• ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
ik ben maar met een schone lei begonnen ...

alle poorten (eth2 t/m 10) zitten in bridge local
hoe krijg ik t voor elkaar om op eth10 zowel vlan 1 als ook vlan 110 door te geven ?
in bridge-port eth10 staat er al standaard pvid 1

  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
Precies zoals ik al zei: maak een vlan interface (/interface vlan) aan op de bridge. Op de bridge zelf zie je dan alles dat op de poorten untagged is, op de vlan interface alles dat tagged 110 is.

Dat is de essentie. Filtering is een aanvullende beveiligingsmaatregel, maar niet nodig om het te laten werken. Die PVID is pas relevant als je filtering aanzet.

  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
de interface is aangemaakt.
code:
1
2
3
4
5
6
7
8
 #   BRIDGE         VLAN-IDS  CURRENT-TAGGED         CURRENT-UNTAGGED        
 0 D bridge-local   1                                bridge-local            
                                                     ether5                  
                                                     ether6                  
                                                     ether7                  
                                                     ether10-R500            
                                                     ether4                  
 1   bridge-local   110       ether10-R500


daarnaast ook een addres aangemaakt, op interface vlan110

code:
1
2
3
4
 #   ADDRESS            NETWORK         INTERFACE                            
 0   192.168.0.1/24     192.168.0.0     bridge-local                         
 1 D x.x.x.x/22 x.x.x.x vlan-internet                        
 2   192.168.110.1/24   192.168.110.0   vlan110


en een dhcp server aangemaakt
code:
1
2
3
 #    NAME    INTERFACE    RELAY           ADDRESS-POOL    LEASE-TIME ADD-ARP
 0    dhcp... bridge-local                 dhcp-local      5m        
 1    dhcp110 vlan110                      pool-vlan110    5m


en bijbehorende ip pool
code:
1
2
3
# NAME                                       RANGES                         
 0 dhcp-local                                 192.168.0.180-192.168.0.254    
 1 pool-vlan110                               192.168.110.180-192.168.110.254


helaas nog steeds geen wifi als ik verbind met AP op vlan110 }:O

  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
Kun je de config uit je eerdere post nog een keer actualiseren? En zie je nu iets van verkeer met de packet sniffer en/of torch?

Het ziet er op zich niet verkeerd uit, wat suggereert dat er nog iets anders niet klopt. Zie wel mijn eerdere opmerking over bridge vlans die je het beste links kunt laten liggen tot het werkt (bridge-local mist op 110, maar dat zou niet uit moeten maken als je vlan filtering niet aan hebt staan).

  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Volgens mij best practice om bij meerdere vlan's geen gebruik te maken van het default vlan (1). Als je je echt wat wil verdiepen in vlan's, @ronjon , neem dan deze posts door: https://forum.mikrotik.com/viewtopic.php?t=143620

Ik zie nu dat ik je al naar deze posts had verwezen. Als je er even de tijd ervoor neemt is het echt niet heel lastig.

[Voor 21% gewijzigd door lier op 13-08-2021 10:40]

Eerst het probleem, dan de oplossing


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
Thralas schreef op vrijdag 13 augustus 2021 @ 10:14:
Kun je de config uit je eerdere post nog een keer actualiseren? En zie je nu iets van verkeer met de packet sniffer en/of torch?

Het ziet er op zich niet verkeerd uit, wat suggereert dat er nog iets anders niet klopt. Zie wel mijn eerdere opmerking over bridge vlans die je het beste links kunt laten liggen tot het werkt (bridge-local mist op 110, maar dat zou niet uit moeten maken als je vlan filtering niet aan hebt staan).
nu heb ik net bridge-local getagged op vlan110 en werkt t _/-\o_

wat doet vlan-filtering, en moet deze aan ?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
# aug/13/2021 11:17:21 by RouterOS 6.48.3
# software id = 3RDL-S6FU
#
# model = RB4011iGS+
# serial number = D4480EF9687B
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether9 ] name=ether9-RB260GSP
set [ find default-name=ether10 ] name=ether10-R500 poe-priority=1
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1-WAN name=vlan-internet vlan-id=300
add interface=bridge-local name=vlan110 vlan-id=110
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="WAN interface" name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-local ranges=192.168.0.180-192.168.0.254
add name=pool-vlan110 ranges=192.168.110.180-192.168.110.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local lease-time=5m name=dhcp-local
add address-pool=pool-vlan110 disabled=no interface=vlan110 lease-time=5m name=dhcp110
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9-RB260GSP
add bridge=bridge-local interface=ether10-R500
add bridge=bridge-local interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge-local tagged=ether10-R500,ether9-RB260GSP,bridge-local vlan-ids=110
/interface list member
add interface=bridge-local list=LAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=192.168.110.1/24 interface=vlan110 network=192.168.110.0
/ip dhcp-client
add disabled=no interface=vlan-internet use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.0.80 client-id=1:2c:ab:33:9a:29:4 mac-address=2C:AB:33:9A:29:04 server=dhcp-local
add address=192.168.0.15 client-id=1:0:5:cd:f5:8d:58 mac-address=00:05:CD:F5:8D:58 server=dhcp-local
add address=192.168.0.19 client-id=1:0:d:b9:5a:e6:84 mac-address=00:0D:B9:5A:E6:84 server=dhcp-local
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.0.1 netmask=24
add address=192.168.110.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.110.1
/ip firewall address-list
add address=192.168.100.0/24 list=localNet
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=192.168.100.0/24 list=lan_ip
add address=255.255.255.255 list=lan_ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="redirect port for Longap One" dst-port=44158 protocol=tcp to-addresses=192.168.0.19 to-ports=44158
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="MikroTik RB4011iGS+RM"
/system ntp client
set enabled=yes primary-ntp=64.99.80.121 secondary-ntp=20.101.57.9
lier schreef op vrijdag 13 augustus 2021 @ 10:33:
Volgens mij best practice om bij meerdere vlan's geen gebruik te maken van het default vlan (1). Als je je echt wat wil verdiepen in vlan's, @ronjon , neem dan deze posts door: https://forum.mikrotik.com/viewtopic.php?t=143620

Ik zie nu dat ik je al naar deze posts had verwezen. Als je er even de tijd ervoor neemt is het echt niet heel lastig.
ik heb die post al (meerdere) keren doorgelezen. de theorie snap ik wel, alleen hoe het in de praktijk te brengen is een volgende stap 8)

  • Serefsiz
  • Registratie: augustus 2012
  • Laatst online: 10:25
Hopelijk kan iemand mij helpen met het volgende:

Is er iemand die een werkende backup script voor de config van een mikrotik heeft?
Ik wil graag de config opslaan naar een netwerkschijf om de x dagen

Via google wel wat gevonden maar helaas niet werkend gekregen.

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@Serefsiz Wat heb je wel en waar loopt je tegenaan? Volgens mij zijn er 2 (3?) gedocumenteerde opties om en bestand geautomatiseerd te versturen vanaf je Mikrotik:
- Versturen via e-mail
- Versturen via (S)FTP

  • Fritti
  • Registratie: juni 2000
  • Laatst online: 10-09 22:11
Na een aantal weekenden er aan besteed te hebben lijkt het mij nu helemaal gelukt om alles om te zetten naar MikroTik hardware. Daarmee lijkt ook de STB foutmelding die ik eens in de zoveel tijd had ook weg te zijn, alhoewel ik nog een paar dagen moet wachten om dat helemaal zeker te weten.

Ik heb al eerder in deze thread het idee gezien om een keer een up-to-date configuratie neer te zetten omdat die van netwerkje.com niet altijd de best practices heeft. Ook vond ik het zelf lastig om een configuratie met meerdere VLANs, nodig voor bv. guest WiFi, van scratch af op te bouwen.

Daarom heb ik ook de tijd genomen om al mijn bevindingen toe te voegen aan een (opgeschoonde) export van zowel mijn RB4011 als 1 van mijn nieuwe APs (een hAP AC^2).

Deze van veel commentaar voorziene configuraties kun je vinden op mijn github. Ik hoor het graag als er storende fouten in staan. Vooral het IPv6 firewall gedeelte ben ik nog niet over uit, maar alle feedback/commentaar is welkom.

Hopelijk is dit ook voor anderen handig!

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Gisteren ROS7b6 op mijn test hEX geïnstalleerd. Met mijn beperkte omgeving kom ik geen problemen vooralsnog. Load lijkt hetzelfde te zijn en de config werkt 100%

  • Shadow_Zero
  • Registratie: juli 2002
  • Laatst online: 09-09 15:14
Ik kwam er achter dat mijn RB4011 blijkbaar al een paar updates niet geïnstalleerd heeft. Ik ben nu zoekende wat er precies mis gaat. Ik doe een download&install via WebFig en dat lijkt allemaal goed te gaan, maar uiteindelijk blijft hij op de oude versie staan:
Installed Version 6.44.3
Latest Version 6.48.3

In de log staat:
can not install routeros-mipsbe-6.45beta54: it is not made for arm, but for mips
omitting package multicast-6.47.10: newer package is already provided
omitting package multicast-6.47.8: newer package is already provided
Iemand zo een idee wat er aan scheelt en hoe het op te lossen?

  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Auto update is natuurlijk altijd spannend...daarnaast lijkt het erop dat je ook nog uit de beta releases put. Misschien goed om eens op LTS te gaan zitten en kijken of je daarmee kan (auto) updaten?

De eerste foutmelding begrijp ik wel, je wil een mipsbe package op een ARM device draaien. Dat gaat natuurlijk niet lukken. Zou je de juiste package eens kunnen proberen?

De tweede en derde melding lijken voort te komen uit additionele packages waarbij de versie controle niet goed gaat.

Overigens...6.44.3 is volgens mij de factory versie (en is echt ancient en kraakbaar), volgens mij is je router nog nooit geupdate. Of gaat dit om de firmware en niet de RouterOS versie?

[Voor 16% gewijzigd door lier op 18-08-2021 12:17]

Eerst het probleem, dan de oplossing


  • Shadow_Zero
  • Registratie: juli 2002
  • Laatst online: 09-09 15:14
Ik durf zo niet te zeggen of het de factory RouterOS versie is, zou kunnen (ik was ook nog niet zo ver dat er elders blijkbaar de firmware update zit). Ik heb deze tweedehands gekocht en nog niet zo lang. Heb wel diverse malen Auto Update gedraaid, maar kan me niet heugen dat die op de oude versie bleef staan, maar blijkbaar overheen gekeken.

LTS heb ik ook geprobeerd, maar die geeft dezelfde meldingen. Juiste package proberen moet ik dan manual doen? (bij Auto zie ik verder geen keuze tussen mipsbe of wat anders)


EDIT:
Ik ben nu zo ver dat ik al die packages zie in /File List
Moeten ze daar ook allemaal blijven staan, of eenmaal gedraaid kunnen ze worden opgeschoond? Ik zie er nu 4 van routeros staan, waarvan ook die mipsbe.

[Voor 18% gewijzigd door Shadow_Zero op 18-08-2021 15:33]


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 21:22
Lijkt erop dat die oudere versies gewoon nog op je filesystem staan, en dat hij bij boot die packages afloopt en (terecht) concludeert dat er al een nieuwe versie geinstalleerd is. Je kan ze gewoon verwijderen van je files dus.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • Shadow_Zero
  • Registratie: juli 2002
  • Laatst online: 09-09 15:14
Oude packages opgeschoond en nu is de update geslaagd!
(vraag me af of die nog van de vorige eigenaar waren...)

Uit nieuwsgierigheid vraag ik me wel af waarom het mis gaat. Update stokt sowieso als er een verouderde versie, dan wel verkeerde build, staat, ook al staat het juist package er ook?

[Voor 45% gewijzigd door Shadow_Zero op 18-08-2021 15:41]


  • lier
  • Registratie: januari 2004
  • Laatst online: 17-09 17:08

lier

MikroTik nerd

Wat zegt de logging? Het is (zo) een beetje in het duister tasten...
Werk je met Winbox?
Kan je /export hide-sensitive file=willekeurigebestandsnaam hier posten (eventueel de MAC adressen weghalen)?

Eerst het probleem, dan de oplossing


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
ik heb via een tutorial online een ipsec/ike2 vpn aangemaakt. onderdeel daarvan was het toevoegen van diverse rules aan de firewall.
nu ik de firewall rules zo bekijk, valt het me op dat er een aantal dubbelingen in staan. Kunnen deze zomaar verwijderd worden, of is er een goede reden waarom deze dubbelingen er zijn ?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow IPSEC/IKE2 connections" dst-port=500,4500 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
### onderstaand blok lijkt een copy van hierboven ? ######
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
############### end block #################
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
############### hier ook ipsec policy gelijk aan hierboven ##################
[b]add action=accept chain=forward comment="Accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec
############### end #####################
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158

  • geenwindows
  • Registratie: november 2015
  • Niet online
vandaag de PowerBox Pro binnen gekregen.

heb al wat ervaring met Mikrotik apparatuur, enkel heb ik deze dan werkend met SwitchOS, nu heeft de powerbox enkel RouterOS.
Dacht het kan toch niet zo heel moeilijk zijn om RouterOS zo in te stellen als zijnde switch... Oh wat heb ik dat mis! kwam direct bij de "Quick Set", mode naar Bridge gezet, IP adres ingevuld en Apply Configuration...
niet helemaal zoals ik had verwacht, apparaat achter de powerbox krijgt inderdaad de netwerk instellingen van mijn netwerk, en kan het net op.
Enkel kan ik de powerbox zelf niet benaderen, en laat ik dat nou wel nodig hebben want Poe moet nog ingesteld worden.
Geenwindows gaat zich nog even wat verder verdiepen in de Mikrotik documentatie 8)7 O-)

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
@geenwindows Een MAC session geen optie om 'm een iptje te geven? Tabje Neighbors in Winbox.

- knip -


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@geenwindows Je kunt vanuit Winbox bij Neighbours de PowerBox toch wel vinden?

En, weet je of je met de interfaces/interface-list bezig bent geweest? Winbox zou standaard benaderbaar moeten zijn over alle interfaces

  • geenwindows
  • Registratie: november 2015
  • Niet online
@Raymond P @lolgast Ik heb winbox niet gebruikt, niet beschikbaar voor Linux. Heb deze setup gewoon via de browser gedaan.
Ip adres van de powerbox heb ik gecontroleerd in de dhcp server van mijn eigen netwerk, hij is actief.
heb enkel de "Quick set" gebruikt.
denk dat ik de bridge setup maar geheel handmatig ga doen, blijkbaar gaat het daar fout.

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@geenwindows Ik wil je aanbevelen toch gebruik te maken van Winbox. Oa door de mogelijkheid om via MAC-adres te kunnen verbinden, ipv per sé verbinding via IP te moeten hebben

Wellicht kunt je hier wat mee
https://snapcraft.io/winbox

  • geenwindows
  • Registratie: november 2015
  • Niet online
lolgast schreef op dinsdag 24 augustus 2021 @ 20:56:
@geenwindows Ik wil je aanbevelen toch gebruik te maken van Winbox. Oa door de mogelijkheid om via MAC-adres te kunnen verbinden, ipv per sé verbinding via IP te moeten hebben

Wellicht kunt je hier wat mee
https://snapcraft.io/winbox
Ik heb een Win10 VM maar eens aangeslingerd. Winbox kan de powerbox niet eens vinden. f*ck die "Quick Set" en ga het wel handmatig doen.

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

Evt kun je ook de MikroTik Pro app op je telefoon installeren, daarmee kun je ook via MAC-adres verbinden.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
*Ik draai winbox zonder issues in Wine.

- knip -


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Ach, ik heb mijn hEX ook al tientallen keren (ok, lichtelijk overdreven, maar echt vaak) gereset naar default omdat ik er niet meer bij kon komen. Door schade en schande! :)

Morgen ga ik de Unifi USG weghalen en komt de hEX er te hangen. Op die manier wil ik zorgen dat tegen de tijd dat glas wordt opgeleverd ik enkel een sneller device hoef aan te schaffen en niet dán nog moet beginnen met leren :) Enige dat ik (nog?) niet aan de gang lijk te hebben is mDNS van mijn ESP devices naar mijn reguliere VLAN, maar daar is ook wel omheen te werken.
Mogelijk 2 DHCP scopes in 1 subnet bijvoorbeeld. Dan is het met firewall rules ook nog eenvoudig te splitsen wat wel en niet naar buiten mag

[Voor 11% gewijzigd door lolgast op 24-08-2021 21:12]


  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
geenwindows schreef op dinsdag 24 augustus 2021 @ 21:04:
Ik heb een Win10 VM maar eens aangeslingerd. Winbox kan de powerbox niet eens vinden. f*ck die "Quick Set" en ga het wel handmatig doen.
Winbox werkt prima onder Wine, soms duurt het alleen even voor hij hem ook op mac laat zien onder neighbors. Geduld.

Je kunt ook zelf het mac even oplezen (staat als het meezit op de sticket) en invullen, should work.

Verder: gebruik Safe Mode (zowel console als Winbox). Dan gebeurt dit nooit meer - behalve die keer dat je vergeet Safe Mode aan te zetten.

  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
Raymond P schreef op dinsdag 24 augustus 2021 @ 21:05:
*Ik draai winbox zonder issues in Wine.
Dat werkt inderdaad perfect, Winbox is ook een stuk beter dan de webfig in mijn opinie.

  • geenwindows
  • Registratie: november 2015
  • Niet online
winbox hoef ik niet in wine te draaien, de win10 VM krijgt met Winbox de powerbox niet gevonden, maar wanneer ik de laptop naar windows 7 boot en daarop winbox open ziet ie m wel. de laptop zit rechtstreeks aangesloten op de powerbox, kan nu ook weer toegang krijgen tot de beheer panel. we kunnen dus weer verder RouterOS onderzoeken/leren ;)

note: de laptop en switch zitten nu in een geïsoleerde stukje netwerk, gezien Win7 EOL is.

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
geenwindows schreef op dinsdag 24 augustus 2021 @ 22:18:
winbox hoef ik niet in wine te draaien, de win10 VM krijgt met Winbox de powerbox niet gevonden, maar wanneer ik de laptop naar windows 7 boot en daarop winbox open ziet ie m wel. de laptop zit rechtstreeks aangesloten op de powerbox, kan nu ook weer toegang krijgen tot de beheer panel. we kunnen dus weer verder RouterOS onderzoeken/leren ;)

note: de laptop en switch zitten nu in een geïsoleerde stukje netwerk, gezien Win7 EOL is.
Mag ik vragen waarom je niet gewoon naar Windows 10 boot of het simpelweg met Wine runned zodat je jezelf niet moet bezighouden met een EOL OS?

  • geenwindows
  • Registratie: november 2015
  • Niet online
orvintax schreef op woensdag 25 augustus 2021 @ 09:25:
[...]

Mag ik vragen waarom je niet gewoon naar Windows 10 boot of het simpelweg met Wine runned zodat je jezelf niet moet bezighouden met een EOL OS?
omdat ik op m'n desktop geen Windows wil hebben, de win10 VM draait op mn unraid server, puur voor testen en andere teleurstellingen. de laptop draait Windows 7 in dual boot, omdat ik die gebruik voor uitlees software voor m'n auto, en laat Windows10 nou net te vaak bij mij de boel weer eens te hebben gesloopt. dat doet windows 7 niet ;)

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


  • geenwindows
  • Registratie: november 2015
  • Niet online
Ik weet niet hoe ik het voor elkaar heb gekregen, maar nu ik de switch via Winbox heb ingesteld, werkt de switch naar behoren voor zover ik kan zien, ook de webfig is gewoon bereikbaar.
Enkel heb ik nog geen idee waarom de apparatuur achter de switch wel netwerk toegang heeft maar niet het www op kan. niet dat dit erg is, want dat is eigenlijk ook de bedoeling...
(de switch zit nu gewoon in mn netwerk, geen isolatie)

Fan van: Unraid. Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Gisteren inderdaad de Mikrotik geplaatst ter vervanging van de USG. Ging eigenlijk vrij pijnloos, het enige dat ik inderdaad niet aan de gang krijg is mDNS of iets dat daar op lijkt. De Airprint printer zit daarom nu maar in het reguliere VLAN en voor alle ESP-devices heb ik voor nu maar A-records aangemaakt waardoor HomeAssistant ze wel kan vinden.

Ik zie in het firewall connection tabje dat er echt héél veel connecties openstaan vanaf de Unifi-controller:8080 naar mijn Unifi devices. Staan allen op established, dus het zal wel horen, maar kan iemand verifiëren/bevestiging dat dat normaal gedrag is?


Nevermind, ik heb een prerouting regel aangemaakt die deze verbindingen niet meer tracked. Van ruim 5500+ connecties naar +/- 200 gegaan. Lijkt me beter voor de langere termijn throughput :9
code:
1
action=notrack chain=prerouting comment="No Track Unifi Controller -> Devices" protocol=tcp src-address=192.168.4.84 src-port=8080

[Voor 19% gewijzigd door lolgast op 26-08-2021 11:45]


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
Ging eigenlijk vrij pijnloos, het enige dat ik inderdaad niet aan de gang krijg is mDNS of iets dat daar op lijkt.
Helaas zit dat (nog) niet in MikroTik. Althans, de laatste keer dat ik keek :P

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Bridges op de virtuele Mikrotik of niet?

KPN als ISP, dus PPPoE.
KPN IPTV heeft intern eigen VLAN, alleen voor de IPTV box.

In mijn hoofd zegt dat bridges onnodig zijn en dat ik beter per VLAN een interface kan aanmaken. Desnoods bij minder belangrijke netwerken een interface delen en daaronder VLAN's aanmaken.

Maar ik twijfel, volgens mij heb ik de IGMP proxy nodig, die moet ik als downstream toch dan IPTV interface geven.

Alle voorbeelden gebruiken namelijk bridges...

  • Zapp-it
  • Registratie: februari 2016
  • Nu online
KRGT schreef op donderdag 26 augustus 2021 @ 13:49:
Bridges op de virtuele Mikrotik of niet?

KPN als ISP, dus PPPoE.
KPN IPTV heeft intern eigen VLAN, alleen voor de IPTV box.

In mijn hoofd zegt dat bridges onnodig zijn en dat ik beter per VLAN een interface kan aanmaken. Desnoods bij minder belangrijke netwerken een interface delen en daaronder VLAN's aanmaken.

Maar ik twijfel, volgens mij heb ik de IGMP proxy nodig, die moet ik als downstream toch dan IPTV interface geven.

Alle voorbeelden gebruiken namelijk bridges...
Ik kan alleen mijn inrichting ventileren want er zijn meerdere wegen die van Rome leiden 😉 (RB3011)

Lan-bridge met alle interfaces
Iptv-bridge met alleen iptv-vlan

DHCP client op de iptv-bridge , de distance hoeft niet aangepast te worden, dat kan je controleren in het scherm routes.
code:
1
add dhcp-options="Client vendor identification" disabled=no interface=iptv-bridge use-peer-dns=no use-peer-ntp=no


De volgende routes toevoegen
code:
1
2
3
add distance=1 dst-address=10.60.142.0/24 gateway=iptv-bridge
add distance=1 dst-address=213.75.167.0/24 gateway=iptv-bridge
add distance=1 dst-address=217.166.224.0/21 gateway=iptv-bridge


De 10.60.142.0/24 is van belang om de rp filter op strict te kunnen zetten, ik doe dit even uit mijn hoofd want het is alweer een tijd geleden dat ik dit geconfigureerd heb 😉.

Dan nog de igmp-proxy
code:
1
2
add alternative-subnets=x.x.x.x/24 interface=lan-bridge
add alternative-subnets=213.75.112.0/21,213.75.167.0/24,217.166.224.0/21 interface=iptv-bridge upstream=yes


Ik hoop dat je er wat aan hebt en suc6!

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
Mattie112 schreef op woensdag 4 augustus 2021 @ 11:39:
Of beter nog gebruik een automatisch backup per email :)

code:
1
2
3
4
5
/export file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]);

/tool e-mail send to="router@youremail.nl" subject=([/system identity get name] . " Backup " . [/system clock get date]) file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc"); :delay 10;

/file rem [/file find name=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc")]; :log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])


En stel dat in op eens per week bijv via de script support ;)
Ik dacht, ik ga dit ook gebruiken! Maar een /export neemt niet alles mee kwam ik achter. Eventuele certificaten bijvoorbeeld voor passwordless SSH (upload backup files) zitten er niet in. Dat komt waarschijnlijk doordat extra aangemaakte users er óók niet in zitten. Ik wil daarom /system backup gebruiken, maar die is weer niet op een ander device te gebruiken. Daarom onderstaande

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
:global MailTo
:local FilePath ([/system identity get name] . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Attach [ :toarray "" ];

/ export file=$FilePath;
/ system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Attach ($Attach, ($FilePath . ".rsc"));
:set Attach ($Attach, ($FilePath . ".backup"));
/tool e-mail send to=$MailTo subject=([/system identity get name] . " Backup " . [/system clock get date]) file=$Attach; :delay 5;

:foreach File in=[ :toarray $Attach ] do={
   / file remove $File;
}

:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])

In de basis doet hij hetzelfde als jouw script, file maken, mailen en weer verwijderen. Maar in dit geval wordt zowel een backup als een export gemaakt. Backup voor als je besluit je eigen/zelfde device te restoren, export voor als je naar andere hardware gaat. Daarbij wacht hij netjes tot de backup-file is gemaakt voordat hij probeert te mailen om te voorkomen dat je met een lege bijlage (of geen bijlage) zit.
Ik heb de filenaam ook meteen in een variabele gehangen. Kost én minder resources, en je voorkomt problemen met afwijkende namen gedurende het draaien van het script.

  • Mattie112
  • Registratie: januari 2007
  • Laatst online: 17-09 16:39

Mattie112

3780wP (18x 210wP EC Solar)

Koel! Zal mijne van de week eens updaten hier mee :)

Star Citizen - Gathering of Tweakers Incorporated - Referal Code


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
lolgast schreef op dinsdag 31 augustus 2021 @ 09:33:
[...]

Ik dacht, ik ga dit ook gebruiken! Maar een /export neemt niet alles mee kwam ik achter. Eventuele certificaten bijvoorbeeld voor passwordless SSH (upload backup files) zitten er niet in. Dat komt waarschijnlijk doordat extra aangemaakte users er óók niet in zitten. Ik wil daarom /system backup gebruiken, maar die is weer niet op een ander device te gebruiken. Daarom onderstaande

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
:global MailTo
:local FilePath ([/system identity get name] . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Attach [ :toarray "" ];

/ export file=$FilePath;
/ system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Attach ($Attach, ($FilePath . ".rsc"));
:set Attach ($Attach, ($FilePath . ".backup"));
/tool e-mail send to=$MailTo subject=([/system identity get name] . " Backup " . [/system clock get date]) file=$Attach; :delay 5;

:foreach File in=[ :toarray $Attach ] do={
   / file remove $File;
}

:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])

In de basis doet hij hetzelfde als jouw script, file maken, mailen en weer verwijderen. Maar in dit geval wordt zowel een backup als een export gemaakt. Backup voor als je besluit je eigen/zelfde device te restoren, export voor als je naar andere hardware gaat. Daarbij wacht hij netjes tot de backup-file is gemaakt voordat hij probeert te mailen om te voorkomen dat je met een lege bijlage (of geen bijlage) zit.
Ik heb de filenaam ook meteen in een variabele gehangen. Kost én minder resources, en je voorkomt problemen met afwijkende namen gedurende het draaien van het script.
Mooi gemaakt! Post het anders op Gitlab/Github, is wat overzichtelijker. Helemaal als er dingen veranderen :P

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@orvintax Speciaal voor jou: https://github.com/lolgas.../blob/main/backup-to-mail

Weinig kans dat hij wijzigt, want hij doet wat hij moet doen en ik heb inmiddels upload naar SFTP aan de gang. Dat vind ik fijner dan naar e-mail want het is in mijn ogen:
Overzichtelijker
Veiliger (eigen systeem)
Eenvoudiger te back-uppen

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 17-09 17:37
lolgast schreef op dinsdag 31 augustus 2021 @ 14:19:
@orvintax Speciaal voor jou: https://github.com/lolgas.../blob/main/backup-to-mail

Weinig kans dat hij wijzigt, want hij doet wat hij moet doen en ik heb inmiddels upload naar SFTP aan de gang. Dat vind ik fijner dan naar e-mail want het is in mijn ogen:
Overzichtelijker
Veiliger (eigen systeem)
Eenvoudiger te back-uppen
Thanks, Ik ben hier ook mee bezig.

De melding "can't agree on KEX algorithms" heb ik opgelost met:
/ip ssh set strong-crypto=yes

Nu krijg ik deze melding:
status: failed
failure: connection timeout

=> Na 10 sec. is er 0kb geupload en de connection worden gesloten.

Iemand tips?

  • daansan
  • Registratie: maart 2000
  • Nu online
msatter schreef op woensdag 4 augustus 2021 @ 00:22:
@The Wizard

Als de MTU terugschiet moet je de SFP herstarten.

Het werkt wel goed in de Beta versie (6.49) op de 4011.

Ik gebruikte voorheen een script in ppp-profile-up

code:
1
2
3
4
5
6
7
8
9
{
:delay 4s
/interface
:if (([pppoe-client monitor pppoe-ikev2 as-value once]->"mtu") < 1500) do={
disable sfp-sfpplus1
:delay 50ms
enable  sfp-sfpplus1
:log warning "PPPoE MTU lower than 1500 so the SFP port is restarted"} 
}
is upgraden naar die beta versie typisch probleemloos?

en in dat scriptje van je is pppoe-ikev2 de naam van je pppoe interface en is "pppoe-client" een functie van routeros?

I love it when a plan comes together!


  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

Ik zou nog even op de versie blijven waar je het script gebruikt omdat Mikrotik de backup mogelijkheid kapot heeft gemaakt in de Beta. De fix moet nog uitkomen.

De naamgeving van pppoe is die met client.

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 17-09 17:37
Theone098 schreef op zondag 5 september 2021 @ 14:08:
[...]

Thanks, Ik ben hier ook mee bezig.

De melding "can't agree on KEX algorithms" heb ik opgelost met:
/ip ssh set strong-crypto=yes

Nu krijg ik deze melding:
status: failed
failure: connection timeout

=> Na 10 sec. is er 0kb geupload en de connection worden gesloten.

Iemand tips?
Even mijzelf quoten :o

Ik maak een sftp connectie naar mijn NAS.
Na veel debuggen kwam ik erachter dat het nogal lang duurt voordat de file wordt ge-upload.
Het script is volgens MT klaar (staat niet meer in jobs), maar de upload volgt dan nog.
Maar goed, dat is nu ook gelukt.

Echter, alle commando’s na /tool fetch worden niet meer uitgevoerd? Iemand een idee?

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@Theone098 Misschien een idee om je script even te delen hier?

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 17-09 17:37
lolgast schreef op zondag 5 september 2021 @ 21:23:
@Theone098 Misschien een idee om je script even te delen hier?
Vanwege het vele debuggen zitten er veel :log info commands in :o

Bij deze de code:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
# automated backup 2 External Sftp
#
# Sftp configuration
:local ftphost "sftp://xx.xx.xx.xx";
:local ftpuser "<username>";
:local ftppassword "<password>";
:local ftppath "/path/to/dir/";
#
# months array
:local months ("jan","feb","mar","apr","may","jun","jul","aug","sep","oct","nov","dec");
#
# get time
:local ts [/system clock get time];
:set ts ([:pick $ts 0 2].[:pick $ts 3 5].[:pick $ts 6 8]);
#
# get Date
:local ds [/system clock get date];
#
# convert name of month to number
:local month [ :pick $ds 0 3 ];
:local mm ([ :find $months $month -1 ] + 1);
:if ($mm < 10) do={ :set mm ("0" . $mm); };
#
# set $ds to format YYYY-MM-DD
:set ds ([:pick $ds 7 11] . $mm . [:pick $ds 4 6]);
#
:log info "ftphost/user/path: $ftphost/$ftpuser/$ftppath";
# file name for system backup - file name will be backup-servername-date-time.backup
:local fname ("/backup-".[/system identity get name]."-".$ds."-".$ts.".backup");
# 
:log info "$fname";
#
# backup the system
#
/system backup save name=$fname;
:log info message="System backup finished."; 
#
# upload the backup
:log info message="Uploading system backup.";
#
/tool fetch upload=yes url=([$ftphost].[$ftppath].[$fname]) src-path=$fname user=$ftpuser password=$ftppassword;
# any commands after this line do not work.

:log info message="System backup uploaded.";

[Voor 0% gewijzigd door Theone098 op 05-09-2021 21:45. Reden: wat ; toegevoegd en script opnieuw getest.]


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@Theone098 Heb je misschien performance issues naar je SFTP omgeving? Want ik kopieer je script net 1-op-1, pas mijn SFTP gegevens aan en druk op 'Run script'. Alles ziet er hier goed uit.

  • msatter
  • Registratie: maart 2021
  • Niet online

msatter

PVoutput

Let wel op dat je niet blind vaart op backups. Mikrotik maakt die optie wel eens stuk zonder te dit weten. De huidige backups in de Beta kunnen zo afvalbak in omdat die dus stuk zijn.

Verstandig is ook af en toe een export te maken en een backup te hebben voor de backups.

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 17-09 17:37
lolgast schreef op zondag 5 september 2021 @ 22:15:
@Theone098 Heb je misschien performance issues naar je SFTP omgeving? Want ik kopieer je script net 1-op-1, pas mijn SFTP gegevens aan en druk op 'Run script'. Alles ziet er hier goed uit.
Helaas, dat is het niet. FTP werkt super snel, het is SFTP dat "lang(er)" duurt. Dat begrijp ik vanwege de encryptie, maar dat het script na /tool fetch niets meer doet is ronduit vreemd.

Je bracht mij wel op een idee: om performance issues met de encryptie uit te sluiten heb ik deze verlaagd, maar bij beiden (RB2011 en NAS) is de CPU belasting nihil. En de resultaten zijn hetzelfde.
Overigens is het script binnen 1 seconde klaar volgens mij log (t/m de melding van het uploaden van de backup). Daarna blijft het stil.

Blijft het vreemd dat er na /tool fetch geen commando's uit het script meer worden uitgevoerd (zelfs de :log info niet).
Dat lukt bij jou wel? Zo ja, welke router/switch heb je als ik vragen mag?

@msatter: daarom heb ik (nu, met SFTP) 3 scripts ;) .
1. backup
2. export
3. UserDB

[Voor 6% gewijzigd door Theone098 op 06-09-2021 09:31]


  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@Theone098 Jep, bij mij werkte het perfect, zie de log hieronder


Ik heb een RB750Gr3 (heX), geen performance beest dus :)

  • Theone098
  • Registratie: februari 2015
  • Laatst online: 17-09 17:37
@lolgast Thanks. Dan hoef ik het niet in het script te zoeken. Dan is er iets anders aan de hand.
Welke topic heb je aangezet in logging om die fetch te zien? Zou mij met debuggen kunnen helpen.

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@Theone098 Ik heb geen dingen aan de logging aangepast, dus dat lijkt me default behavior

  • WeaZuL
  • Registratie: oktober 2001
  • Laatst online: 16-09 17:33

WeaZuL

Try embedded, choose ARM!

cAP XL ac, iemand al ervaringen mee?

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Beste mede Mikrotik-ers

Ik probeer de bandbreedte (download van Internet) van een PC op mijn LAN te beperken dmv een Simple Queue.
Zoals o.a hier beschreven https://wiki.mikrotik.com/wiki/Manual:Queue

Het gaat hier om een PC met het IP 172.16.0.7 welke op mijn Hap AC2 aan Ether3 hangt.
Voor de test heb ik even 1Mb ingesteld
Dus heb ik onderstaande gebruikt:
code:
1
/queue simple> add name=test target=172.16.0.7/32 max-limit=1M/1M dst=ether3


Wat resulteert in onderstaande Simple Queue
code:
1
name="test" target=172.16.0.7/32 dst=ether3 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=1M/1M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1


Maar een simpele speedtest laat zien dat de pc gewoon nog maximale bandbreedte pakt.
Ook andere varianten van deze simple queue lijken niet te werken.

Iemand enig idee wat hier niet goed gaat? Of mis ik nog iets?

[Voor 7% gewijzigd door Thasaidon op 09-09-2021 20:01]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Laagheim
  • Registratie: december 2016
  • Laatst online: 14:43
@Thasaidon Ik heb er zelf geen ervaring mee maar wirelessinfo.be heeft er natuurlijk een filmpje over: YouTube: Mikrotik queue pcq configuration

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Thanx, ik zal een kijken.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
Thasaidon schreef op donderdag 9 september 2021 @ 19:53:
Iemand enig idee wat hier niet goed gaat? Of mis ik nog iets?
Laat dst eens weg?

Interface is toch niet zo relevant als je routeert. Hoewel ik je ook niet kan vertellen hoe dst precies werkt, zou het me niet verbazen als het hier iets anders doet dan verwacht of je de verkeerde interface hebt (bridge port bv).

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Die heb ik in eerste instantie gebruikt omdat de Mikrotik Wiki dat aangeeft.
Maar ook zonder heb ik geprobeerd, evenals nog wat andere variaties.
Maar dat lijkt niets uit te maken.

Ik moet nog even naar de hierboven genoemde video kijken, maar heb daar nog geen tijd voor gehad.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
@Thasaidon Staat fasttrack aan?

- knip -


  • Zapp-it
  • Registratie: februari 2016
  • Nu online
Daar zat ik ook al aan te denken, wel even wat leesvoer voor een mogelijke oplossing https://forum.mikrotik.com/viewtopic.php?t=171221

  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
Hah, die link doet m'n chrome (beta) op android crashen. :')

Het tweede antwoord in die thread is hoe ik het op zou lossen, dan kan je fasttrack aan (en netjes bovenaan) houden.

- knip -


  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
Thasaidon schreef op zondag 12 september 2021 @ 16:30:
[...]

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?
Dat lijkt me van wel.

  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 18:49
Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container

  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
sambaloedjek schreef op zondag 12 september 2021 @ 19:40:
Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container
Sorry maar waarom zou je willen virtualizeren in een router? Waar slaat dat nu weer op?

  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
Het is geen virtualisatie, maar een container als vehikel om je eigen applicaties te draaien.

Ik zie het nut wel. Bijvoorbeeld om een uitgebreidere DNS server of iets als een MQTT broker te draaien. Of een alternatieve BGP daemon.

  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
Thasaidon schreef op zondag 12 september 2021 @ 16:30:
[...]

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?
Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.

- knip -


  • TheExperiment
  • Registratie: april 2009
  • Nu online
Beste mede mikrotik-tweakers,

ik heb een CRS125 die ik als router gebruik en ik heb een internet abonnement met 300/20Mbps. Als ik een speedtest doe kom ik aan deze snelheden. So far so good. Nu heb ik ook een NAS met 2 gigabit netwerkpoorten en heb ik deze nu met bonding gekoppeld aan de CRS125. Als ik nu een groot bestand via FTP download van de NAS naar mijn computer, dus binnen mijn LAN, kom ik maar aan een maximale snelheid van rond de 110 Mbps, waar mijn LAN in principe allemaal gigabit is.

Is dit te verwachten met de CRS125 in router modus of zou dit toch iets hoger moeten liggen? Ik heb ook nog een RouterBoard951G-2HnD die ik momenteel als Access Point gebruik. Zou het iets uitmaken als ik deze als router zou gebruiken en de CRS125 in switch modus zou zetten of gaat dit mij nooit in de buurt van gigabit brengen en ben ik beter af met een hAP AC³ of een hEX S te kopen en de CRS125 in switch mode te zetten?

Ik geef toe dat ik geen Mikrotik expert ben en mijn config wel een samenraapsel is van zaken die ik op internet gevonden heb maar op zich heb ik ook niets fancy (Guest Wifi, OpenVPN).

Alvast bedankt voor de hulp en het advies.

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Raymond P schreef op maandag 13 september 2021 @ 10:23:
[...]


Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.
Dat is de reden waarom ik ook als DST de ether3 opgegeven had in mijn laatste poging.
Ether 3 staat als "only-hardware-queue" en dus zou hij gewoon in de hardware verwerkt moeten worden, voor zover ik het begreep.

Maar ik moet nog steeds dat filmpje kijken :9

--edit--
Filmpje ondertussen bekeken, maar hij gebruikt pcq-queue en geen simple-queue.
Voor pcq word binnen de firewall mangle gebruikt icm pre-routing en post-routing.
Maar mijn Hap AC2 heeft verder geen firewall regels en doet niets met pre- en post-routing (voor zover ik weet), want het is niet mijn router naar het internet.

Maar we gaan zien wat hij doet.

[Voor 24% gewijzigd door Thasaidon op 13-09-2021 18:16]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
Thralas schreef op zondag 12 september 2021 @ 23:03:
Het is geen virtualisatie, maar een container als vehikel om je eigen applicaties te draaien.

Ik zie het nut wel. Bijvoorbeeld om een uitgebreidere DNS server of iets als een MQTT broker te draaien. Of een alternatieve BGP daemon.
Containers zijn ook een vorm van virtualisatie. Ik vind het in ieder geval een rare feature om nu development tijd in stoppen als Mikrotik zijnde.

  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
TheExperiment schreef op maandag 13 september 2021 @ 15:18:
Is dit te verwachten met de CRS125 in router modus of zou dit toch iets hoger moeten liggen?
Ongeacht hoe je je CRS125 inzet als router, zou het verkeer binnen je LAN gewoon geswitcht moeten worden. Dat kan allemaal in hardware, dus line rate.

Hoe heb je je CRS125 geconfigureerd? Hangen de desbetreffende poorten (NAS en server) onder dezelfde bridge? Het bridge-menu in Winbox laat daarnaast ook zien of bridge ports hardware offloaded zijn: als het goed is staat er een 'H' voor de ports.

Staat deze er niet, dan is er sprake van een misconfiguratie of gebruik je een feature die de hardware offloading onmogelijk maakt. Als je je config deelt, dan kunnen we meekijken.
orvintax schreef op maandag 13 september 2021 @ 19:12:
Containers zijn ook een vorm van virtualisatie.
Bij virtualisatie is er sprake van geëmuleerde hardware en heeft de guest z'n eigen OS. Dat is allemaal niet wat MikroTik biedt, of wat Docker is.

Containers zijn een stuk meer light weight omdat ze gewoon onder het bestaande OS draaien: dat moet ook wel, gezien de beperkte resources op veel routerboards.
Ik vind het in ieder geval een rare feature om nu development tijd in stoppen als Mikrotik zijnde.
Het staat inderdaad wat verder weg van de corefunctionaliteit van een router; maar opzich is ook dat niet vreemd; veel NAS-fabrikanten bieden het tegenwoordig ook aan. Vergeleken met een NAS (of zelfs Raspberry Pi met Docker) is het natuurlijk al snel een stuk beperkter.

Qua tijdsinvestering kan ik je wel volgen; het geeft wel een beetje het gevoel dat ze allemaal nieuwe features introduceren terwijl je hoopt dat v7 nu eindelijk eens een keer richting stable gaat en ze nu al routers verkopen die alleen v7 ondersteunen.

  • TheExperiment
  • Registratie: april 2009
  • Nu online
Ik zie in de bridge toch bij alle poorten een H staan. Ik heb me vooral op de filmpjes/uitleg van https://www.wirelessinfo.be/ gebasseerd.

Hierbij de code van de router.
- ether4-APUnify: hier hangt een Ubnt access point met 2 SSIDs (private & guest (vlan10)). Geen toegang toegelaten vanuit guest naar het private netwerk.
- ether14-trunk: hier hangt de RB951G-2HnD aan. Ik wilde hier ook nog het guest network aanhangen maar krijg dit niet in orde omdat ik onder ip -> address bij de interface maar 1 interface kan kiezen (nu dus eth4).
- ether21 & 22: bond voor de NAS
- voor de rest nog een OpenVPN server zodat ik remote aan mijn netwerk kan en een scriptje om mijn duckdns te updaten


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
# sep/13/2021 14:47:52 by RouterOS 6.48.1
# software id = Z4VC-LFGX
#
# model = CRS125-24G-1S
# serial number = 49CC0404B29A
/interface bridge
add admin-mac=4C:5E:0C:9A:56:27 auto-mac=no comment=defconf name=bridge-LAN
/interface ethernet
set [ find default-name=ether1 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether1-WAN
set [ find default-name=ether2 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether3 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether4 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether4-APUnify
set [ find default-name=ether5 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether6 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether7 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether8 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether9 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether10 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether11 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether12 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether13 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether14 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether14-trunk
set [ find default-name=ether15 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether16 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether17 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether18 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether19 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether20 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether21 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether22 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether23 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether24 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
/interface vlan
add interface=ether4-APUnify name=vlan10-guest-eth4 vlan-id=10
add interface=ether14-trunk name=vlan10-guest-eth14 vlan-id=10
/interface bonding
add mode=802.3ad name=bonding-NAS slaves=ether21,ether22
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add disabled=yes name=kid1
add disabled=yes name=kid2
/ip pool
add name=dhcp-pool-lan ranges=192.168.1.30-192.168.1.254
add name=dhcp-pool-ovpn ranges=192.168.2.10-192.168.2.40
add name=dhcp_pool-guest ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=dhcp-pool-lan disabled=no interface=bridge-LAN name=dhcp-LAN
add address-pool=dhcp_pool-guest disabled=no interface=vlan10-guest-eth4 \
    name=dhcp-guest
/ppp profile
add local-address=192.168.2.1 name=vpn-profile remote-address=dhcp-pool-ovpn \
    use-encryption=yes
/interface bridge port
add bridge=bridge-LAN comment=defconf disabled=yes interface=ether1-WAN
add bridge=bridge-LAN comment=defconf interface=ether2
add bridge=bridge-LAN comment=defconf interface=ether3
add bridge=bridge-LAN comment=defconf interface=ether4-APUnify
add bridge=bridge-LAN comment=defconf interface=ether5
add bridge=bridge-LAN comment=defconf interface=ether6
add bridge=bridge-LAN comment=defconf interface=ether7
add bridge=bridge-LAN comment=defconf interface=ether8
add bridge=bridge-LAN comment=defconf interface=ether9
add bridge=bridge-LAN comment=defconf interface=ether10
add bridge=bridge-LAN comment=defconf interface=ether11
add bridge=bridge-LAN comment=defconf interface=ether12
add bridge=bridge-LAN comment=defconf interface=ether13
add bridge=bridge-LAN comment=defconf interface=ether14-trunk
add bridge=bridge-LAN comment=defconf interface=ether15
add bridge=bridge-LAN comment=defconf interface=ether16
add bridge=bridge-LAN comment=defconf interface=ether17
add bridge=bridge-LAN comment=defconf interface=ether18
add bridge=bridge-LAN comment=defconf interface=ether19
add bridge=bridge-LAN comment=defconf interface=ether20
add bridge=bridge-LAN comment=defconf interface=ether23
add bridge=bridge-LAN comment=defconf interface=ether24
add bridge=bridge-LAN comment=defconf interface=sfp1
add bridge=bridge-LAN interface=bonding-NAS
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=ether1-WAN list=WAN
add interface=bridge-LAN list=LAN
add interface=vlan10-guest-eth14 list=LAN
add interface=vlan10-guest-eth4 list=LAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes128,aes192,aes256 enabled=yes \
    require-client-certificate=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-LAN network=\
    192.168.1.0
add address=192.168.3.1/24 interface=vlan10-guest-eth4 network=192.168.3.0
/ip dhcp-client
add disabled=no interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.1.10 client-id=1:b8:27:eb:43:1a:56 comment=\
    "Raspberry pi" mac-address=B8:27:EB:43:1A:56 server=dhcp-LAN
add address=192.168.1.16 client-id=1:0:e:c6:c9:c8:10 comment="MiBox3" \
    mac-address=00:0E:C6:C9:C8:10 server=dhcp-LAN
add address=192.168.1.6 client-id=1:0:11:32:db:a1:eb comment="NAS" \
    mac-address=00:11:32:DB:A1:EB server=dhcp-LAN
add address=192.168.1.15 client-id=1:c8:db:26:1:24:52 comment=\
    mac-address=C8:DB:26:01:24:52 server=dhcp-LAN
add address=192.168.1.5 client-id=1:0:11:32:3:89:4e comment=\
    mac-address=00:11:32:03:89:4E server=dhcp-LAN
add address=192.168.1.3 client-id=1:74:83:c2:80:c1:db comment=\
    "AP" mac-address=74:83:C2:80:C1:DB server=dhcp-LAN
add address=192.168.1.2 client-id=1:4c:5e:c:d6:ea:e9 comment=\
    "RB" mac-address=4C:5E:0C:D6:EA:E9 server=dhcp-LAN
add address=192.168.1.7 client-id=1:a4:da:22:35:f9:b comment=\
    mac-address=A4:DA:22:35:F9:0B server=dhcp-LAN
add address=192.168.1.11 client-id=\
    ff:eb:48:5c:2f:0:1:0:1:23:f7:fb:7a:b8:27:eb:48:5c:2f comment=\
    mac-address=B8:27:EB:48:5C:2F server=dhcp-LAN
add address=192.168.1.17 client-id=1:ac:67:84:e9:90:2e comment=\
     mac-address=AC:67:84:E9:90:2E
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 domain=LAN.net \
    gateway=192.168.1.1 netmask=24
add address=192.168.3.0/24 dns-server=8.8.8.8,8.8.4.4 domain=Guest.net \
    gateway=192.168.3.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip dns static
add address=192.168.1.1 name=DNS-LAN
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=reject chain=forward dst-address=8.8.8.8 reject-with=\
    icmp-network-unreachable src-address=192.168.1.22
add action=reject chain=forward dst-address=8.8.4.4 reject-with=\
    icmp-network-unreachable src-address=192.168.1.22
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=reject chain=forward comment="Block guest from LAN" dst-address=\
    192.168.1.0/24 reject-with=icmp-network-unreachable src-address=\
    192.168.3.0/24
add action=reject chain=forward comment="Block guest from OpenVPN network" \
    dst-address=192.168.2.0/24 reject-with=icmp-network-unreachable \
    src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip kid-control device
add mac-address=50:50:A4:7A:6D:48 name="Tablet kid1" user=kid1
add mac-address=88:9F:6F:0A:55:54 name="Tablet kid2" user=kid2
/ip service
set telnet disabled=yes
set ftp address=192.168.1.0/24
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/lcd
set enabled=no
/lcd interface pages
set 1 interfaces=\
    ether13,ether14-trunk,ether15,ether16,ether17,ether18,ether19
/ppp secret
add name=ovpn profile=vpn-profile service=ovpn
/system clock
set time-zone-name=Europe/Brussels
/system identity
set name=R1
/system ntp client
set enabled=yes
/system scheduler
add interval=1h name=DuckDNSUpdateScriptSchedule on-event=\
    " /system script run DuckDNSUpdateScript" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=may/01/2021 start-time=18:40:31
/system script
add dont-require-permissions=no name=DuckDNSUpdateScript owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="s\
    cript\r\
    \n:local resolvedIP [:resolve \"removed.duckdns.org\"];\r\
    \n:local currentIP [/ip address get [find interface=\"ether1\"] address];\
    \r\
    \n:local currentIP [:pick \$currentIP 0 [:find \$currentIP \"/\"]];\r\
    \n \r\
    \n:if (\$resolvedIP != \$currentIP) do={\r\
    \n    :log info (\"Trying to update DuckDNS with actual IP \".\$currentIP.\
    \", resolved IP is \".\$resolvedIP);\r\
    \n    :local response [/tool fetch url=(\"https://www.duckdns.org/update\?\
    domains=removed&token=removed&ip=\".\$curren\
    tIP) check-certificate=yes as-value output=user];\r\
    \n    :if (\$response->\"status\" = \"finished\") do={\r\
    \n        :if (\$response->\"data\" = \"OK\") do={\r\
    \n            :log info (\"Successfully updated DuckDNS with new IP \".\$c\
    urrentIP);\r\
    \n        } else={\r\
    \n            :log error (\"Failed to update DuckDNS with new IP \".\$curr\
    entIP);\r\
    \n        }\r\
    \n    }\r\
    \n}\r\
    \n"
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Thralas schreef op maandag 13 september 2021 @ 19:42:
Containers zijn een stuk meer light weight omdat ze gewoon onder het bestaande OS draaien: dat moet ook wel, gezien de beperkte resources op veel routerboards.

[...]

Het staat inderdaad wat verder weg van de corefunctionaliteit van een router; maar opzich is ook dat niet vreemd; veel NAS-fabrikanten bieden het tegenwoordig ook aan. Vergeleken met een NAS (of zelfs Raspberry Pi met Docker) is het natuurlijk al snel een stuk beperkter.
Ik vind het persoonlijk niet zo'n gek idee.

Met containers kun je kritieke of vitale functies scheiden van anderen.
Zo zou bv DNS, Routing of de Firewall in separate containers kunnen draaien. Mocht de één gecomprimeerd worden, kan men niet zomaar "uitbreken" naar de ander.

Of het idd wenselijk is dat ze zich nu vooral hierop richten is een ander verhaal ;)

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • FreshMaker
  • Registratie: december 2003
  • Niet online
sambaloedjek schreef op zondag 12 september 2021 @ 19:40:
Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container
Ik ben vooral benieuwd naar de implementatie van Zerotier ...
Als dat een beetje 'lekker' gaat werken op een glasverbinding, is dat ideaal om een drietal locaties te voorzien van een groter netwerk.

  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
Thasaidon schreef op dinsdag 14 september 2021 @ 08:19:
[...]

Ik vind het persoonlijk niet zo'n gek idee.

Met containers kun je kritieke of vitale functies scheiden van anderen.
Zo zou bv DNS, Routing of de Firewall in separate containers kunnen draaien. Mocht de één gecomprimeerd worden, kan men niet zomaar "uitbreken" naar de ander.

Of het idd wenselijk is dat ze zich nu vooral hierop richten is een ander verhaal ;)
Het zijn geen containers waarin hun eigen functionaliteiten in draaien, maar volledige docker containers.

  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Raymond P schreef op maandag 13 september 2021 @ 10:23:
[...]
Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.
pcq-queue werkt dus ook niet.

Zoals ik al zei ligt dat denk ik aan de pre-routing en post-routing die in de Mangle gebruikt word.
Mijn Hap AC2 draait feitelijk als switch en niet als router in het netwerk.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
@Thasaidon Je hebt je ports wel in een bridge hangen neem ik aan?
En firewall staat aan voor bridge? (Bridge>settings>use ip firewall)

Als je de cpu core(s) niet erbij betrekt dan zal verkeer wat over de switch core(s) gaat niets meekrijgen van queues.

- knip -


  • Thasaidon
  • Registratie: februari 2006
  • Laatst online: 18:52

Thasaidon

If nothing goes right, go left

Raymond P schreef op woensdag 15 september 2021 @ 08:15:
@Thasaidon Je hebt je ports wel in een bridge hangen neem ik aan?
En firewall staat aan voor bridge? (Bridge>settings>use ip firewall)

Als je de cpu core(s) niet erbij betrekt dan zal verkeer wat over de switch core(s) gaat niets meekrijgen van queues.
_/-\o_ HELD! _/-\o_

Ja, alle poorten waren onderdeel van de "bridge1". Maar...
de "use IP Firewall" stond idd niet aan voor de bridge. :)
Nadat ik deze aan gezet had werkte het, ondanks dat er dus geen enkele firewall rule aanwezig is.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


  • Thralas
  • Registratie: december 2002
  • Laatst online: 18:53
TheExperiment schreef op maandag 13 september 2021 @ 20:38:
Ik zie in de bridge toch bij alle poorten een H staan. Ik heb me vooral op de filmpjes/uitleg van https://www.wirelessinfo.be/ gebasseerd.
Op welke poort zit de server?

Zo te zien gebruik je een 802.3ad bond voor je NAS. Ik vrees echter dat de CRS1XX dat niet ondersteunt op z'n switch chip.
Warning: Don't use bonding interfaces on CRS1xx/CRS2xx series devices, bonding interface does NOT use the built-in Switch Chip to create aggregated link group and will overload the CPU instantly. For CRS series device use only port trunking.
Ik vermoed dat als je de bond weghaalt je - ietwat ironisch - gewoon line rate haalt.

  • TheExperiment
  • Registratie: april 2009
  • Nu online
Thralas schreef op woensdag 15 september 2021 @ 09:37:
[...]


Op welke poort zit de server?


Zo te zien gebruik je een 802.3ad bond voor je NAS. Ik vrees echter dat de CRS1XX dat niet ondersteunt op z'n switch chip.


[...]


Ik vermoed dat als je de bond weghaalt je - ietwat ironisch - gewoon line rate haalt.
De NAS stond op eth 21 & 22. Als ik de FTP startte ging de CPU naar 60-70%. Ik heb de bond verwijderd maar de snelheid blijft nog altijd rond de 115MB/s hangen. De CPU load is nu wel maar 2% dus op zich zowieso een verbetering maar dus nog niet qua snelheid.

  • lolgast
  • Registratie: november 2006
  • Laatst online: 21:26
@TheExperiment
115MB/s is toch ook gewoon 1Gbit?

  • TheExperiment
  • Registratie: april 2009
  • Nu online
|:( gelijk heb je. Bedankt voor het opmerken. 8)7


@Raymond P bedankt voor de info over de bond die niet via de switch chip gaat op de CRS125, scheelt nu toch wel wat CPU load.

  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
Dat was @Thralas, maar er zat inderdaad een relatie tussen de posts. :)
Ik had wel een donkerbruin vermoeden maar hoe/waar load naar CPU gaat verschilt per device/serie.

- knip -


  • amx
  • Registratie: december 2007
  • Laatst online: 18:10
Wellicht handig voor degenen in dit topic:

Microtik routers worden actief misbruikt voor een botnet van ongekende kracht (20 miljoen+ requests per seconde)

Microtik heeft hier zelf een security recommendation voor gegeven:

https://heimdalsecurity.c...sures-shared-by-mikrotik/

Mēris Botnet Mitigation Measures

In a blog post that was released yesterday, the MikroTik enterprise shared some Mēris botnet mitigation measures intended to remove this botnet from the compromised gateways.

Clients should make a habit of using passwords that are strong enough in order to stop brute force-attacks.
As a general ruler, users should make sure that their MikroTik devices are up to date. This way, CVE-2018-14847 Winbox exploits, normally used in its attacks by this botnet will be blocked.
Remote access should be carefully managed, only by using secured VPN services (for instance, IPsec).
The trust in local networks should be doubted as a weak password or a lack of passwords would be a clear path for hackers to connect to users’ routers.
RouterOS configuration should be checked in terms of unknown settings.

Since the malware tries to perform Mikrotik device reconfiguration, the company also recommended the below plan:

Configuration to look out for and remove:

System -> Scheduler rules that execute a Fetch script. Remove these.

IP -> Socks proxy. If you don’t use this feature or don’t know what it does, it must be disabled.

L2TP client named “lvpn” or any L2TP client that you don’t recognize.

Input firewall rule that allows access for port 5678.

Source

In 2018, MikroTik RouterOS was impacted by a vulnerability I mentioned above, CVE-2018-14847. The team of experts said in their blog post that the new wave of 2021 DDoS attacks involving Mēris botnet made use of the same impacted routers from 2018. The issue lies in the fact that if hackers obtained the password in 2018, even if CVE-2018-14847 is patched for a long time, a mere upgrade is not enough.

Unfortunately, closing the vulnerability does not immediately protect these routers. If somebody got your password in 2018, just an upgrade will not help. You must also change the password, re-check your firewall if it does not allow remote access to unknown parties, and look for scripts that you did not create.

  • superyupkent
  • Registratie: juni 2001
  • Laatst online: 19:53
Goed om dit hier te delen, wellicht wel goed om aan te geven dat je dit lek alleen kan misbruiken als je:

--Al 3 jaar je MT niet hebt gepatched
--Je firewall/address lists open toegang geeft tot winbox management vanaf internet
--Je na eventueel patchen je ww niet hebt aangepast

  • Raymond P
  • Registratie: september 2006
  • Laatst online: 21:13
@superyupkent Ik had toen dit bekend werd 1 device in beheer die cracked was. Daarop was zoals hierboven staat een scriptje toegevoegd aan de scheduler.

Alleen updaten en wachtwoord veranderen is niet voldoende als je toen je device live had met winbox exposed.

- knip -


  • superyupkent
  • Registratie: juni 2001
  • Laatst online: 19:53
Klopt,

Als je (om welke reden dan ook) je device niet meer kan vertrouwen is het advies om hem te flashen met Netinstall. Dat was het advies bij de vorige exploit en nu weer. Mijn punt uit mijn vorige post was meer dat je met een goede set filterregels (en geen blank password) niet gekraakt kon worden met de exploit uit 2018 en deze Meris.

  • amx
  • Registratie: december 2007
  • Laatst online: 18:10
superyupkent schreef op vrijdag 17 september 2021 @ 16:09:
Klopt,

Als je (om welke reden dan ook) je device niet meer kan vertrouwen is het advies om hem te flashen met Netinstall. Dat was het advies bij de vorige exploit en nu weer. Mijn punt uit mijn vorige post was meer dat je met een goede set filterregels (en geen blank password) niet gekraakt kon worden met de exploit uit 2018 en deze Meris.
Klinkt alsof je het goed voor elkaar hebt. Al wil ik wel delen dat ik niet de gewoonte heb om na een upgrade van een apparaat of systeem daarvan het wachtwoord te wijzigen. En met name omdat op Tweakers Microtik vermoedelijk terecht aangeprezen wordt als krachtige router voor thuis of bedrijf met veel configuratieopties vind ik het een wat koele reactie. Wat niks afdoet aan de validiteit van de oplossing die je beschrijft. Hopelijk is de schade van niet gepatchte systemen uiteindelijk maar beperkt. Volgens de informatie die ik als betrouwbaar beschouw is het aantal systemen dat inderdaad slachtoffer is van deze exploit vrij groot.

Ik bedoel, kijk naar hoeveel reacties er zijn op de waarschuwing op de originele winbox exploit in 2018 in ditzelfde topic Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Een paar mensen zeggen: updaten joh. Nergens wordt gerept over een password change. Wel lees ik meerdere keren dat het /quote/ Easy peasy Lemon squeezy is om via winbox van alles in te stellen.

Ik kan alleen maar herhalen dat ik van wat ik heb gelezen het niet volgen van de advisory van Microtik zelf tenzij je zeker bent dat je systeem correct én volledig gepatcht is, je vrij zeker risico loopt dat je apparaat kwetsbaar blijft.

  • FreshMaker
  • Registratie: december 2003
  • Niet online
amx schreef op vrijdag 17 september 2021 @ 22:43:
[...]


Klinkt alsof je het goed voor elkaar hebt. Al wil ik wel delen dat ik niet de gewoonte heb om na een upgrade van een apparaat of systeem daarvan het wachtwoord te wijzigen. En met name omdat op Tweakers Microtik vermoedelijk terecht aangeprezen wordt als krachtige router voor thuis of bedrijf met veel configuratieopties vind ik het een wat koele reactie. Wat niks afdoet aan de validiteit van de oplossing die je beschrijft. Hopelijk is de schade van niet gepatchte systemen uiteindelijk maar beperkt. Volgens de informatie die ik als betrouwbaar beschouw is het aantal systemen dat inderdaad slachtoffer is van deze exploit vrij groot.

Ik bedoel, kijk naar hoeveel reacties er zijn op de waarschuwing op de originele winbox exploit in 2018 in ditzelfde topic Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Een paar mensen zeggen: updaten joh. Nergens wordt gerept over een password change. Wel lees ik meerdere keren dat het /quote/ Easy peasy Lemon squeezy is om via winbox van alles in te stellen.

Ik kan alleen maar herhalen dat ik van wat ik heb gelezen het niet volgen van de advisory van Microtik zelf tenzij je zeker bent dat je systeem correct én volledig gepatcht is, je vrij zeker risico loopt dat je apparaat kwetsbaar blijft.
Niet om aan te vallen, of je neer te halen,
Maar eigenlijk is het best wel rudimentair om bij twijfel wachtwoorden aan te passen.

Grootste nadeel bij MT is wel dat alle tools 'makkelijk' worden aangeboden op de landingpage.
Vooral als je al gecompromitteerd bent, is het werkelijk afsluiten lastig.

Uit wantrouwen veranderd mijn routerWW toch met regelmaat, alleen al omdat ik opgroeiende kinderen heb, waarvan er één redelijk inventief is, en graag dingen uittest.
( je kan makkelijk vinden hoe je portforwards instelt voor een bepaalde app / game ;) )

Dus ik moet regelmatig mijn config nalopen op dit soort dingen, en of er iets niet is aangepast :+

  • orvintax
  • Registratie: maart 2018
  • Laatst online: 00:33
FreshMaker schreef op vrijdag 17 september 2021 @ 23:58:
[...]


Niet om aan te vallen, of je neer te halen,
Maar eigenlijk is het best wel rudimentair om bij twijfel wachtwoorden aan te passen.

Grootste nadeel bij MT is wel dat alle tools 'makkelijk' worden aangeboden op de landingpage.
Vooral als je al gecompromitteerd bent, is het werkelijk afsluiten lastig.

Uit wantrouwen veranderd mijn routerWW toch met regelmaat, alleen al omdat ik opgroeiende kinderen heb, waarvan er één redelijk inventief is, en graag dingen uittest.
( je kan makkelijk vinden hoe je portforwards instelt voor een bepaalde app / game ;) )

Dus ik moet regelmatig mijn config nalopen op dit soort dingen, en of er iets niet is aangepast :+
Dus jouw kind kan aan het management VLAN en heeft daarnaast de kennis/horsepower om jouw MT router te bruteforcen?

  • FreshMaker
  • Registratie: december 2003
  • Niet online
Kind = 19, en ondanks dat het netwerk op hoge kwaliteit is ingeregeld, is het geen enterprise omgeving.

Dus ja, hij heeft toegang tot een subset van het wachtwoordbeheer, en kan redelijk 'vrij' zijn gang gaan.
De opvoeding is gestoeld op vertrouwen, en zoals bekend - vertrouwen is goed, controle is beter !

Zo leert hij omgaan met de apparatuur, wat net zo waardevol is.
Genoeg mensen in de wereld die geen idee hebben wat hun PC uitspookt en in blinde paniek topics openen links en rechts omdat er ergens een rood streepje verschijnt, ipv een blauw vierkantje

  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
afgelopen dagen heb ik snelheids testen gedaan, oa. bij fast.com en xs4all speednet, en het viel me op dat ik met mijn rb4011 maximaal 100Mbps haal , bij een tmobile 1000Mbps abbo.
als ik test met mijn zyxel modem van tmobile, haal ik bij dezelfde testen ca 900Mbps. om zeker te weten dat het niet aan de lijn lag, heb ik deze testen meerdere keren uitgevoerd, en gewisseld tussen de MT en mijn Zyxel, met elke keer hetzelfde resultaat.

staat er in mijn config iets niet goed, wat ervoor zorgt dat ik niet 1000Mbps kan halen ?

huidige setup:
- glasvezel -> ONT -> UTP naar MT ether 1
- 3 x vlan + 1 VPN
- test via vlanID 1, ether 6 bekabeld

in het status overzicht van ether1-WAN in winbox staat bij rate 100Mbps, maar /interface ethernet print detail meldt speed 1Gbps

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
# sep/18/2021 09:51:59 by RouterOS 6.48.4
# software id = 3RDL-S6FU
#
# model = RB4011iGS+
# serial number = D4480EF9687B
/interface bridge
add fast-forward=no name=bridge-local vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-TV
set [ find default-name=ether3 ] name=ether3-Chromecast
set [ find default-name=ether4 ] name=ether4-MiBox
set [ find default-name=ether5 ] name=ether5-Denon
set [ find default-name=ether9 ] name=ether9-RB260GSP
set [ find default-name=ether10 ] name=ether10-R500 poe-priority=1
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1-WAN name=vlan-internet vlan-id=300
add comment="IOT network" interface=bridge-local name=vlan110 vlan-id=110
add comment="guest network" interface=bridge-local name=vlan120 vlan-id=120
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="WAN interface" name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=vpn
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=vpn
/ip ipsec peer
add exchange-mode=ike2 name=vpn passive=yes profile=vpn
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=vpn pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.0.180-192.168.0.254
add name=pool-vlan110 ranges=192.168.110.180-192.168.110.254
add name=vpn ranges=10.22.22.10-10.22.22.20
add name=pool-vlan120 ranges=192.168.120.180-192.168.120.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local lease-time=5m name=dhcp-local
add address-pool=pool-vlan110 disabled=no interface=vlan110 lease-time=5m name=dhcp-vlan110
add address-pool=pool-vlan120 disabled=no interface=vlan120 lease-time=5m name=dhcp-vlan120
/ip ipsec mode-config
add address-pool=vpn name=vpn
/interface bridge port
add bridge=bridge-local interface=ether2-TV pvid=110
add bridge=bridge-local interface=ether3-Chromecast pvid=110
add bridge=bridge-local interface=ether4-MiBox pvid=110
add bridge=bridge-local interface=ether5-Denon pvid=110
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether9-RB260GSP
add bridge=bridge-local interface=ether10-R500
add bridge=bridge-local interface=sfp-sfpplus1
add bridge=bridge-local interface=ether8
/interface bridge vlan
add bridge=bridge-local tagged=ether10-R500,ether9-RB260GSP,bridge-local untagged=ether2-TV,ether3-Chromecast,ether4-MiBox,ether5-Denon vlan-ids=110,120
/interface list member
add interface=bridge-local list=LAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=192.168.110.1/24 interface=vlan110 network=192.168.110.0
add address=192.168.120.1/24 interface=vlan120 network=192.168.120.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1d
/ip dhcp-client
add disabled=no interface=vlan-internet use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.110.80 client-id=1:2c:ab:33:9a:29:4 mac-address=2C:AB:33:9A:29:04 server=dhcp-vlan110
add address=192.168.110.16 client-id=1:8c:79:f5:93:ef:14 mac-address=8C:79:F5:93:EF:14 server=dhcp-vlan110
add address=192.168.110.15 client-id=1:0:5:cd:f5:8d:58 mac-address=00:05:CD:F5:8D:58 server=dhcp-vlan110
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.101,192.168.0.11 gateway=192.168.0.1 netmask=24
add address=192.168.110.0/24 dns-server=192.168.0.101 gateway=192.168.110.1 netmask=24
add address=192.168.120.0/24 dns-server=192.168.0.101 gateway=192.168.120.1 netmask=24
/ip firewall address-list
add address=192.168.100.0/24 list=localNet
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 list=not_in_internet
add address=192.168.0.0/16 list=not_in_internet
add address=10.0.0.0/8 list=not_in_internet
add address=169.254.0.0/16 list=not_in_internet
add address=127.0.0.0/8 list=not_in_internet
add address=224.0.0.0/4 list=not_in_internet
add address=198.18.0.0/15 list=not_in_internet
add address=192.0.0.0/24 list=not_in_internet
add address=192.0.2.0/24 list=not_in_internet
add address=198.51.100.0/24 list=not_in_internet
add address=203.0.113.0/24 list=not_in_internet
add address=100.64.0.0/10 list=not_in_internet
add address=240.0.0.0/4 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=255.255.255.255 list=lan_ip
add address=10.22.22.10-10.22.22.20 list="untrusted VLAN"
add address=192.168.0.0/24 comment="Trusted LAN " list=trusted-LAN
add address=192.168.110.0/24 list="untrusted VLAN"
add address=192.168.120.0/24 list="untrusted VLAN"
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="VLAN DNS access" dst-address=192.168.0.101 dst-port=53 protocol=udp src-address-list="untrusted VLAN"
add action=accept chain=forward dst-address=192.168.0.101 dst-port=53 protocol=tcp src-address-list="untrusted VLAN"
add action=accept chain=forward comment="Longap One" dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop from VLAN to LAN" connection-state=!established dst-address-list=trusted-LAN src-address-list="untrusted VLAN"
add action=drop chain=forward comment="Drop from VLAN to VLAN" dst-address-list="untrusted VLAN" src-address-list="untrusted VLAN"
add action=accept chain=input comment="Allow IPSEC/IKE2 connections" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="redirect port for Longap One" dst-port=44158 protocol=tcp to-addresses=192.168.0.19 to-ports=44158
add action=masquerade chain=srcnat comment="Masquerade VPN traffic so devices see connections made from router IP" src-address=10.22.22.10-10.22.22.20
/ip ipsec identity
add auth-method=digital-signature certificate="RB4011 server" comment="RB4011 client1" generate-policy=port-strict match-by=certificate mode-config=vpn peer=vpn policy-template-group=vpn remote-certificate="RB4011 client1"
/ip ipsec policy
add dst-address=0.0.0.0/0 group=vpn proposal=vpn src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="MikroTik RB4011iGS+RM"
/system ntp client
set enabled=yes primary-ntp=64.99.80.121 secondary-ntp=20.101.57.9
/system scheduler
add interval=1w name=run-7d on-event=backup policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=aug/19/2021 start-time=09:07:12
/system script
add dont-require-permissions=no name=backup owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/sys backup save name=([/system identity get name]);\r\n/export file=([/system identity get name]);"
@ronjon /interface ethernet set speed=1Gbps is je geconfigureerde poortsnelheid indien auto-negotiation op no staat. Je zou eens kunnen proberen om die (auto-negotiation) als test uit te zetten. Meer waarschijnlijk is de kabel niet helemaal goed. MikroTik kan erg gevoelig zijn voor slechtere kabels.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • amx
  • Registratie: december 2007
  • Laatst online: 18:10
Ik heb even gekeken naar de oorspronkelijke reacties in 2018 hier op Tweakers:
Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Er worden 3 reacties aan gewijd, waaronder wauw dat is ernstig, updaten (nergens wordt gerept over password change) en ach het valt wel mee zolang je winbox niet open hebt staan.

Ook kan ik geen nieuwsbericht op Tweakers noch op HWI terugvinden, wel op security.nl.

winbox is als ik het goed heb gelezen een laagdrempelige tool. Ik vrees dat juist het soort gebruikers waar Winbox belangrijk voor is, het ook handig vinden om hun Mikrotik van overal te kunnen beheren

Zie ook:
dovo in "[MikroTik-apparatuur] Ervaringen & Discussie"
Stephanoid in "[MikroTik-apparatuur] Ervaringen & Discussie"
The Executer in "[MikroTik-apparatuur] Ervaringen & Discussie"
Freekers in "[MikroTik-apparatuur] Ervaringen & Discussie" (DMZ zucht)
SpikeHome in "[MikroTik-apparatuur] Ervaringen & Discussie"
The Executer in "[MikroTik-apparatuur] Ervaringen & Discussie" (wachtwoord niet gewijzigd)
Ginz in "[MikroTik-apparatuur] Ervaringen & Discussie"

uiteindelijk is het advies van Mikrotik eenvoudig samen te vatten:
Unfortunately, closing the old vulnerability does not immediately protect these routers. If somebody got your password in 2018, just an upgrade will not help. You must also change password, re-check your firewall if it does not allow remote access to unknown parties, and look for scripts that you did not create.

[Voor 4% gewijzigd door amx op 18-09-2021 10:46]


  • ronjon
  • Registratie: oktober 2001
  • Laatst online: 16:20
nescafe schreef op zaterdag 18 september 2021 @ 10:28:
@ronjon /interface ethernet set speed=1Gbps is je geconfigureerde poortsnelheid indien auto-negotiation op no staat. Je zou eens kunnen proberen om die (auto-negotiation) als test uit te zetten. Meer waarschijnlijk is de kabel niet helemaal goed. MikroTik kan erg gevoelig zijn voor slechtere kabels.
zonet even de kabel naar de ONT gewisseld, en inderdaad probleem opgelost. 8)7
thx !
Pagina: 1 ... 27 28 29 Laatste


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee