[MikroTik-apparatuur] Ervaringen & Discussie

vrijdag 13 augustus 2021 00:17

Acties:

0 Henk 'm!

ik ben maar met een schone lei begonnen ...

alle poorten (eth2 t/m 10) zitten in bridge local
hoe krijg ik t voor elkaar om op eth10 zowel vlan 1 als ook vlan 110 door te geven ?
in bridge-port eth10 staat er al standaard pvid 1

vrijdag 13 augustus 2021 01:55

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Precies zoals ik al zei: maak een vlan interface (/interface vlan) aan op de bridge. Op de bridge zelf zie je dan alles dat op de poorten untagged is, op de vlan interface alles dat tagged 110 is.

Dat is de essentie. Filtering is een aanvullende beveiligingsmaatregel, maar niet nodig om het te laten werken. Die PVID is pas relevant als je filtering aanzet.

vrijdag 13 augustus 2021 08:06

Acties:

0 Henk 'm!

ronjon

de interface is aangemaakt.

code:

 #   BRIDGE         VLAN-IDS  CURRENT-TAGGED         CURRENT-UNTAGGED        
 0 D bridge-local   1                                bridge-local            
                                                     ether5                  
                                                     ether6                  
                                                     ether7                  
                                                     ether10-R500            
                                                     ether4                  
 1   bridge-local   110       ether10-R500

daarnaast ook een addres aangemaakt, op interface vlan110

code:

 #   ADDRESS            NETWORK         INTERFACE                            
 0   192.168.0.1/24     192.168.0.0     bridge-local                         
 1 D x.x.x.x/22 x.x.x.x vlan-internet                        
 2   192.168.110.1/24   192.168.110.0   vlan110

en een dhcp server aangemaakt

code:

1
2
3

 #    NAME    INTERFACE    RELAY           ADDRESS-POOL    LEASE-TIME ADD-ARP
 0    dhcp... bridge-local                 dhcp-local      5m        
 1    dhcp110 vlan110                      pool-vlan110    5m

en bijbehorende ip pool

code:

1
2
3

# NAME                                       RANGES                         
 0 dhcp-local                                 192.168.0.180-192.168.0.254    
 1 pool-vlan110                               192.168.110.180-192.168.110.254

helaas nog steeds geen wifi als ik verbind met AP op vlan110

vrijdag 13 augustus 2021 10:14

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Kun je de config uit je eerdere post nog een keer actualiseren? En zie je nu iets van verkeer met de packet sniffer en/of torch?

Het ziet er op zich niet verkeerd uit, wat suggereert dat er nog iets anders niet klopt. Zie wel mijn eerdere opmerking over bridge vlans die je het beste links kunt laten liggen tot het werkt (bridge-local mist op 110, maar dat zou niet uit moeten maken als je vlan filtering niet aan hebt staan).

vrijdag 13 augustus 2021 10:33

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Volgens mij best practice om bij meerdere vlan's geen gebruik te maken van het default vlan (1). Als je je echt wat wil verdiepen in vlan's, @ronjon , neem dan deze posts door: https://forum.mikrotik.com/viewtopic.php?t=143620

Ik zie nu dat ik je al naar deze posts had verwezen. Als je er even de tijd ervoor neemt is het echt niet heel lastig.

[ Voor 21% gewijzigd door lier op 13-08-2021 10:40 ]

Eerst het probleem, dan de oplossing

vrijdag 13 augustus 2021 11:33

Acties:

0 Henk 'm!

ronjon

Thralas schreef op vrijdag 13 augustus 2021 @ 10:14:
Kun je de config uit je eerdere post nog een keer actualiseren? En zie je nu iets van verkeer met de packet sniffer en/of torch?

Het ziet er op zich niet verkeerd uit, wat suggereert dat er nog iets anders niet klopt. Zie wel mijn eerdere opmerking over bridge vlans die je het beste links kunt laten liggen tot het werkt (bridge-local mist op 110, maar dat zou niet uit moeten maken als je vlan filtering niet aan hebt staan).

nu heb ik net bridge-local getagged op vlan110 en werkt t $_/-\o_$

wat doet vlan-filtering, en moet deze aan ?

code:

# aug/13/2021 11:17:21 by RouterOS 6.48.3
# software id = 3RDL-S6FU
#
# model = RB4011iGS+
# serial number = D4480EF9687B
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether9 ] name=ether9-RB260GSP
set [ find default-name=ether10 ] name=ether10-R500 poe-priority=1
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1-WAN name=vlan-internet vlan-id=300
add interface=bridge-local name=vlan110 vlan-id=110
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="WAN interface" name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-local ranges=192.168.0.180-192.168.0.254
add name=pool-vlan110 ranges=192.168.110.180-192.168.110.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local lease-time=5m name=dhcp-local
add address-pool=pool-vlan110 disabled=no interface=vlan110 lease-time=5m name=dhcp110
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9-RB260GSP
add bridge=bridge-local interface=ether10-R500
add bridge=bridge-local interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge-local tagged=ether10-R500,ether9-RB260GSP,bridge-local vlan-ids=110
/interface list member
add interface=bridge-local list=LAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=192.168.110.1/24 interface=vlan110 network=192.168.110.0
/ip dhcp-client
add disabled=no interface=vlan-internet use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.0.80 client-id=1:2c:ab:33:9a:29:4 mac-address=2C:AB:33:9A:29:04 server=dhcp-local
add address=192.168.0.15 client-id=1:0:5:cd:f5:8d:58 mac-address=00:05:CD:F5:8D:58 server=dhcp-local
add address=192.168.0.19 client-id=1:0:d:b9:5a:e6:84 mac-address=00:0D:B9:5A:E6:84 server=dhcp-local
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.0.1 netmask=24
add address=192.168.110.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.110.1
/ip firewall address-list
add address=192.168.100.0/24 list=localNet
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=192.168.100.0/24 list=lan_ip
add address=255.255.255.255 list=lan_ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="redirect port for Longap One" dst-port=44158 protocol=tcp to-addresses=192.168.0.19 to-ports=44158
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="MikroTik RB4011iGS+RM"
/system ntp client
set enabled=yes primary-ntp=64.99.80.121 secondary-ntp=20.101.57.9

lier schreef op vrijdag 13 augustus 2021 @ 10:33:
Volgens mij best practice om bij meerdere vlan's geen gebruik te maken van het default vlan (1). Als je je echt wat wil verdiepen in vlan's, @ronjon , neem dan deze posts door: https://forum.mikrotik.com/viewtopic.php?t=143620

Ik zie nu dat ik je al naar deze posts had verwezen. Als je er even de tijd ervoor neemt is het echt niet heel lastig.

ik heb die post al (meerdere) keren doorgelezen. de theorie snap ik wel, alleen hoe het in de praktijk te brengen is een volgende stap

vrijdag 13 augustus 2021 15:45

Acties:

0 Henk 'm!

Serefsiz

Hopelijk kan iemand mij helpen met het volgende:

Is er iemand die een werkende backup script voor de config van een mikrotik heeft?
Ik wil graag de config opslaan naar een netwerkschijf om de x dagen

Via google wel wat gevonden maar helaas niet werkend gekregen.

zaterdag 14 augustus 2021 13:33

Acties:

+1 Henk 'm!

lolgast

@Serefsiz Wat heb je wel en waar loopt je tegenaan? Volgens mij zijn er 2 (3?) gedocumenteerde opties om en bestand geautomatiseerd te versturen vanaf je Mikrotik:
- Versturen via e-mail
- Versturen via (S)FTP

maandag 16 augustus 2021 16:36

Acties:

+2 Henk 'm!

Fritti

Na een aantal weekenden er aan besteed te hebben lijkt het mij nu helemaal gelukt om alles om te zetten naar MikroTik hardware. Daarmee lijkt ook de STB foutmelding die ik eens in de zoveel tijd had ook weg te zijn, alhoewel ik nog een paar dagen moet wachten om dat helemaal zeker te weten.

Ik heb al eerder in deze thread het idee gezien om een keer een up-to-date configuratie neer te zetten omdat die van netwerkje.com niet altijd de best practices heeft. Ook vond ik het zelf lastig om een configuratie met meerdere VLANs, nodig voor bv. guest WiFi, van scratch af op te bouwen.

Daarom heb ik ook de tijd genomen om al mijn bevindingen toe te voegen aan een (opgeschoonde) export van zowel mijn RB4011 als 1 van mijn nieuwe APs (een hAP AC^2).

Deze van veel commentaar voorziene configuraties kun je vinden op mijn github. Ik hoor het graag als er storende fouten in staan. Vooral het IPv6 firewall gedeelte ben ik nog niet over uit, maar alle feedback/commentaar is welkom.

Hopelijk is dit ook voor anderen handig!

woensdag 18 augustus 2021 11:37

Acties:

0 Henk 'm!

lolgast

Gisteren ROS7b6 op mijn test hEX geïnstalleerd. Met mijn beperkte omgeving kom ik geen problemen vooralsnog. Load lijkt hetzelfde te zijn en de config werkt 100%

woensdag 18 augustus 2021 11:50

Acties:

0 Henk 'm!

Shadow_Zero

Ik kwam er achter dat mijn RB4011 blijkbaar al een paar updates niet geïnstalleerd heeft. Ik ben nu zoekende wat er precies mis gaat. Ik doe een download&install via WebFig en dat lijkt allemaal goed te gaan, maar uiteindelijk blijft hij op de oude versie staan:
Installed Version 6.44.3
Latest Version 6.48.3

In de log staat:

can not install routeros-mipsbe-6.45beta54: it is not made for arm, but for mips
omitting package multicast-6.47.10: newer package is already provided
omitting package multicast-6.47.8: newer package is already provided

Iemand zo een idee wat er aan scheelt en hoe het op te lossen?

woensdag 18 augustus 2021 12:16

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Auto update is natuurlijk altijd spannend...daarnaast lijkt het erop dat je ook nog uit de beta releases put. Misschien goed om eens op LTS te gaan zitten en kijken of je daarmee kan (auto) updaten?

De eerste foutmelding begrijp ik wel, je wil een mipsbe package op een ARM device draaien. Dat gaat natuurlijk niet lukken. Zou je de juiste package eens kunnen proberen?

De tweede en derde melding lijken voort te komen uit additionele packages waarbij de versie controle niet goed gaat.

Overigens...6.44.3 is volgens mij de factory versie (en is echt ancient en kraakbaar), volgens mij is je router nog nooit geupdate. Of gaat dit om de firmware en niet de RouterOS versie?

[ Voor 16% gewijzigd door lier op 18-08-2021 12:17 ]

Eerst het probleem, dan de oplossing

woensdag 18 augustus 2021 13:11

Acties:

0 Henk 'm!

Shadow_Zero

Ik durf zo niet te zeggen of het de factory RouterOS versie is, zou kunnen (ik was ook nog niet zo ver dat er elders blijkbaar de firmware update zit). Ik heb deze tweedehands gekocht en nog niet zo lang. Heb wel diverse malen Auto Update gedraaid, maar kan me niet heugen dat die op de oude versie bleef staan, maar blijkbaar overheen gekeken.

LTS heb ik ook geprobeerd, maar die geeft dezelfde meldingen. Juiste package proberen moet ik dan manual doen? (bij Auto zie ik verder geen keuze tussen mipsbe of wat anders)

EDIT:
Ik ben nu zo ver dat ik al die packages zie in /File List
Moeten ze daar ook allemaal blijven staan, of eenmaal gedraaid kunnen ze worden opgeschoond? Ik zie er nu 4 van routeros staan, waarvan ook die mipsbe.

[ Voor 18% gewijzigd door Shadow_Zero op 18-08-2021 15:33 ]

woensdag 18 augustus 2021 13:27

Acties:

+1 Henk 'm!

Hmmbob

Lijkt erop dat die oudere versies gewoon nog op je filesystem staan, en dat hij bij boot die packages afloopt en (terecht) concludeert dat er al een nieuwe versie geinstalleerd is. Je kan ze gewoon verwijderen van je files dus.

Sometimes you need to plan for coincidence

woensdag 18 augustus 2021 15:39

Acties:

0 Henk 'm!

Shadow_Zero

Oude packages opgeschoond en nu is de update geslaagd!
(vraag me af of die nog van de vorige eigenaar waren...)

Uit nieuwsgierigheid vraag ik me wel af waarom het mis gaat. Update stokt sowieso als er een verouderde versie, dan wel verkeerde build, staat, ook al staat het juist package er ook?

[ Voor 45% gewijzigd door Shadow_Zero op 18-08-2021 15:41 ]

woensdag 18 augustus 2021 16:08

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Wat zegt de logging? Het is (zo) een beetje in het duister tasten...
Werk je met Winbox?
Kan je /export hide-sensitive file=willekeurigebestandsnaam hier posten (eventueel de MAC adressen weghalen)?

Eerst het probleem, dan de oplossing

donderdag 19 augustus 2021 10:42

Acties:

0 Henk 'm!

ronjon

ik heb via een tutorial online een ipsec/ike2 vpn aangemaakt. onderdeel daarvan was het toevoegen van diverse rules aan de firewall.
nu ik de firewall rules zo bekijk, valt het me op dat er een aantal dubbelingen in staan. Kunnen deze zomaar verwijderd worden, of is er een goede reden waarom deze dubbelingen er zijn ?

code:

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow IPSEC/IKE2 connections" dst-port=500,4500 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
### onderstaand blok lijkt een copy van hierboven ? ######
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
############### end block #################
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
############### hier ook ipsec policy gelijk aan hierboven ##################
[b]add action=accept chain=forward comment="Accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec
############### end #####################
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158

dinsdag 24 augustus 2021 20:29

Acties:

0 Henk 'm!

geenwindows

vandaag de PowerBox Pro binnen gekregen.

heb al wat ervaring met Mikrotik apparatuur, enkel heb ik deze dan werkend met SwitchOS, nu heeft de powerbox enkel RouterOS.
Dacht het kan toch niet zo heel moeilijk zijn om RouterOS zo in te stellen als zijnde switch... Oh wat heb ik dat mis! kwam direct bij de "Quick Set", mode naar Bridge gezet, IP adres ingevuld en Apply Configuration...
niet helemaal zoals ik had verwacht, apparaat achter de powerbox krijgt inderdaad de netwerk instellingen van mijn netwerk, en kan het net op.
Enkel kan ik de powerbox zelf niet benaderen, en laat ik dat nou wel nodig hebben want Poe moet nog ingesteld worden.
Geenwindows gaat zich nog even wat verder verdiepen in de Mikrotik documentatie

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

dinsdag 24 augustus 2021 20:49

Acties:

0 Henk 'm!

Raymond P

@geenwindows Een MAC session geen optie om 'm een iptje te geven? Tabje Neighbors in Winbox.

- knip -

dinsdag 24 augustus 2021 20:50

Acties:

0 Henk 'm!

lolgast

@geenwindows Je kunt vanuit Winbox bij Neighbours de PowerBox toch wel vinden?

En, weet je of je met de interfaces/interface-list bezig bent geweest? Winbox zou standaard benaderbaar moeten zijn over alle interfaces

dinsdag 24 augustus 2021 20:54

Acties:

0 Henk 'm!

geenwindows

@Raymond P @lolgast Ik heb winbox niet gebruikt, niet beschikbaar voor Linux. Heb deze setup gewoon via de browser gedaan.
Ip adres van de powerbox heb ik gecontroleerd in de dhcp server van mijn eigen netwerk, hij is actief.
heb enkel de "Quick set" gebruikt.
denk dat ik de bridge setup maar geheel handmatig ga doen, blijkbaar gaat het daar fout.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

dinsdag 24 augustus 2021 20:56

Acties:

0 Henk 'm!

lolgast

@geenwindows Ik wil je aanbevelen toch gebruik te maken van Winbox. Oa door de mogelijkheid om via MAC-adres te kunnen verbinden, ipv per sé verbinding via IP te moeten hebben

Wellicht kunt je hier wat mee
https://snapcraft.io/winbox

dinsdag 24 augustus 2021 21:04

Acties:

0 Henk 'm!

geenwindows

lolgast schreef op dinsdag 24 augustus 2021 @ 20:56:
@geenwindows Ik wil je aanbevelen toch gebruik te maken van Winbox. Oa door de mogelijkheid om via MAC-adres te kunnen verbinden, ipv per sé verbinding via IP te moeten hebben

Wellicht kunt je hier wat mee
https://snapcraft.io/winbox

Ik heb een Win10 VM maar eens aangeslingerd. Winbox kan de powerbox niet eens vinden. f*ck die "Quick Set" en ga het wel handmatig doen.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

dinsdag 24 augustus 2021 21:05

Acties:

0 Henk 'm!

nescafe

Wifi

Evt kun je ook de MikroTik Pro app op je telefoon installeren, daarmee kun je ook via MAC-adres verbinden.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 24 augustus 2021 21:05

Acties:

+1 Henk 'm!

Raymond P

*Ik draai winbox zonder issues in Wine.

- knip -

dinsdag 24 augustus 2021 21:07

Acties:

0 Henk 'm!

lolgast

Ach, ik heb mijn hEX ook al tientallen keren (ok, lichtelijk overdreven, maar echt vaak) gereset naar default omdat ik er niet meer bij kon komen. Door schade en schande!

Morgen ga ik de Unifi USG weghalen en komt de hEX er te hangen. Op die manier wil ik zorgen dat tegen de tijd dat glas wordt opgeleverd ik enkel een sneller device hoef aan te schaffen en niet dán nog moet beginnen met leren

Enige dat ik (nog?) niet aan de gang lijk te hebben is mDNS van mijn ESP devices naar mijn reguliere VLAN, maar daar is ook wel omheen te werken.
Mogelijk 2 DHCP scopes in 1 subnet bijvoorbeeld. Dan is het met firewall rules ook nog eenvoudig te splitsen wat wel en niet naar buiten mag

[ Voor 11% gewijzigd door lolgast op 24-08-2021 21:12 ]

dinsdag 24 augustus 2021 21:13

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

geenwindows schreef op dinsdag 24 augustus 2021 @ 21:04:
Ik heb een Win10 VM maar eens aangeslingerd. Winbox kan de powerbox niet eens vinden. f*ck die "Quick Set" en ga het wel handmatig doen.

Winbox werkt prima onder Wine, soms duurt het alleen even voor hij hem ook op mac laat zien onder neighbors. Geduld.

Je kunt ook zelf het mac even oplezen (staat als het meezit op de sticket) en invullen, should work.

Verder: gebruik Safe Mode (zowel console als Winbox). Dan gebeurt dit nooit meer - behalve die keer dat je vergeet Safe Mode aan te zetten.

dinsdag 24 augustus 2021 21:14

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Raymond P schreef op dinsdag 24 augustus 2021 @ 21:05:
*Ik draai winbox zonder issues in Wine.

Dat werkt inderdaad perfect, Winbox is ook een stuk beter dan de webfig in mijn opinie.

https://dontasktoask.com/

dinsdag 24 augustus 2021 22:18

Acties:

0 Henk 'm!

geenwindows

winbox hoef ik niet in wine te draaien, de win10 VM krijgt met Winbox de powerbox niet gevonden, maar wanneer ik de laptop naar windows 7 boot en daarop winbox open ziet ie m wel. de laptop zit rechtstreeks aangesloten op de powerbox, kan nu ook weer toegang krijgen tot de beheer panel. we kunnen dus weer verder RouterOS onderzoeken/leren

note: de laptop en switch zitten nu in een geïsoleerde stukje netwerk, gezien Win7 EOL is.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

woensdag 25 augustus 2021 09:25

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

geenwindows schreef op dinsdag 24 augustus 2021 @ 22:18:
winbox hoef ik niet in wine te draaien, de win10 VM krijgt met Winbox de powerbox niet gevonden, maar wanneer ik de laptop naar windows 7 boot en daarop winbox open ziet ie m wel. de laptop zit rechtstreeks aangesloten op de powerbox, kan nu ook weer toegang krijgen tot de beheer panel. we kunnen dus weer verder RouterOS onderzoeken/leren

note: de laptop en switch zitten nu in een geïsoleerde stukje netwerk, gezien Win7 EOL is.

Mag ik vragen waarom je niet gewoon naar Windows 10 boot of het simpelweg met Wine runned zodat je jezelf niet moet bezighouden met een EOL OS?

https://dontasktoask.com/

donderdag 26 augustus 2021 10:56

Acties:

0 Henk 'm!

lolgast

Gisteren inderdaad de Mikrotik geplaatst ter vervanging van de USG. Ging eigenlijk vrij pijnloos, het enige dat ik inderdaad niet aan de gang krijg is mDNS of iets dat daar op lijkt. De Airprint printer zit daarom nu maar in het reguliere VLAN en voor alle ESP-devices heb ik voor nu maar A-records aangemaakt waardoor HomeAssistant ze wel kan vinden.

Ik zie in het firewall connection tabje dat er echt héél veel connecties openstaan vanaf de Unifi-controller:8080 naar mijn Unifi devices. Staan allen op established, dus het zal wel horen, maar kan iemand verifiëren/bevestiging dat dat normaal gedrag is?
Afbeeldingslocatie: https://images.lolgast.nl/uploads/big/0a9e7f2dd0dfc1e1a77420c42f49ea5d.png

Afbeeldingslocatie: https://images.lolgast.nl/uploads/big/0a9e7f2dd0dfc1e1a77420c42f49ea5d.png

Nevermind, ik heb een prerouting regel aangemaakt die deze verbindingen niet meer tracked. Van ruim 5500+ connecties naar +/- 200 gegaan. Lijkt me beter voor de langere termijn throughput

code:

1	action=notrack chain=prerouting comment="No Track Unifi Controller -> Devices" protocol=tcp src-address=192.168.4.84 src-port=8080

[ Voor 19% gewijzigd door lolgast op 26-08-2021 11:45 ]

donderdag 26 augustus 2021 13:40

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Ging eigenlijk vrij pijnloos, het enige dat ik inderdaad niet aan de gang krijg is mDNS of iets dat daar op lijkt.

Helaas zit dat (nog) niet in MikroTik. Althans, de laatste keer dat ik keek

https://dontasktoask.com/

donderdag 26 augustus 2021 13:49

Acties:

0 Henk 'm!

Vorkie

Bridges op de virtuele Mikrotik of niet?

KPN als ISP, dus PPPoE.
KPN IPTV heeft intern eigen VLAN, alleen voor de IPTV box.

In mijn hoofd zegt dat bridges onnodig zijn en dat ik beter per VLAN een interface kan aanmaken. Desnoods bij minder belangrijke netwerken een interface delen en daaronder VLAN's aanmaken.

Maar ik twijfel, volgens mij heb ik de IGMP proxy nodig, die moet ik als downstream toch dan IPTV interface geven.

Alle voorbeelden gebruiken namelijk bridges...

donderdag 26 augustus 2021 16:02

Acties:

+1 Henk 'm!

Zapp-it

Vorkie schreef op donderdag 26 augustus 2021 @ 13:49:
Bridges op de virtuele Mikrotik of niet?

KPN als ISP, dus PPPoE.
KPN IPTV heeft intern eigen VLAN, alleen voor de IPTV box.

In mijn hoofd zegt dat bridges onnodig zijn en dat ik beter per VLAN een interface kan aanmaken. Desnoods bij minder belangrijke netwerken een interface delen en daaronder VLAN's aanmaken.

Maar ik twijfel, volgens mij heb ik de IGMP proxy nodig, die moet ik als downstream toch dan IPTV interface geven.

Alle voorbeelden gebruiken namelijk bridges...

Ik kan alleen mijn inrichting ventileren want er zijn meerdere wegen die van Rome leiden 😉 (RB3011)

Lan-bridge met alle interfaces
Iptv-bridge met alleen iptv-vlan

DHCP client op de iptv-bridge , de distance hoeft niet aangepast te worden, dat kan je controleren in het scherm routes.

code:

1	add dhcp-options="Client vendor identification" disabled=no interface=iptv-bridge use-peer-dns=no use-peer-ntp=no

De volgende routes toevoegen

code:

1
2
3

add distance=1 dst-address=10.60.142.0/24 gateway=iptv-bridge
add distance=1 dst-address=213.75.167.0/24 gateway=iptv-bridge
add distance=1 dst-address=217.166.224.0/21 gateway=iptv-bridge

De 10.60.142.0/24 is van belang om de rp filter op strict te kunnen zetten, ik doe dit even uit mijn hoofd want het is alweer een tijd geleden dat ik dit geconfigureerd heb 😉.

Dan nog de igmp-proxy

code:

1 2	add alternative-subnets=x.x.x.x/24 interface=lan-bridge add alternative-subnets=213.75.112.0/21,213.75.167.0/24,217.166.224.0/21 interface=iptv-bridge upstream=yes

Ik hoop dat je er wat aan hebt en suc6!

dinsdag 31 augustus 2021 09:33

Acties:

+2 Henk 'm!

lolgast

Mattie112 schreef op woensdag 4 augustus 2021 @ 11:39:
Of beter nog gebruik een automatisch backup per email

code:

/export file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]);

/tool e-mail send to="router@youremail.nl" subject=([/system identity get name] . " Backup " . [/system clock get date]) file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc"); :delay 10;

/file rem [/file find name=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc")]; :log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])

En stel dat in op eens per week bijv via de script support

Ik dacht, ik ga dit ook gebruiken! Maar een /export neemt niet alles mee kwam ik achter. Eventuele certificaten bijvoorbeeld voor passwordless SSH (upload backup files) zitten er niet in. Dat komt waarschijnlijk doordat extra aangemaakte users er óók niet in zitten. Ik wil daarom /system backup gebruiken, maar die is weer niet op een ander device te gebruiken. Daarom onderstaande

code:

:global MailTo
:local FilePath ([/system identity get name] . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Attach [ :toarray "" ];

/ export file=$FilePath;
/ system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Attach ($Attach, ($FilePath . ".rsc"));
:set Attach ($Attach, ($FilePath . ".backup"));
/tool e-mail send to=$MailTo subject=([/system identity get name] . " Backup " . [/system clock get date]) file=$Attach; :delay 5;

:foreach File in=[ :toarray $Attach ] do={
   / file remove $File;
}

:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])

In de basis doet hij hetzelfde als jouw script, file maken, mailen en weer verwijderen. Maar in dit geval wordt zowel een backup als een export gemaakt. Backup voor als je besluit je eigen/zelfde device te restoren, export voor als je naar andere hardware gaat. Daarbij wacht hij netjes tot de backup-file is gemaakt voordat hij probeert te mailen om te voorkomen dat je met een lege bijlage (of geen bijlage) zit.
Ik heb de filenaam ook meteen in een variabele gehangen. Kost én minder resources, en je voorkomt problemen met afwijkende namen gedurende het draaien van het script.

dinsdag 31 augustus 2021 13:09

Acties:

0 Henk 'm!

Mattie112

Koel! Zal mijne van de week eens updaten hier mee

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

dinsdag 31 augustus 2021 13:45

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

lolgast schreef op dinsdag 31 augustus 2021 @ 09:33:
[...]

Ik dacht, ik ga dit ook gebruiken! Maar een /export neemt niet alles mee kwam ik achter. Eventuele certificaten bijvoorbeeld voor passwordless SSH (upload backup files) zitten er niet in. Dat komt waarschijnlijk doordat extra aangemaakte users er óók niet in zitten. Ik wil daarom /system backup gebruiken, maar die is weer niet op een ander device te gebruiken. Daarom onderstaande
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
:global MailTo
:local FilePath ([/system identity get name] . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Attach [ :toarray "" ];

/ export file=$FilePath;
/ system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Attach ($Attach, ($FilePath . ".rsc"));
:set Attach ($Attach, ($FilePath . ".backup"));
/tool e-mail send to=$MailTo subject=([/system identity get name] . " Backup " . [/system clock get date]) file=$Attach; :delay 5;

:foreach File in=[ :toarray $Attach ] do={
   / file remove $File;
}

:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])
In de basis doet hij hetzelfde als jouw script, file maken, mailen en weer verwijderen. Maar in dit geval wordt zowel een backup als een export gemaakt. Backup voor als je besluit je eigen/zelfde device te restoren, export voor als je naar andere hardware gaat. Daarbij wacht hij netjes tot de backup-file is gemaakt voordat hij probeert te mailen om te voorkomen dat je met een lege bijlage (of geen bijlage) zit.
Ik heb de filenaam ook meteen in een variabele gehangen. Kost én minder resources, en je voorkomt problemen met afwijkende namen gedurende het draaien van het script.

Mooi gemaakt! Post het anders op Gitlab/Github, is wat overzichtelijker. Helemaal als er dingen veranderen

https://dontasktoask.com/

dinsdag 31 augustus 2021 14:19

Acties:

+2 Henk 'm!

lolgast

@orvintax Speciaal voor jou: https://github.com/lolgas.../blob/main/backup-to-mail

Weinig kans dat hij wijzigt, want hij doet wat hij moet doen en ik heb inmiddels upload naar SFTP aan de gang. Dat vind ik fijner dan naar e-mail want het is in mijn ogen:
Overzichtelijker
Veiliger (eigen systeem)
Eenvoudiger te back-uppen

zondag 5 september 2021 14:08

Acties:

0 Henk 'm!

Theone098

lolgast schreef op dinsdag 31 augustus 2021 @ 14:19:
@orvintax Speciaal voor jou: https://github.com/lolgas.../blob/main/backup-to-mail

Weinig kans dat hij wijzigt, want hij doet wat hij moet doen en ik heb inmiddels upload naar SFTP aan de gang. Dat vind ik fijner dan naar e-mail want het is in mijn ogen:
Overzichtelijker
Veiliger (eigen systeem)
Eenvoudiger te back-uppen

Thanks, Ik ben hier ook mee bezig.

De melding "can't agree on KEX algorithms" heb ik opgelost met:
/ip ssh set strong-crypto=yes

Nu krijg ik deze melding:
status: failed
failure: connection timeout

=> Na 10 sec. is er 0kb geupload en de connection worden gesloten.

Iemand tips?

zondag 5 september 2021 14:31

Acties:

0 Henk 'm!

daansan

Verwijderd schreef op woensdag 4 augustus 2021 @ 00:22:
@The Wizard

Als de MTU terugschiet moet je de SFP herstarten.

Het werkt wel goed in de Beta versie (6.49) op de 4011.

Ik gebruikte voorheen een script in ppp-profile-up
code:
1
2
3
4
5
6
7
8
9
{
:delay 4s
/interface
:if (([pppoe-client monitor pppoe-ikev2 as-value once]->"mtu") < 1500) do={
disable sfp-sfpplus1
:delay 50ms
enable  sfp-sfpplus1
:log warning "PPPoE MTU lower than 1500 so the SFP port is restarted"} 
}

is upgraden naar die beta versie typisch probleemloos?

en in dat scriptje van je is pppoe-ikev2 de naam van je pppoe interface en is "pppoe-client" een functie van routeros?

I love it when a plan comes together!

zondag 5 september 2021 14:58

Acties:

0 Henk 'm!

Verwijderd

Ik zou nog even op de versie blijven waar je het script gebruikt omdat Mikrotik de backup mogelijkheid kapot heeft gemaakt in de Beta. De fix moet nog uitkomen.

De naamgeving van pppoe is die met client.

zondag 5 september 2021 20:43

Acties:

0 Henk 'm!

Theone098

Theone098 schreef op zondag 5 september 2021 @ 14:08:
[...]

Thanks, Ik ben hier ook mee bezig.

De melding "can't agree on KEX algorithms" heb ik opgelost met:
/ip ssh set strong-crypto=yes

Nu krijg ik deze melding:
status: failed
failure: connection timeout

=> Na 10 sec. is er 0kb geupload en de connection worden gesloten.

Iemand tips?

Even mijzelf quoten

Ik maak een sftp connectie naar mijn NAS.
Na veel debuggen kwam ik erachter dat het nogal lang duurt voordat de file wordt ge-upload.
Het script is volgens MT klaar (staat niet meer in jobs), maar de upload volgt dan nog.
Maar goed, dat is nu ook gelukt.

Echter, alle commando’s na /tool fetch worden niet meer uitgevoerd? Iemand een idee?

zondag 5 september 2021 21:23

Acties:

0 Henk 'm!

lolgast

@Theone098 Misschien een idee om je script even te delen hier?

zondag 5 september 2021 21:37

Acties:

0 Henk 'm!

Theone098

lolgast schreef op zondag 5 september 2021 @ 21:23:
@Theone098 Misschien een idee om je script even te delen hier?

Vanwege het vele debuggen zitten er veel :log info commands in

Bij deze de code:

code:

# automated backup 2 External Sftp
#
# Sftp configuration
:local ftphost "sftp://xx.xx.xx.xx";
:local ftpuser "<username>";
:local ftppassword "<password>";
:local ftppath "/path/to/dir/";
#
# months array
:local months ("jan","feb","mar","apr","may","jun","jul","aug","sep","oct","nov","dec");
#
# get time
:local ts [/system clock get time];
:set ts ([:pick $ts 0 2].[:pick $ts 3 5].[:pick $ts 6 8]);
#
# get Date
:local ds [/system clock get date];
#
# convert name of month to number
:local month [ :pick $ds 0 3 ];
:local mm ([ :find $months $month -1 ] + 1);
:if ($mm < 10) do={ :set mm ("0" . $mm); };
#
# set $ds to format YYYY-MM-DD
:set ds ([:pick $ds 7 11] . $mm . [:pick $ds 4 6]);
#
:log info "ftphost/user/path: $ftphost/$ftpuser/$ftppath";
# file name for system backup - file name will be backup-servername-date-time.backup
:local fname ("/backup-".[/system identity get name]."-".$ds."-".$ts.".backup");
# 
:log info "$fname";
#
# backup the system
#
/system backup save name=$fname;
:log info message="System backup finished."; 
#
# upload the backup
:log info message="Uploading system backup.";
#
/tool fetch upload=yes url=([$ftphost].[$ftppath].[$fname]) src-path=$fname user=$ftpuser password=$ftppassword;
# any commands after this line do not work.

:log info message="System backup uploaded.";

[ Voor 0% gewijzigd door Theone098 op 05-09-2021 21:45 . Reden: wat ; toegevoegd en script opnieuw getest. ]

zondag 5 september 2021 22:15

Acties:

0 Henk 'm!

lolgast

@Theone098 Heb je misschien performance issues naar je SFTP omgeving? Want ik kopieer je script net 1-op-1, pas mijn SFTP gegevens aan en druk op 'Run script'. Alles ziet er hier goed uit.

zondag 5 september 2021 23:02

Acties:

0 Henk 'm!

Verwijderd

Let wel op dat je niet blind vaart op backups. Mikrotik maakt die optie wel eens stuk zonder te dit weten. De huidige backups in de Beta kunnen zo afvalbak in omdat die dus stuk zijn.

Verstandig is ook af en toe een export te maken en een backup te hebben voor de backups.

maandag 6 september 2021 09:27

Acties:

0 Henk 'm!

Theone098

lolgast schreef op zondag 5 september 2021 @ 22:15:
@Theone098 Heb je misschien performance issues naar je SFTP omgeving? Want ik kopieer je script net 1-op-1, pas mijn SFTP gegevens aan en druk op 'Run script'. Alles ziet er hier goed uit.

Helaas, dat is het niet. FTP werkt super snel, het is SFTP dat "lang(er)" duurt. Dat begrijp ik vanwege de encryptie, maar dat het script na /tool fetch niets meer doet is ronduit vreemd.

Je bracht mij wel op een idee: om performance issues met de encryptie uit te sluiten heb ik deze verlaagd, maar bij beiden (RB2011 en NAS) is de CPU belasting nihil. En de resultaten zijn hetzelfde.
Overigens is het script binnen 1 seconde klaar volgens mij log (t/m de melding van het uploaden van de backup). Daarna blijft het stil.

Blijft het vreemd dat er na /tool fetch geen commando's uit het script meer worden uitgevoerd (zelfs de :log info niet).
Dat lukt bij jou wel? Zo ja, welke router/switch heb je als ik vragen mag?

@Verwijderd: daarom heb ik (nu, met SFTP) 3 scripts

.
1. backup
2. export
3. UserDB

[ Voor 6% gewijzigd door Theone098 op 06-09-2021 09:31 ]

maandag 6 september 2021 09:34

Acties:

0 Henk 'm!

lolgast

@Theone098 Jep, bij mij werkte het perfect, zie de log hieronder
Afbeeldingslocatie: https://i.imgur.com/CPFKY07.png

Ik heb een RB750Gr3 (heX), geen performance beest dus

maandag 6 september 2021 09:42

Acties:

0 Henk 'm!

Theone098

@lolgast Thanks. Dan hoef ik het niet in het script te zoeken. Dan is er iets anders aan de hand.
Welke topic heb je aangezet in logging om die fetch te zien? Zou mij met debuggen kunnen helpen.

maandag 6 september 2021 10:08

Acties:

0 Henk 'm!

lolgast

@Theone098 Ik heb geen dingen aan de logging aangepast, dus dat lijkt me default behavior

donderdag 9 september 2021 10:58

Acties:

0 Henk 'm!

WeaZuL

Try embedded, choose ARM!

cAP XL ac, iemand al ervaringen mee?

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

donderdag 9 september 2021 19:53

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Beste mede Mikrotik-ers

Ik probeer de bandbreedte (download van Internet) van een PC op mijn LAN te beperken dmv een Simple Queue.
Zoals o.a hier beschreven https://wiki.mikrotik.com/wiki/Manual:Queue

Het gaat hier om een PC met het IP 172.16.0.7 welke op mijn Hap AC2 aan Ether3 hangt.
Voor de test heb ik even 1Mb ingesteld
Dus heb ik onderstaande gebruikt:

code:

1	/queue simple> add name=test target=172.16.0.7/32 max-limit=1M/1M dst=ether3

Wat resulteert in onderstaande Simple Queue

code:

name="test" target=172.16.0.7/32 dst=ether3 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=1M/1M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1

Maar een simpele speedtest laat zien dat de pc gewoon nog maximale bandbreedte pakt.
Ook andere varianten van deze simple queue lijken niet te werken.

Iemand enig idee wat hier niet goed gaat? Of mis ik nog iets?

[ Voor 7% gewijzigd door Thasaidon op 09-09-2021 20:01 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 9 september 2021 20:58

Acties:

+1 Henk 'm!

Laagheim

@Thasaidon Ik heb er zelf geen ervaring mee maar wirelessinfo.be heeft er natuurlijk een filmpje over: YouTube: Mikrotik queue pcq configuration

vrijdag 10 september 2021 15:39

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Thanx, ik zal een kijken.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 10 september 2021 16:17

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Thasaidon schreef op donderdag 9 september 2021 @ 19:53:
Iemand enig idee wat hier niet goed gaat? Of mis ik nog iets?

Laat dst eens weg?

Interface is toch niet zo relevant als je routeert. Hoewel ik je ook niet kan vertellen hoe dst precies werkt, zou het me niet verbazen als het hier iets anders doet dan verwacht of je de verkeerde interface hebt (bridge port bv).

zaterdag 11 september 2021 18:17

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Thralas schreef op vrijdag 10 september 2021 @ 16:17:
[...]
Laat dst eens weg?

Die heb ik in eerste instantie gebruikt omdat de Mikrotik Wiki dat aangeeft.
Maar ook zonder heb ik geprobeerd, evenals nog wat andere variaties.
Maar dat lijkt niets uit te maken.

Ik moet nog even naar de hierboven genoemde video kijken, maar heb daar nog geen tijd voor gehad.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 11 september 2021 19:00

Acties:

+1 Henk 'm!

Raymond P

@Thasaidon Staat fasttrack aan?

- knip -

zaterdag 11 september 2021 21:06

Acties:

0 Henk 'm!

Zapp-it

Raymond P schreef op zaterdag 11 september 2021 @ 19:00:
@Thasaidon Staat fasttrack aan?

Daar zat ik ook al aan te denken, wel even wat leesvoer voor een mogelijke oplossing https://forum.mikrotik.com/viewtopic.php?t=171221

zaterdag 11 september 2021 21:36

Acties:

0 Henk 'm!

Raymond P

Hah, die link doet m'n chrome (beta) op android crashen.

Het tweede antwoord in die thread is hoe ik het op zou lossen, dan kan je fasttrack aan (en netjes bovenaan) houden.

- knip -

zondag 12 september 2021 16:30

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Raymond P schreef op zaterdag 11 september 2021 @ 19:00:
@Thasaidon Staat fasttrack aan?

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zondag 12 september 2021 16:59

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Thasaidon schreef op zondag 12 september 2021 @ 16:30:
[...]

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?

Dat lijkt me van wel.

https://dontasktoask.com/

zondag 12 september 2021 19:40

Acties:

0 Henk 'm!

sambaloedjek

Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container

zondag 12 september 2021 22:14

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

sambaloedjek schreef op zondag 12 september 2021 @ 19:40:
Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container

Sorry maar waarom zou je willen virtualizeren in een router? Waar slaat dat nu weer op?

https://dontasktoask.com/

zondag 12 september 2021 23:03

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Het is geen virtualisatie, maar een container als vehikel om je eigen applicaties te draaien.

Ik zie het nut wel. Bijvoorbeeld om een uitgebreidere DNS server of iets als een MQTT broker te draaien. Of een alternatieve BGP daemon.

maandag 13 september 2021 10:23

Acties:

0 Henk 'm!

Raymond P

Thasaidon schreef op zondag 12 september 2021 @ 16:30:
[...]

De Hap AC2 is niet mijn primaire router, maar draait als een AP/Switch in mijn LAN netwerk.
Hier staan geen firewall rules op, dus Fasttrack staat niet aan.

Dus dat zou goed moeten zijn volgens mij, toch?

Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.

- knip -

maandag 13 september 2021 15:18

Acties:

0 Henk 'm!

TheExperiment

Beste mede mikrotik-tweakers,

ik heb een CRS125 die ik als router gebruik en ik heb een internet abonnement met 300/20Mbps. Als ik een speedtest doe kom ik aan deze snelheden. So far so good. Nu heb ik ook een NAS met 2 gigabit netwerkpoorten en heb ik deze nu met bonding gekoppeld aan de CRS125. Als ik nu een groot bestand via FTP download van de NAS naar mijn computer, dus binnen mijn LAN, kom ik maar aan een maximale snelheid van rond de 110 Mbps, waar mijn LAN in principe allemaal gigabit is.

Is dit te verwachten met de CRS125 in router modus of zou dit toch iets hoger moeten liggen? Ik heb ook nog een RouterBoard951G-2HnD die ik momenteel als Access Point gebruik. Zou het iets uitmaken als ik deze als router zou gebruiken en de CRS125 in switch modus zou zetten of gaat dit mij nooit in de buurt van gigabit brengen en ben ik beter af met een hAP AC³ of een hEX S te kopen en de CRS125 in switch mode te zetten?

Ik geef toe dat ik geen Mikrotik expert ben en mijn config wel een samenraapsel is van zaken die ik op internet gevonden heb maar op zich heb ik ook niets fancy (Guest Wifi, OpenVPN).

Alvast bedankt voor de hulp en het advies.

maandag 13 september 2021 16:58

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Raymond P schreef op maandag 13 september 2021 @ 10:23:
[...]

Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.

Dat is de reden waarom ik ook als DST de ether3 opgegeven had in mijn laatste poging.
Ether 3 staat als "only-hardware-queue" en dus zou hij gewoon in de hardware verwerkt moeten worden, voor zover ik het begreep.

Maar ik moet nog steeds dat filmpje kijken

--edit--
Filmpje ondertussen bekeken, maar hij gebruikt pcq-queue en geen simple-queue.
Voor pcq word binnen de firewall mangle gebruikt icm pre-routing en post-routing.
Maar mijn Hap AC2 heeft verder geen firewall regels en doet niets met pre- en post-routing (voor zover ik weet), want het is niet mijn router naar het internet.

Maar we gaan zien wat hij doet.

[ Voor 24% gewijzigd door Thasaidon op 13-09-2021 18:16 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 13 september 2021 19:12

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Thralas schreef op zondag 12 september 2021 @ 23:03:
Het is geen virtualisatie, maar een container als vehikel om je eigen applicaties te draaien.

Ik zie het nut wel. Bijvoorbeeld om een uitgebreidere DNS server of iets als een MQTT broker te draaien. Of een alternatieve BGP daemon.

Containers zijn ook een vorm van virtualisatie. Ik vind het in ieder geval een rare feature om nu development tijd in stoppen als Mikrotik zijnde.

https://dontasktoask.com/

maandag 13 september 2021 19:42

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

TheExperiment schreef op maandag 13 september 2021 @ 15:18:
Is dit te verwachten met de CRS125 in router modus of zou dit toch iets hoger moeten liggen?

Ongeacht hoe je je CRS125 inzet als router, zou het verkeer binnen je LAN gewoon geswitcht moeten worden. Dat kan allemaal in hardware, dus line rate.

Hoe heb je je CRS125 geconfigureerd? Hangen de desbetreffende poorten (NAS en server) onder dezelfde bridge? Het bridge-menu in Winbox laat daarnaast ook zien of bridge ports hardware offloaded zijn: als het goed is staat er een 'H' voor de ports.

Staat deze er niet, dan is er sprake van een misconfiguratie of gebruik je een feature die de hardware offloading onmogelijk maakt. Als je je config deelt, dan kunnen we meekijken.

orvintax schreef op maandag 13 september 2021 @ 19:12:
Containers zijn ook een vorm van virtualisatie.

Bij virtualisatie is er sprake van geëmuleerde hardware en heeft de guest z'n eigen OS. Dat is allemaal niet wat MikroTik biedt, of wat Docker is.

Containers zijn een stuk meer light weight omdat ze gewoon onder het bestaande OS draaien: dat moet ook wel, gezien de beperkte resources op veel routerboards.

Ik vind het in ieder geval een rare feature om nu development tijd in stoppen als Mikrotik zijnde.

Het staat inderdaad wat verder weg van de corefunctionaliteit van een router; maar opzich is ook dat niet vreemd; veel NAS-fabrikanten bieden het tegenwoordig ook aan. Vergeleken met een NAS (of zelfs Raspberry Pi met Docker) is het natuurlijk al snel een stuk beperkter.

Qua tijdsinvestering kan ik je wel volgen; het geeft wel een beetje het gevoel dat ze allemaal nieuwe features introduceren terwijl je hoopt dat v7 nu eindelijk eens een keer richting stable gaat en ze nu al routers verkopen die alleen v7 ondersteunen.

maandag 13 september 2021 20:38

Acties:

0 Henk 'm!

TheExperiment

Ik zie in de bridge toch bij alle poorten een H staan. Ik heb me vooral op de filmpjes/uitleg van https://www.wirelessinfo.be/ gebasseerd.

Hierbij de code van de router.
- ether4-APUnify: hier hangt een Ubnt access point met 2 SSIDs (private & guest (vlan10)). Geen toegang toegelaten vanuit guest naar het private netwerk.
- ether14-trunk: hier hangt de RB951G-2HnD aan. Ik wilde hier ook nog het guest network aanhangen maar krijg dit niet in orde omdat ik onder ip -> address bij de interface maar 1 interface kan kiezen (nu dus eth4).
- ether21 & 22: bond voor de NAS
- voor de rest nog een OpenVPN server zodat ik remote aan mijn netwerk kan en een scriptje om mijn duckdns te updaten

code:

# sep/13/2021 14:47:52 by RouterOS 6.48.1
# software id = Z4VC-LFGX
#
# model = CRS125-24G-1S
# serial number = 49CC0404B29A
/interface bridge
add admin-mac=4C:5E:0C:9A:56:27 auto-mac=no comment=defconf name=bridge-LAN
/interface ethernet
set [ find default-name=ether1 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether1-WAN
set [ find default-name=ether2 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether3 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether4 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether4-APUnify
set [ find default-name=ether5 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether6 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether7 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether8 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether9 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether10 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether11 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether12 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether13 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether14 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\
    ether14-trunk
set [ find default-name=ether15 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether16 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether17 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether18 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether19 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether20 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether21 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether22 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether23 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
set [ find default-name=ether24 ] advertise="10M-half,10M-full,100M-half,100M-\
    full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"
/interface vlan
add interface=ether4-APUnify name=vlan10-guest-eth4 vlan-id=10
add interface=ether14-trunk name=vlan10-guest-eth14 vlan-id=10
/interface bonding
add mode=802.3ad name=bonding-NAS slaves=ether21,ether22
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add disabled=yes name=kid1
add disabled=yes name=kid2
/ip pool
add name=dhcp-pool-lan ranges=192.168.1.30-192.168.1.254
add name=dhcp-pool-ovpn ranges=192.168.2.10-192.168.2.40
add name=dhcp_pool-guest ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=dhcp-pool-lan disabled=no interface=bridge-LAN name=dhcp-LAN
add address-pool=dhcp_pool-guest disabled=no interface=vlan10-guest-eth4 \
    name=dhcp-guest
/ppp profile
add local-address=192.168.2.1 name=vpn-profile remote-address=dhcp-pool-ovpn \
    use-encryption=yes
/interface bridge port
add bridge=bridge-LAN comment=defconf disabled=yes interface=ether1-WAN
add bridge=bridge-LAN comment=defconf interface=ether2
add bridge=bridge-LAN comment=defconf interface=ether3
add bridge=bridge-LAN comment=defconf interface=ether4-APUnify
add bridge=bridge-LAN comment=defconf interface=ether5
add bridge=bridge-LAN comment=defconf interface=ether6
add bridge=bridge-LAN comment=defconf interface=ether7
add bridge=bridge-LAN comment=defconf interface=ether8
add bridge=bridge-LAN comment=defconf interface=ether9
add bridge=bridge-LAN comment=defconf interface=ether10
add bridge=bridge-LAN comment=defconf interface=ether11
add bridge=bridge-LAN comment=defconf interface=ether12
add bridge=bridge-LAN comment=defconf interface=ether13
add bridge=bridge-LAN comment=defconf interface=ether14-trunk
add bridge=bridge-LAN comment=defconf interface=ether15
add bridge=bridge-LAN comment=defconf interface=ether16
add bridge=bridge-LAN comment=defconf interface=ether17
add bridge=bridge-LAN comment=defconf interface=ether18
add bridge=bridge-LAN comment=defconf interface=ether19
add bridge=bridge-LAN comment=defconf interface=ether20
add bridge=bridge-LAN comment=defconf interface=ether23
add bridge=bridge-LAN comment=defconf interface=ether24
add bridge=bridge-LAN comment=defconf interface=sfp1
add bridge=bridge-LAN interface=bonding-NAS
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=ether1-WAN list=WAN
add interface=bridge-LAN list=LAN
add interface=vlan10-guest-eth14 list=LAN
add interface=vlan10-guest-eth4 list=LAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes128,aes192,aes256 enabled=yes \
    require-client-certificate=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-LAN network=\
    192.168.1.0
add address=192.168.3.1/24 interface=vlan10-guest-eth4 network=192.168.3.0
/ip dhcp-client
add disabled=no interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.1.10 client-id=1:b8:27:eb:43:1a:56 comment=\
    "Raspberry pi" mac-address=B8:27:EB:43:1A:56 server=dhcp-LAN
add address=192.168.1.16 client-id=1:0:e:c6:c9:c8:10 comment="MiBox3" \
    mac-address=00:0E:C6:C9:C8:10 server=dhcp-LAN
add address=192.168.1.6 client-id=1:0:11:32:db:a1:eb comment="NAS" \
    mac-address=00:11:32:DB:A1:EB server=dhcp-LAN
add address=192.168.1.15 client-id=1:c8:db:26:1:24:52 comment=\
    mac-address=C8:DB:26:01:24:52 server=dhcp-LAN
add address=192.168.1.5 client-id=1:0:11:32:3:89:4e comment=\
    mac-address=00:11:32:03:89:4E server=dhcp-LAN
add address=192.168.1.3 client-id=1:74:83:c2:80:c1:db comment=\
    "AP" mac-address=74:83:C2:80:C1:DB server=dhcp-LAN
add address=192.168.1.2 client-id=1:4c:5e:c:d6:ea:e9 comment=\
    "RB" mac-address=4C:5E:0C:D6:EA:E9 server=dhcp-LAN
add address=192.168.1.7 client-id=1:a4:da:22:35:f9:b comment=\
    mac-address=A4:DA:22:35:F9:0B server=dhcp-LAN
add address=192.168.1.11 client-id=\
    ff:eb:48:5c:2f:0:1:0:1:23:f7:fb:7a:b8:27:eb:48:5c:2f comment=\
    mac-address=B8:27:EB:48:5C:2F server=dhcp-LAN
add address=192.168.1.17 client-id=1:ac:67:84:e9:90:2e comment=\
     mac-address=AC:67:84:E9:90:2E
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 domain=LAN.net \
    gateway=192.168.1.1 netmask=24
add address=192.168.3.0/24 dns-server=8.8.8.8,8.8.4.4 domain=Guest.net \
    gateway=192.168.3.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip dns static
add address=192.168.1.1 name=DNS-LAN
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=reject chain=forward dst-address=8.8.8.8 reject-with=\
    icmp-network-unreachable src-address=192.168.1.22
add action=reject chain=forward dst-address=8.8.4.4 reject-with=\
    icmp-network-unreachable src-address=192.168.1.22
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=reject chain=forward comment="Block guest from LAN" dst-address=\
    192.168.1.0/24 reject-with=icmp-network-unreachable src-address=\
    192.168.3.0/24
add action=reject chain=forward comment="Block guest from OpenVPN network" \
    dst-address=192.168.2.0/24 reject-with=icmp-network-unreachable \
    src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip kid-control device
add mac-address=50:50:A4:7A:6D:48 name="Tablet kid1" user=kid1
add mac-address=88:9F:6F:0A:55:54 name="Tablet kid2" user=kid2
/ip service
set telnet disabled=yes
set ftp address=192.168.1.0/24
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/lcd
set enabled=no
/lcd interface pages
set 1 interfaces=\
    ether13,ether14-trunk,ether15,ether16,ether17,ether18,ether19
/ppp secret
add name=ovpn profile=vpn-profile service=ovpn
/system clock
set time-zone-name=Europe/Brussels
/system identity
set name=R1
/system ntp client
set enabled=yes
/system scheduler
add interval=1h name=DuckDNSUpdateScriptSchedule on-event=\
    " /system script run DuckDNSUpdateScript" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=may/01/2021 start-time=18:40:31
/system script
add dont-require-permissions=no name=DuckDNSUpdateScript owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="s\
    cript\r\
    \n:local resolvedIP [:resolve \"removed.duckdns.org\"];\r\
    \n:local currentIP [/ip address get [find interface=\"ether1\"] address];\
    \r\
    \n:local currentIP [:pick \$currentIP 0 [:find \$currentIP \"/\"]];\r\
    \n \r\
    \n:if (\$resolvedIP != \$currentIP) do={\r\
    \n    :log info (\"Trying to update DuckDNS with actual IP \".\$currentIP.\
    \", resolved IP is \".\$resolvedIP);\r\
    \n    :local response [/tool fetch url=(\"https://www.duckdns.org/update\?\
    domains=removed&token=removed&ip=\".\$curren\
    tIP) check-certificate=yes as-value output=user];\r\
    \n    :if (\$response->\"status\" = \"finished\") do={\r\
    \n        :if (\$response->\"data\" = \"OK\") do={\r\
    \n            :log info (\"Successfully updated DuckDNS with new IP \".\$c\
    urrentIP);\r\
    \n        } else={\r\
    \n            :log error (\"Failed to update DuckDNS with new IP \".\$curr\
    entIP);\r\
    \n        }\r\
    \n    }\r\
    \n}\r\
    \n"
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

dinsdag 14 september 2021 08:19

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Thralas schreef op maandag 13 september 2021 @ 19:42:
Containers zijn een stuk meer light weight omdat ze gewoon onder het bestaande OS draaien: dat moet ook wel, gezien de beperkte resources op veel routerboards.

[...]

Het staat inderdaad wat verder weg van de corefunctionaliteit van een router; maar opzich is ook dat niet vreemd; veel NAS-fabrikanten bieden het tegenwoordig ook aan. Vergeleken met een NAS (of zelfs Raspberry Pi met Docker) is het natuurlijk al snel een stuk beperkter.

Ik vind het persoonlijk niet zo'n gek idee.

Met containers kun je kritieke of vitale functies scheiden van anderen.
Zo zou bv DNS, Routing of de Firewall in separate containers kunnen draaien. Mocht de één gecomprimeerd worden, kan men niet zomaar "uitbreken" naar de ander.

Of het idd wenselijk is dat ze zich nu vooral hierop richten is een ander verhaal

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

dinsdag 14 september 2021 10:23

Acties:

0 Henk 'm!

FreshMaker

Wifi

sambaloedjek schreef op zondag 12 september 2021 @ 19:40:
Mikrotik is goed bezig met zijn verdere ontwikkeling van routeros 7.1: naast Wireguard support, en betere ondersteuning van switch-chip features voor RB4011, nu ook support voor Docker containers:

https://help.mikrotik.com/docs/display/ROS/Container

Ik ben vooral benieuwd naar de implementatie van Zerotier ...
Als dat een beetje 'lekker' gaat werken op een glasverbinding, is dat ideaal om een drietal locaties te voorzien van een groter netwerk.

dinsdag 14 september 2021 23:03

Acties:

+1 Henk 'm!

orvintax

www.fab1an.dev

Thasaidon schreef op dinsdag 14 september 2021 @ 08:19:
[...]

Ik vind het persoonlijk niet zo'n gek idee.

Met containers kun je kritieke of vitale functies scheiden van anderen.
Zo zou bv DNS, Routing of de Firewall in separate containers kunnen draaien. Mocht de één gecomprimeerd worden, kan men niet zomaar "uitbreken" naar de ander.

Of het idd wenselijk is dat ze zich nu vooral hierop richten is een ander verhaal

Het zijn geen containers waarin hun eigen functionaliteiten in draaien, maar volledige docker containers.

https://dontasktoask.com/

woensdag 15 september 2021 07:52

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Raymond P schreef op maandag 13 september 2021 @ 10:23:
[...]
Ah. Ik gok dat een simple queue niet direct toepasbaar is als verkeer over de switch chip gaat en de cpu passeert.
Een snelle test hier binnen het netwerk krijg ik iig niet direct werkend.

pcq-queue werkt dus ook niet.

Zoals ik al zei ligt dat denk ik aan de pre-routing en post-routing die in de Mangle gebruikt word.
Mijn Hap AC2 draait feitelijk als switch en niet als router in het netwerk.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 15 september 2021 08:15

Acties:

+1 Henk 'm!

Raymond P

@Thasaidon Je hebt je ports wel in een bridge hangen neem ik aan?
En firewall staat aan voor bridge? (Bridge>settings>use ip firewall)

Als je de cpu core(s) niet erbij betrekt dan zal verkeer wat over de switch core(s) gaat niets meekrijgen van queues.

- knip -

woensdag 15 september 2021 09:05

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Raymond P schreef op woensdag 15 september 2021 @ 08:15:
@Thasaidon Je hebt je ports wel in een bridge hangen neem ik aan?
En firewall staat aan voor bridge? (Bridge>settings>use ip firewall)

Als je de cpu core(s) niet erbij betrekt dan zal verkeer wat over de switch core(s) gaat niets meekrijgen van queues.

$_/-\o_$ HELD! $_/-\o_$

Ja, alle poorten waren onderdeel van de "bridge1". Maar...
de "use IP Firewall" stond idd niet aan voor de bridge.

Nadat ik deze aan gezet had werkte het, ondanks dat er dus geen enkele firewall rule aanwezig is.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 15 september 2021 09:37

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

TheExperiment schreef op maandag 13 september 2021 @ 20:38:
Ik zie in de bridge toch bij alle poorten een H staan. Ik heb me vooral op de filmpjes/uitleg van https://www.wirelessinfo.be/ gebasseerd.

Op welke poort zit de server?

Zo te zien gebruik je een 802.3ad bond voor je NAS. Ik vrees echter dat de CRS1XX dat niet ondersteunt op z'n switch chip.

quote: https://wiki.mikrotik.com...VLANs_with_Trunks#Bonding
Warning: Don't use bonding interfaces on CRS1xx/CRS2xx series devices, bonding interface does NOT use the built-in Switch Chip to create aggregated link group and will overload the CPU instantly. For CRS series device use only port trunking.

Ik vermoed dat als je de bond weghaalt je - ietwat ironisch - gewoon line rate haalt.

woensdag 15 september 2021 12:03

Acties:

0 Henk 'm!

TheExperiment

Thralas schreef op woensdag 15 september 2021 @ 09:37:
[...]

Op welke poort zit de server?

Zo te zien gebruik je een 802.3ad bond voor je NAS. Ik vrees echter dat de CRS1XX dat niet ondersteunt op z'n switch chip.

[...]

Ik vermoed dat als je de bond weghaalt je - ietwat ironisch - gewoon line rate haalt.

De NAS stond op eth 21 & 22. Als ik de FTP startte ging de CPU naar 60-70%. Ik heb de bond verwijderd maar de snelheid blijft nog altijd rond de 115MB/s hangen. De CPU load is nu wel maar 2% dus op zich zowieso een verbetering maar dus nog niet qua snelheid.

woensdag 15 september 2021 12:25

Acties:

0 Henk 'm!

lolgast

@TheExperiment
115MB/s is toch ook gewoon 1Gbit?

woensdag 15 september 2021 12:40

Acties:

0 Henk 'm!

TheExperiment

lolgast schreef op woensdag 15 september 2021 @ 12:25:
@TheExperiment
115MB/s is toch ook gewoon 1Gbit?

gelijk heb je. Bedankt voor het opmerken.

@Raymond P bedankt voor de info over de bond die niet via de switch chip gaat op de CRS125, scheelt nu toch wel wat CPU load.

woensdag 15 september 2021 12:57

Acties:

0 Henk 'm!

Raymond P

Dat was @Thralas, maar er zat inderdaad een relatie tussen de posts.

Ik had wel een donkerbruin vermoeden maar hoe/waar load naar CPU gaat verschilt per device/serie.

- knip -

vrijdag 17 september 2021 00:04

Acties:

0 Henk 'm!

amx

Wellicht handig voor degenen in dit topic:

Microtik routers worden actief misbruikt voor een botnet van ongekende kracht (20 miljoen+ requests per seconde)

Microtik heeft hier zelf een security recommendation voor gegeven:

https://heimdalsecurity.c...sures-shared-by-mikrotik/

Mēris Botnet Mitigation Measures

In a blog post that was released yesterday, the MikroTik enterprise shared some Mēris botnet mitigation measures intended to remove this botnet from the compromised gateways.

Clients should make a habit of using passwords that are strong enough in order to stop brute force-attacks.
As a general ruler, users should make sure that their MikroTik devices are up to date. This way, CVE-2018-14847 Winbox exploits, normally used in its attacks by this botnet will be blocked.
Remote access should be carefully managed, only by using secured VPN services (for instance, IPsec).
The trust in local networks should be doubted as a weak password or a lack of passwords would be a clear path for hackers to connect to users’ routers.
RouterOS configuration should be checked in terms of unknown settings.

Since the malware tries to perform Mikrotik device reconfiguration, the company also recommended the below plan:

Configuration to look out for and remove:

System -> Scheduler rules that execute a Fetch script. Remove these.

IP -> Socks proxy. If you don’t use this feature or don’t know what it does, it must be disabled.

L2TP client named “lvpn” or any L2TP client that you don’t recognize.

Input firewall rule that allows access for port 5678.

Source

In 2018, MikroTik RouterOS was impacted by a vulnerability I mentioned above, CVE-2018-14847. The team of experts said in their blog post that the new wave of 2021 DDoS attacks involving Mēris botnet made use of the same impacted routers from 2018. The issue lies in the fact that if hackers obtained the password in 2018, even if CVE-2018-14847 is patched for a long time, a mere upgrade is not enough.

Unfortunately, closing the vulnerability does not immediately protect these routers. If somebody got your password in 2018, just an upgrade will not help. You must also change the password, re-check your firewall if it does not allow remote access to unknown parties, and look for scripts that you did not create.

vrijdag 17 september 2021 09:56

Acties:

0 Henk 'm!

superyupkent

Goed om dit hier te delen, wellicht wel goed om aan te geven dat je dit lek alleen kan misbruiken als je:

--Al 3 jaar je MT niet hebt gepatched
--Je firewall/address lists open toegang geeft tot winbox management vanaf internet
--Je na eventueel patchen je ww niet hebt aangepast

vrijdag 17 september 2021 13:33

Acties:

0 Henk 'm!

Raymond P

@superyupkent Ik had toen dit bekend werd 1 device in beheer die cracked was. Daarop was zoals hierboven staat een scriptje toegevoegd aan de scheduler.

Alleen updaten en wachtwoord veranderen is niet voldoende als je toen je device live had met winbox exposed.

- knip -

vrijdag 17 september 2021 16:09

Acties:

0 Henk 'm!

superyupkent

Klopt,

Als je (om welke reden dan ook) je device niet meer kan vertrouwen is het advies om hem te flashen met Netinstall. Dat was het advies bij de vorige exploit en nu weer. Mijn punt uit mijn vorige post was meer dat je met een goede set filterregels (en geen blank password) niet gekraakt kon worden met de exploit uit 2018 en deze Meris.

vrijdag 17 september 2021 22:43

Acties:

0 Henk 'm!

amx

superyupkent schreef op vrijdag 17 september 2021 @ 16:09:
Klopt,

Als je (om welke reden dan ook) je device niet meer kan vertrouwen is het advies om hem te flashen met Netinstall. Dat was het advies bij de vorige exploit en nu weer. Mijn punt uit mijn vorige post was meer dat je met een goede set filterregels (en geen blank password) niet gekraakt kon worden met de exploit uit 2018 en deze Meris.

Klinkt alsof je het goed voor elkaar hebt. Al wil ik wel delen dat ik niet de gewoonte heb om na een upgrade van een apparaat of systeem daarvan het wachtwoord te wijzigen. En met name omdat op Tweakers Microtik vermoedelijk terecht aangeprezen wordt als krachtige router voor thuis of bedrijf met veel configuratieopties vind ik het een wat koele reactie. Wat niks afdoet aan de validiteit van de oplossing die je beschrijft. Hopelijk is de schade van niet gepatchte systemen uiteindelijk maar beperkt. Volgens de informatie die ik als betrouwbaar beschouw is het aantal systemen dat inderdaad slachtoffer is van deze exploit vrij groot.

Ik bedoel, kijk naar hoeveel reacties er zijn op de waarschuwing op de originele winbox exploit in 2018 in ditzelfde topic Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Een paar mensen zeggen: updaten joh. Nergens wordt gerept over een password change. Wel lees ik meerdere keren dat het /quote/ Easy peasy Lemon squeezy is om via winbox van alles in te stellen.

Ik kan alleen maar herhalen dat ik van wat ik heb gelezen het niet volgen van de advisory van Microtik zelf tenzij je zeker bent dat je systeem correct én volledig gepatcht is, je vrij zeker risico loopt dat je apparaat kwetsbaar blijft.

vrijdag 17 september 2021 23:58

Acties:

0 Henk 'm!

FreshMaker

Wifi

amx schreef op vrijdag 17 september 2021 @ 22:43:
[...]

Klinkt alsof je het goed voor elkaar hebt. Al wil ik wel delen dat ik niet de gewoonte heb om na een upgrade van een apparaat of systeem daarvan het wachtwoord te wijzigen. En met name omdat op Tweakers Microtik vermoedelijk terecht aangeprezen wordt als krachtige router voor thuis of bedrijf met veel configuratieopties vind ik het een wat koele reactie. Wat niks afdoet aan de validiteit van de oplossing die je beschrijft. Hopelijk is de schade van niet gepatchte systemen uiteindelijk maar beperkt. Volgens de informatie die ik als betrouwbaar beschouw is het aantal systemen dat inderdaad slachtoffer is van deze exploit vrij groot.

Ik bedoel, kijk naar hoeveel reacties er zijn op de waarschuwing op de originele winbox exploit in 2018 in ditzelfde topic Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Een paar mensen zeggen: updaten joh. Nergens wordt gerept over een password change. Wel lees ik meerdere keren dat het /quote/ Easy peasy Lemon squeezy is om via winbox van alles in te stellen.

Ik kan alleen maar herhalen dat ik van wat ik heb gelezen het niet volgen van de advisory van Microtik zelf tenzij je zeker bent dat je systeem correct én volledig gepatcht is, je vrij zeker risico loopt dat je apparaat kwetsbaar blijft.

Niet om aan te vallen, of je neer te halen,
Maar eigenlijk is het best wel rudimentair om bij twijfel wachtwoorden aan te passen.

Grootste nadeel bij MT is wel dat alle tools 'makkelijk' worden aangeboden op de landingpage.
Vooral als je al gecompromitteerd bent, is het werkelijk afsluiten lastig.

Uit wantrouwen veranderd mijn routerWW toch met regelmaat, alleen al omdat ik opgroeiende kinderen heb, waarvan er één redelijk inventief is, en graag dingen uittest.
( je kan makkelijk vinden hoe je portforwards instelt voor een bepaalde app / game

)

Dus ik moet regelmatig mijn config nalopen op dit soort dingen, en of er iets niet is aangepast

zaterdag 18 september 2021 00:33

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

FreshMaker schreef op vrijdag 17 september 2021 @ 23:58:
[...]

Niet om aan te vallen, of je neer te halen,
Maar eigenlijk is het best wel rudimentair om bij twijfel wachtwoorden aan te passen.

Grootste nadeel bij MT is wel dat alle tools 'makkelijk' worden aangeboden op de landingpage.
Vooral als je al gecompromitteerd bent, is het werkelijk afsluiten lastig.

Uit wantrouwen veranderd mijn routerWW toch met regelmaat, alleen al omdat ik opgroeiende kinderen heb, waarvan er één redelijk inventief is, en graag dingen uittest.
( je kan makkelijk vinden hoe je portforwards instelt voor een bepaalde app / game )

Dus ik moet regelmatig mijn config nalopen op dit soort dingen, en of er iets niet is aangepast

Dus jouw kind kan aan het management VLAN en heeft daarnaast de kennis/horsepower om jouw MT router te bruteforcen?

https://dontasktoask.com/

zaterdag 18 september 2021 00:46

Acties:

0 Henk 'm!

FreshMaker

Wifi

Kind = 19, en ondanks dat het netwerk op hoge kwaliteit is ingeregeld, is het geen enterprise omgeving.

Dus ja, hij heeft toegang tot een subset van het wachtwoordbeheer, en kan redelijk 'vrij' zijn gang gaan.
De opvoeding is gestoeld op vertrouwen, en zoals bekend - vertrouwen is goed, controle is beter !

Zo leert hij omgaan met de apparatuur, wat net zo waardevol is.
Genoeg mensen in de wereld die geen idee hebben wat hun PC uitspookt en in blinde paniek topics openen links en rechts omdat er ergens een rood streepje verschijnt, ipv een blauw vierkantje

zaterdag 18 september 2021 10:21

Acties:

0 Henk 'm!

ronjon

afgelopen dagen heb ik snelheids testen gedaan, oa. bij fast.com en xs4all speednet, en het viel me op dat ik met mijn rb4011 maximaal 100Mbps haal , bij een tmobile 1000Mbps abbo.
als ik test met mijn zyxel modem van tmobile, haal ik bij dezelfde testen ca 900Mbps. om zeker te weten dat het niet aan de lijn lag, heb ik deze testen meerdere keren uitgevoerd, en gewisseld tussen de MT en mijn Zyxel, met elke keer hetzelfde resultaat.

staat er in mijn config iets niet goed, wat ervoor zorgt dat ik niet 1000Mbps kan halen ?

huidige setup:
- glasvezel -> ONT -> UTP naar MT ether 1
- 3 x vlan + 1 VPN
- test via vlanID 1, ether 6 bekabeld

in het status overzicht van ether1-WAN in winbox staat bij rate 100Mbps, maar /interface ethernet print detail meldt speed 1Gbps

code:

# sep/18/2021 09:51:59 by RouterOS 6.48.4
# software id = 3RDL-S6FU
#
# model = RB4011iGS+
# serial number = D4480EF9687B
/interface bridge
add fast-forward=no name=bridge-local vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-TV
set [ find default-name=ether3 ] name=ether3-Chromecast
set [ find default-name=ether4 ] name=ether4-MiBox
set [ find default-name=ether5 ] name=ether5-Denon
set [ find default-name=ether9 ] name=ether9-RB260GSP
set [ find default-name=ether10 ] name=ether10-R500 poe-priority=1
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1-WAN name=vlan-internet vlan-id=300
add comment="IOT network" interface=bridge-local name=vlan110 vlan-id=110
add comment="guest network" interface=bridge-local name=vlan120 vlan-id=120
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="WAN interface" name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=vpn
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=vpn
/ip ipsec peer
add exchange-mode=ike2 name=vpn passive=yes profile=vpn
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=vpn pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.0.180-192.168.0.254
add name=pool-vlan110 ranges=192.168.110.180-192.168.110.254
add name=vpn ranges=10.22.22.10-10.22.22.20
add name=pool-vlan120 ranges=192.168.120.180-192.168.120.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local lease-time=5m name=dhcp-local
add address-pool=pool-vlan110 disabled=no interface=vlan110 lease-time=5m name=dhcp-vlan110
add address-pool=pool-vlan120 disabled=no interface=vlan120 lease-time=5m name=dhcp-vlan120
/ip ipsec mode-config
add address-pool=vpn name=vpn
/interface bridge port
add bridge=bridge-local interface=ether2-TV pvid=110
add bridge=bridge-local interface=ether3-Chromecast pvid=110
add bridge=bridge-local interface=ether4-MiBox pvid=110
add bridge=bridge-local interface=ether5-Denon pvid=110
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether9-RB260GSP
add bridge=bridge-local interface=ether10-R500
add bridge=bridge-local interface=sfp-sfpplus1
add bridge=bridge-local interface=ether8
/interface bridge vlan
add bridge=bridge-local tagged=ether10-R500,ether9-RB260GSP,bridge-local untagged=ether2-TV,ether3-Chromecast,ether4-MiBox,ether5-Denon vlan-ids=110,120
/interface list member
add interface=bridge-local list=LAN
add interface=vlan-internet list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=192.168.110.1/24 interface=vlan110 network=192.168.110.0
add address=192.168.120.1/24 interface=vlan120 network=192.168.120.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1d
/ip dhcp-client
add disabled=no interface=vlan-internet use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.110.80 client-id=1:2c:ab:33:9a:29:4 mac-address=2C:AB:33:9A:29:04 server=dhcp-vlan110
add address=192.168.110.16 client-id=1:8c:79:f5:93:ef:14 mac-address=8C:79:F5:93:EF:14 server=dhcp-vlan110
add address=192.168.110.15 client-id=1:0:5:cd:f5:8d:58 mac-address=00:05:CD:F5:8D:58 server=dhcp-vlan110
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.101,192.168.0.11 gateway=192.168.0.1 netmask=24
add address=192.168.110.0/24 dns-server=192.168.0.101 gateway=192.168.110.1 netmask=24
add address=192.168.120.0/24 dns-server=192.168.0.101 gateway=192.168.120.1 netmask=24
/ip firewall address-list
add address=192.168.100.0/24 list=localNet
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 list=not_in_internet
add address=192.168.0.0/16 list=not_in_internet
add address=10.0.0.0/8 list=not_in_internet
add address=169.254.0.0/16 list=not_in_internet
add address=127.0.0.0/8 list=not_in_internet
add address=224.0.0.0/4 list=not_in_internet
add address=198.18.0.0/15 list=not_in_internet
add address=192.0.0.0/24 list=not_in_internet
add address=192.0.2.0/24 list=not_in_internet
add address=198.51.100.0/24 list=not_in_internet
add address=203.0.113.0/24 list=not_in_internet
add address=100.64.0.0/10 list=not_in_internet
add address=240.0.0.0/4 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=255.255.255.255 list=lan_ip
add address=10.22.22.10-10.22.22.20 list="untrusted VLAN"
add address=192.168.0.0/24 comment="Trusted LAN " list=trusted-LAN
add address=192.168.110.0/24 list="untrusted VLAN"
add address=192.168.120.0/24 list="untrusted VLAN"
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="VLAN DNS access" dst-address=192.168.0.101 dst-port=53 protocol=udp src-address-list="untrusted VLAN"
add action=accept chain=forward dst-address=192.168.0.101 dst-port=53 protocol=tcp src-address-list="untrusted VLAN"
add action=accept chain=forward comment="Longap One" dst-address=192.168.0.19 dst-port=44158 protocol=tcp src-port=44158
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop from VLAN to LAN" connection-state=!established dst-address-list=trusted-LAN src-address-list="untrusted VLAN"
add action=drop chain=forward comment="Drop from VLAN to VLAN" dst-address-list="untrusted VLAN" src-address-list="untrusted VLAN"
add action=accept chain=input comment="Allow IPSEC/IKE2 connections" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="redirect port for Longap One" dst-port=44158 protocol=tcp to-addresses=192.168.0.19 to-ports=44158
add action=masquerade chain=srcnat comment="Masquerade VPN traffic so devices see connections made from router IP" src-address=10.22.22.10-10.22.22.20
/ip ipsec identity
add auth-method=digital-signature certificate="RB4011 server" comment="RB4011 client1" generate-policy=port-strict match-by=certificate mode-config=vpn peer=vpn policy-template-group=vpn remote-certificate="RB4011 client1"
/ip ipsec policy
add dst-address=0.0.0.0/0 group=vpn proposal=vpn src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="MikroTik RB4011iGS+RM"
/system ntp client
set enabled=yes primary-ntp=64.99.80.121 secondary-ntp=20.101.57.9
/system scheduler
add interval=1w name=run-7d on-event=backup policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=aug/19/2021 start-time=09:07:12
/system script
add dont-require-permissions=no name=backup owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/sys backup save name=([/system identity get name]);\r\n/export file=([/system identity get name]);"

zaterdag 18 september 2021 10:28

Acties:

+1 Henk 'm!

nescafe

Wifi

@ronjon /interface ethernet set speed=1Gbps is je geconfigureerde poortsnelheid indien auto-negotiation op no staat. Je zou eens kunnen proberen om die (auto-negotiation) als test uit te zetten. Meer waarschijnlijk is de kabel niet helemaal goed. MikroTik kan erg gevoelig zijn voor slechtere kabels.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 18 september 2021 10:46

Acties:

0 Henk 'm!

amx

Ik heb even gekeken naar de oorspronkelijke reacties in 2018 hier op Tweakers:
Zapp-it in "[MikroTik-apparatuur] Ervaringen & Discussie"

Er worden 3 reacties aan gewijd, waaronder wauw dat is ernstig, updaten (nergens wordt gerept over password change) en ach het valt wel mee zolang je winbox niet open hebt staan.

Ook kan ik geen nieuwsbericht op Tweakers noch op HWI terugvinden, wel op security.nl.

winbox is als ik het goed heb gelezen een laagdrempelige tool. Ik vrees dat juist het soort gebruikers waar Winbox belangrijk voor is, het ook handig vinden om hun Mikrotik van overal te kunnen beheren

Zie ook:
dovo in "[MikroTik-apparatuur] Ervaringen & Discussie"
Stephanoid in "[MikroTik-apparatuur] Ervaringen & Discussie"
The Executer in "[MikroTik-apparatuur] Ervaringen & Discussie"
Freekers in "[MikroTik-apparatuur] Ervaringen & Discussie" (DMZ zucht)
SpikeHome in "[MikroTik-apparatuur] Ervaringen & Discussie"
The Executer in "[MikroTik-apparatuur] Ervaringen & Discussie" (wachtwoord niet gewijzigd)
Ginz in "[MikroTik-apparatuur] Ervaringen & Discussie"

uiteindelijk is het advies van Mikrotik eenvoudig samen te vatten:

Unfortunately, closing the old vulnerability does not immediately protect these routers. If somebody got your password in 2018, just an upgrade will not help. You must also change password, re-check your firewall if it does not allow remote access to unknown parties, and look for scripts that you did not create.

[ Voor 4% gewijzigd door amx op 18-09-2021 10:46 ]

zaterdag 18 september 2021 11:12

Acties:

+1 Henk 'm!

ronjon

nescafe schreef op zaterdag 18 september 2021 @ 10:28:
@ronjon /interface ethernet set speed=1Gbps is je geconfigureerde poortsnelheid indien auto-negotiation op no staat. Je zou eens kunnen proberen om die (auto-negotiation) als test uit te zetten. Meer waarschijnlijk is de kabel niet helemaal goed. MikroTik kan erg gevoelig zijn voor slechtere kabels.

zonet even de kabel naar de ONT gewisseld, en inderdaad probleem opgelost.

thx !

zondag 19 september 2021 14:20

Acties:

0 Henk 'm!

Dyckie

Het belang van MikroTik-apparaten

Om een aanval uit te voeren, zeggen de onderzoekers dat Mēris vertrouwt op de SOCKS4-proxy op het gecompromitteerde apparaat, de HTTP-pipelining DDoS-techniek en poort 5678 gebruikt.

De gebruikte gecompromitteerde apparaten lijken verband te houden met MikroTik, de Letse maker van netwerkapparatuur voor bedrijven van elke omvang, aangezien poorten 2000 en 5678 open waren op de meeste aanvallers, waarbij de laatste verwijst naar MikroTik-apparatuur.

Dit soort vermomming kan een van de redenen zijn waarom apparaten zijn gehackt zonder dat ze worden opgemerkt.

https://heimdalsecurity.c...otnet-breaks-ddos-record/
https://portswigger.net/d...smash-ddos-attack-records
https://www.cpomagazine.c...t-ddos-attack-in-history/
https://news.ycombinator.com/item?id=28578399

EDPNet in België is hier ook al dagen door getroffen.

Voor hulp en meer info zie: https://drive.google.com/drive/folders/1sALkX5QBVEc8xm4wqLEiJzcDmiaJJ_X8?usp=sharing en https://sites.google.com/view/eendraadschema Met vriendelijke groeten, Björn

zondag 19 september 2021 16:26

Acties:

0 Henk 'm!

Zapp-it

Dyckie schreef op zondag 19 september 2021 @ 14:20:
Het belang van MikroTik-apparaten

Om een aanval uit te voeren, zeggen de onderzoekers dat Mēris vertrouwt op de SOCKS4-proxy op het gecompromitteerde apparaat, de HTTP-pipelining DDoS-techniek en poort 5678 gebruikt.

De gebruikte gecompromitteerde apparaten lijken verband te houden met MikroTik, de Letse maker van netwerkapparatuur voor bedrijven van elke omvang, aangezien poorten 2000 en 5678 open waren op de meeste aanvallers, waarbij de laatste verwijst naar MikroTik-apparatuur.

Dit soort vermomming kan een van de redenen zijn waarom apparaten zijn gehackt zonder dat ze worden opgemerkt.

https://heimdalsecurity.c...otnet-breaks-ddos-record/
https://portswigger.net/d...smash-ddos-attack-records
https://www.cpomagazine.c...t-ddos-attack-in-history/
https://news.ycombinator.com/item?id=28578399

EDPNet in België is hier ook al dagen door getroffen.

Nog even een blog post van Mikrotik zelf hierover:
https://blog.mikrotik.com/security/meris-botnet.html

maandag 20 september 2021 15:22

Acties:

0 Henk 'm!

lolgast

Als je bang bent dat je getroffen wordt kun je altijd nog een script maken dat bijvoorbeeld elk uur controleert of SOCKS is ingeschakeld en je per mail op de hoogte laten brengen. Eventueel kun je meteen daaraan verbonden je WAN interface uit laten schakelen.

Maar volgens mij ben je zelf op de penaltystip gaan liggen toen je de firewall regels hebt gemaakt om remote beheer overal vandaan toe te staan

maandag 20 september 2021 16:26

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Ik snap sowieso niet waarom je de beheer poort van je apparaat naar het internet toe open zou hebben.
Dat is vragen om problemen, bij welk device dan ook.

En als je dat apparaat perse wil managen vanaf Internet, dan zorg je toch voor een VPN of SSH server waarmee je de verbinding op zet om dan vervolgens daar doorheen de boel te beheren?

Just my 2 cents

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 20 september 2021 16:48

Acties:

0 Henk 'm!

Raymond P

@lolgast Mikrotik... standaard staat (stond?) alles open, een default config heeft (had?) een blanco firewall.

De exploit zelf is al lang en breed (2018) gefixed, en daar waren ze toen rap bij ook. Er zat bij mij een weekendje tussen mijn eigen mitigation en Mikrotik's patch.
Als je device nu nog deel neemt in dat botnet dan mag je imho spreken over grove nalatigheid. Een beetje beheerder checkt toch wel periodiek CVE's van z'n speelgoed...

@Thasaidon Soms loopt het gewoon zo, in mijn geval stond beheer die week op dat device open op verzoek van een collega die issues had om tunnels te slaan vanaf de plek waar hij toen was.

Daarbovenop, de vulnerability zat in routeros zelf, de winbox port gaf een makkelijke weg naar binnen maar dat had ook op een andere manier gekund.

- knip -

Onderwerpen