je een concreet probleem hebt is er vast iemand bereid om mee te denken, maar je configuratie voor je uitwerken gaat niemand voor je doen.

Zie de posts van @Gerrit Jan als uitstekend voorbeeld.

  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:


Klopt het dat vlan 300 het upstream vlan richting T-Mobile voor internet is? Dan kun je deze net zo goed als niet-bestaand beschouwen aangezien je hem toch niet over je LAN distribueert maar meteen op je router termineert.
ja, dat klopt.
Maak het vooral niet complexer dan nodig, vlans zijn geen doel maar een middel. Ik zie er voorlopig dus maar 2 (waarbij verkeer een kant op wordt gefilterd).

Ik vind de keuze om 'IoT' wel toegang tot het internet te geven, maar het vervolgens alsnog in een soort DMZ stoppen persoonlijk opmerkelijk. Natuurlijk niet met elke setup mogelijk, maar als je het geen internettoegang geeft is de kans dat het je eigen netwerk aanvalt ook niet erg realistisch meer
goed punt. dus vlan200 zou eigenlijk geen toegang tot internet nodig hoeven te krijgen ?
dit geldt dan denk ik niet voor devices als bijv. mijn Nest, welke via internet worden bedient, lijkt me
Ik ben bang dat je toch eerst zelf wat moet proberen. Als je een concreet probleem hebt is er vast iemand bereid om mee te denken, maar je configuratie voor je uitwerken gaat niemand voor je doen.

Zie de posts van @Gerrit Jan als uitstekend voorbeeld.
dat was ook zeker niet mijn vraag :)
ik wil vooral vooraf wat zaken beter begrijpen, voordat ik mijn huidige configuratie verwijder en opnieuw begin. (zal wel mijn huidige configuratie opslaan, zodat ik een werkende backup heb )

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Ik ben vandaag begonnen met een test opstelling. Ik dacht dat ik best handig was, maar de harde waarheid is gewoon dat ik een hobby-bob ben met networking :+

Ik ben wel een eind gekomen in een paar uur tijd vind ikzelf. Ik heb gelukkig een Unifi switch over dus daarmee kan ik mooi testen zonder dat ik de hele tijd in de meterkast kabeltjes moet omprikken, of de config moet aanpassen. Ik heb een werkende VLAN trunk omgeving die afhankelijk van de switchpoort het juiste VLAN/DHCP-scope gebruikt. Super simpel, maar ik moest flink zoeken.

Volgende stap is uitzoeken of en zo ja hoe, ik ervoor kan zorgen dat mijn IOT VLAN bereikbaar is op $hostname.local. Dat zou wel fijn zijn voor mijn ESPHome devices. Had ik nou ook maar een AP over :9

Als die basis dingen werken ga ik wel over de firewall regels nadenken

  • Oortjes
  • Registratie: maart 2009
  • Laatst online: 15:51
Mijn situatie:

Ik heb een router/firewall die via dhcp aan alle netwerk componenten een adres geeft.
Achter deze router wil ik 2 HAP-AC2 access points plaatsen waarvan de ene dienst doet als caps-manager zodat bij eventuele uitbreidingen ik overal het zelfde wifi netwerk krijg.

De eerste HAP-AC2 stel ik in als bridge alle poorten en activeer ik de cap-manager. Ik volg de tutorial van Mikrotik en de wifi interfaces worden netjes aan de manager gekoppeld. Als ik vervolgens mij telefoon aan het bewuste wifi netwerk wil koppelen krijg ik geen dhcp adres. wat doe ik fout?

In de bridge zijn alle 5 poorten en de beide wifi radio's toegevoegd, dus ik zou verwachten dat ik dan een ip-adres krijg van de dhcp server. Ethernet poort 1 krijgt wel een ip-adres maar de overige poorten ook niet, ergens gaat er dus iets mis. Ik heb de dhcp-server van de HAP-AC2 uiteraard uit staan omdat ik geen 2 servers in mijn netwerk wil hebben.

Oplossing gevonden: In de configuratie van de capsmanager is het wel noodzakelijk om bij de tab "datapath" bij bridge de bridge te selecteren.

[Voor 7% gewijzigd door Oortjes op 07-08-2021 23:35]


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:
[...]


Niet perse. Zie de opmerking hier in het kader die nog gewoon naar een voorbeeld 'oude' stijl verwijst voor non-CRS3XX. Anders heb je geen wire speed switching. Hoeft geen probleem te zijn, maar goed om in het achterhoofd te houden.
Ik heb hier een vraag over :)

Ik heb hier nu een hEX liggen, maar hetzelfde geldt natuurlijk voor de RB4011. Ik gebruik hem als router en wil alle 'LAN'-poorten als trunk geconfigureerd hebben. Mijn switch (Unifi 16-poort PoE) heeft geen layer-3 switching features en alle multi-VLAN verkeer móet dus over de hEX plaatsvinden. Doe ik er dan verstandig aan om mijn configuratie om te gooien?

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Ik denk dat het wel losloopt en het niet perse verkeerd is om het op de nieuwe manier te doen, als je dat maar onthoudt voor het geval je tegen performanceproblemen aanloopt.

De 4011 is zeker snel genoeg dat het niet zo snel een probleem zou moeten zijn.

@Gerrit Jan Nog een correctie op mijn eerdere post; de bridge kan wel degelijk een slave van 'zichzelf' zijn (in tegenstelling tot wat ik eerder zei). Volgens mij representeert die slave de interface van de CPU. De Bridge VLAN Table-pagina legt dat alleraardigst uit: die poort wordt ook dynamisch toegevoegd als untagged poort op het pvid van de bridge.

Zie ook de suggestie om de bridge vlan table te inspecteren om na te gaan of er niet onbedoeld dynamische (lees: impliciete) vlans mogelijk zijn. In jouw geval zou ik vlan 1 untagged verwachten te zien omdat je geen expliciet pvid hebt gezet op de poorten.

[Voor 4% gewijzigd door Thralas op 08-08-2021 16:28]


  • Gerrit Jan
  • Registratie: september 2005
  • Nu online
Thralas schreef op vrijdag 6 augustus 2021 @ 17:32:
[...]


Niet perse. Zie de opmerking hier in het kader die nog gewoon naar een voorbeeld 'oude' stijl verwijst voor non-CRS3XX. Anders heb je geen wire speed switching. Hoeft geen probleem te zijn, maar goed om in het achterhoofd te houden.

Deze valt nog op in je config:

code:
1
2
/interface bridge vlan
add bridge=bridge-lan tagged=bridge-lan vlan-ids=1801


Waarover je zelf al zegt:

[...]


Er is een stelregel onder Linux (en daarom ook min-of-meer MikroTik) die zegt dat je de fysieke interface moet 'vergeten' als je hem onderdeel maakt van een bridge.

Maar dat geldt natuurlijk niet voor de vlan-toewijzingen binnen de bridge zelf. Daar is het juist logisch (en de bedoeling) om aan te geven hoe de vlans op de fysieke interfaces die deel uitmaken van de bridge moeten worden behandeld. De bridge is natuurlijk geen member port van zichzelf, dus die regel zoals je hem origineel had klopt niet (zou verwachten dat Winbox hem rood markeert). Juist is om de member/fysieke interfaces aan te geven (zoals je inmiddels hebt gedaan).
Thralas schreef op zondag 8 augustus 2021 @ 16:26:
Ik denk dat het wel losloopt en het niet perse verkeerd is om het op de nieuwe manier te doen, als je dat maar onthoudt voor het geval je tegen performanceproblemen aanloopt.

De 4011 is zeker snel genoeg dat het niet zo snel een probleem zou moeten zijn.

@Gerrit Jan Nog een correctie op mijn eerdere post; de bridge kan wel degelijk een slave van 'zichzelf' zijn (in tegenstelling tot wat ik eerder zei). Volgens mij representeert die slave de interface van de CPU. De Bridge VLAN Table-pagina legt dat alleraardigst uit: die poort wordt ook dynamisch toegevoegd als untagged poort op het pvid van de bridge.

Zie ook de suggestie om de bridge vlan table te inspecteren om na te gaan of er niet onbedoeld dynamische (lees: impliciete) vlans mogelijk zijn. In jouw geval zou ik vlan 1 untagged verwachten te zien omdat je geen expliciet pvid hebt gezet op de poorten.
Hoi @Thralas dank voor je uitleggen. Het valt nog niet helemaal op zijn plek maar ik denk dat dit van zelf komt als ik iets meer bedreven raak met RouterOS en Mikrotik. De pagina die je linkt bevat ook goede informatie, ik zal hem binnenkort nog eens doorlezen.

Voor wat betreft de vlan table krijg ik de volgende output. Dit is inderdaad ook wat ik zelf zou verwachten:
code:
1
2
3
4
5
6
[admin@MikroTik] > /interface bridge vlan print 
Flags: X - disabled, D - dynamic 
 #   BRIDGE                                                      VLAN-IDS  CURRENT-TAGGED                                                     CURRENT-UNTAGGED                                                    
 0   bridge-lan                                                  1801      bridge-lan                                                        
                                                                           ether2                                                            
 1 D bridge-lan

  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
ik heb een rb4011 als router ingesteld, met op ether10 een wifi AP ruckus R500
via mijn reguliere wifi network krijg ik (op mobiel) een ipadres van de router en kan ik op internet.

nu probeer ik op de AP een 2e wifi network te maken, die dmv vlan gescheiden is van het hoofd-netwerk

ik heb t volgende gedaan

nieuwe bridge aangemaakt: bridge-vlan110
in bridge nieuwe vlan: vlan110, ID 110, tagged: ether10 (wifi AP)
ip adres aangemaakt: 192.168.110.1/24, interface bridge-vlan110
dhcp aangemaakt met interface bridge-vlan110, en dhcp pool aangemaakt

op de AP (ruckus R500) heb ik een nieuw wifi network aangemaakt met vlan-id110

wanneer ik nu verbind met wifi (110), gebeurt er helemaal niets
mijn mobiel probeert een ip adres op te halen, maar ik zie geen enkel verkeer op de bridge voorbij komen

klopt deze aanpak wel, of is er een andere manier om (meerdere) vlans aan een bridge te koppelen ?

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 22:14
@ronjon je moet bridge port 'bridge' ook toevoegen als tagged poort, anders gaat de traffic idd niet naar de cpu (zie ook de post van @Thralas hierboven).

Verder zou ik een vlan1 aanmaken voor je 'default' netwerk en de bestaande config hierop aanpassen (bridge vlan alle poorten untagged, bridge en ether10 tagged, vlan1 toevoegen aan lan, ip-adres en dhcp-server omzetten naar vlan1). Als dat is ingericht, safe mode aan, vlan filtering inschakelen op je bridge en als alles werkt, safe mode weer uit :)

[Voor 9% gewijzigd door nescafe op 12-08-2021 18:31]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
nescafe schreef op donderdag 12 augustus 2021 @ 18:23:
@ronjon je moet bridge port 'bridge' ook toevoegen als tagged poort, anders gaat de traffic idd niet naar de cpu (zie ook de post van @Thralas hierboven).

Verder zou ik een vlan1 aanmaken voor je 'default' netwerk en de bestaande config hierop aanpassen (bridge vlan alle poorten untagged, bridge en ether10 tagged, vlan1 toevoegen aan lan, ip-adres en dhcp-server omzetten naar vlan1). Als dat is ingericht, safe mode aan, vlan filtering inschakelen op je bridge en als alles werkt, safe mode weer uit :)
ik heb t zonet geprobeert, nog zonder resultaat.
wat ik vergeten was te vermelden is dat er ook een bridge local bestaat. alle poorten staan default naar bridge local toe.
als ik t probeer bekabeld (via ether4, die heb ik toegevoegd aan bridge-vlan110) dan krijgt ie nog steeds een adres vanaf bridge local.

met de AP aan ether10 heb ik helaas ook geen resultaat. zie geen netwerk verkeer op de interface bridge-vlan110 ?

dit is nu mijn config.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
# aug/12/2021 19:27:01 by RouterOS 6.48.3
# software id = 3RDL-S6FU
#
# model = RB4011iGS+
# serial number = D4480EF9687B
/interface bridge
add name=bridge-local
add name=bridge-vlan110 pvid=110 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether9 ] name=ether9-RB260GSP
set [ find default-name=ether10 ] name=ether10-R500 poe-priority=1
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1-WAN name=vlan-internet vlan-id=300
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="WAN interface" name=WAN
add name=LAN
add name=vlan110
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-local ranges=192.168.0.180-192.168.0.254
add name=pool-vlan110 ranges=192.168.110.180-192.168.110.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local lease-time=5m \
    name=dhcp-local
add address-pool=pool-vlan110 disabled=no interface=bridge-vlan110 \
    lease-time=5m name=dhcp-vlan110
/interface bridge port
add interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9-RB260GSP
add bridge=bridge-local interface=ether10-R500
add bridge=bridge-local interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge-vlan110 tagged=bridge-vlan110,ether10-R500,ether4 vlan-ids=\
    110
/interface list member
add interface=bridge-local list=LAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=192.168.110.1/24 interface=bridge-vlan110 network=192.168.110.0
/ip dhcp-client
add disabled=no interface=vlan-internet use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.0.80 client-id=1:2c:ab:33:9a:29:4 mac-address=\
    2C:AB:33:9A:29:04 server=dhcp-local
add address=192.168.0.15 client-id=1:0:5:cd:f5:8d:58 mac-address=\
    00:05:CD:F5:8D:58 server=dhcp-local
add address=192.168.0.19 client-id=1:0:d:b9:5a:e6:84 mac-address=\
    00:0D:B9:5A:E6:84 server=dhcp-local
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.101,192.168.0.11 gateway=\
    192.168.0.1 netmask=24
add address=192.168.110.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.110.1
/ip firewall address-list
add address=192.168.100.0/24 list=localNet
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
add address=192.168.100.0/24 list=lan_ip
add address=255.255.255.255 list=lan_ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.0.19 dst-port=44158 \
    protocol=tcp src-port=44158
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="redirect port for Longap One" \
    dst-port=44158 protocol=tcp to-addresses=192.168.0.19 to-ports=44158
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="MikroTik RB4011iGS+RM"
/system ntp client
set enabled=yes primary-ntp=64.99.80.121 secondary-ntp=20.101.57.9

  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
nescafe schreef op donderdag 12 augustus 2021 @ 18:23:


...

Verder zou ik een vlan1 aanmaken voor je 'default' netwerk en de bestaande config hierop aanpassen (bridge vlan alle poorten untagged, bridge en ether10 tagged, vlan1 toevoegen aan lan, ip-adres en dhcp-server omzetten naar vlan1). Als dat is ingericht, safe mode aan, vlan filtering inschakelen op je bridge en als alles werkt, safe mode weer uit :)
wat is de reden om een vlan aan te maken voor het default network?
en gaat dat dan ook via een bridge en niet op interfaces? ik heb een switch aan ether9 hangen, waarop zowel vlan1 als ook vlan110 moeten komen. er hangt nl. nog een ruckus ap aan de switch

zie ook ronjon in "[MikroTik-apparatuur] Ervaringen & Discussie"

[Voor 6% gewijzigd door ronjon op 12-08-2021 19:31]


  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:02
Dat gaat zo inderdaad niet werken.

Je haalt bridge ports en de bridge vlan table door elkaar. Je hebt een bridge-vlan110 aangemaakt, maar die heeft geen enkele interface als port (daarom zie je geen verkeer). In de vlan table heb je ze wel gezet, maar dat definieert enkel de vlan rules, de interfaces die je daar opgeeft moeten ook een bridge port zijn. Als je naar /interface bridge vlan print kijkt dan zie je als het goed is dat al die entries nu genegeerd worden.

Nu denk je vast, nou dan stop ik ze toch ook als port op bridge-vlan110? - dat gaat niet, want een interface kan maar member zijn van 1 bridge. Gooi die extra bridge eens weg, en maak vervolgens een interface vlan (110) aan op bridge-local (die miste je sowieso). Dat werkt als het goed is wel.

Als dat allemaal werkt kun je de bridge vlan rules aanmaken, vervolgens controleren of het ook daadwerkelijk goed uitziet als je ze print (of de current status inspecteert in winbox) - zie het allereerste punt.

Lijkt dat allemaal te kloppen dan kun je vlan filtering aanzetten. Zou wel safe mode gebruiken als je dit alles inregelt, om te voorkomen dat je jezelf buitensluit (@nescafe noemde het al, maar safe mode kun je nooit vaak genoeg noemen).
Pagina: 1 ... 27 28 29 Laatste


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee