[MikroTik-apparatuur] Ervaringen & Discussie

maandag 20 september 2021 17:07

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Er zijn altijd meerdere wegen naar Rome, dat weet ik ook. Maar je moet het ze natuurlijk niet te makkelijk maken

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 20 september 2021 19:04

Acties:

0 Henk 'm!

ronjon

mocht er nog iemand zoeken naar een goede tutorial om VPN in te stellen op je Mikrotik:
https://forum.mikrotik.com/viewtopic.php?f=23&t=175656

maandag 20 september 2021 19:29

Acties:

+2 Henk 'm!

orvintax

www.fab1an.dev

Raymond P schreef op maandag 20 september 2021 @ 16:48:
@lolgast Mikrotik... standaard staat (stond?) alles open, een default config heeft (had?) een blanco firewall.

Stond en had.

Mijn eerste MT apparaat heb ik nu anderhalf jaar en die heeft altijd een gevulde firewall gehad.

https://dontasktoask.com/

maandag 20 september 2021 19:37

Acties:

0 Henk 'm!

Raymond P

Thx, het is alweer even geleden dat ik een nieuwe uit de doos heb getrokken.

- knip -

maandag 20 september 2021 19:40

Acties:

0 Henk 'm!

ndonkersloot

Wat is de cAP XL AC GROOT zeg in verhouding met de normale cAP AC

.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

maandag 20 september 2021 22:06

Acties:

+2 Henk 'm!

orvintax

www.fab1an.dev

ndonkersloot schreef op maandag 20 september 2021 @ 19:40:
Wat is de cAP XL AC GROOT zeg in verhouding met de normale cAP AC .

Het zou ze sieren als ze dat eventueel in de naam zouden zetten, ooh wacht...

https://dontasktoask.com/

dinsdag 21 september 2021 06:18

Acties:

+2 Henk 'm!

ndonkersloot

orvintax schreef op maandag 20 september 2021 @ 22:06:
[...]

Het zou ze sieren als ze dat eventueel in de naam zouden zetten, ooh wacht...

En dan nog steeds was ik verbaast moet je na gaan

.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

dinsdag 21 september 2021 18:37

Acties:

+1 Henk 'm!

Dyckie

https://forum.mikrotik.com/viewtopic.php?f=21&t=178417

Tips voor Mikrotik eigenaars om na te kijken of ze mogelijk ‘besmet’ zijn.

Voor hulp en meer info zie: https://drive.google.com/drive/folders/1sALkX5QBVEc8xm4wqLEiJzcDmiaJJ_X8?usp=sharing en https://sites.google.com/view/eendraadschema Met vriendelijke groeten, Björn

dinsdag 21 september 2021 20:22

Acties:

0 Henk 'm!

amx

Thasaidon schreef op maandag 20 september 2021 @ 16:26:
Ik snap sowieso niet waarom je de beheer poort van je apparaat naar het internet toe open zou hebben.
Dat is vragen om problemen, bij welk device dan ook.

En als je dat apparaat perse wil managen vanaf Internet, dan zorg je toch voor een VPN of SSH server waarmee je de verbinding op zet om dan vervolgens daar doorheen de boel te beheren?

Just my 2 cents

Al klopt je punt helemaal dat VPN een betere optie is, is het erg makkelijk om te zeggen: tsja dikke pech dat je zo dom bent om dat niet te weten.

Zelfredzaamheid en het verlangen zelfstandig en oplossingsgericht werken zijn kwaliteiten die op Tweakers als positief worden gezien.

Tegelijkertijd kent Tweakers ook veel bezoekers die op zoek zijn naar hardware advies, zowel via de Pricewatch als via het forum. Regelmatig wordt Microtik aangeraden als uitmuntende oplossing. De bezoekers die hierop hun aankoop baseren zijn echt niet dom, maar op marketing praatjes kun je nu eenmaal niet altijd vertrouwen en de goedkoopste oplossing is ook vaak duurkoop.

Een aantal niet direct overduidelijke oorzaken voor deze exploit gevonden in de link naar de forumpost hieronder:

- oud wachtwoord hergebruiken
- config van een oude besmette microtik kopiëren naar een nieuwe microtik en de exploit daardoor installeren
- De microtik wordt bij de eerste keer opstarten direct aan het internet gehangen terwijl er nog geen wachtwoord op zit
- een microtik uit de pro reeks wordt door een leek ingesteld.

Belangrijkste adviezen blijven: updaten en wachtwoord wijzigen. Daarna je config doorspitten op exploits. Algemeen advies daarbij is uitzetten SOCKS proxy en verwijderen van alle scheduled tasks via System>Scheduler

woensdag 22 september 2021 08:44

Acties:

0 Henk 'm!

lolgast

Vraag, want ik kom er zelf niet uit (of het ligt aan mijn test-constructie)

Ik krijg het níet voor elkaar om L2TP VPN vanaf mijn W11 laptop te laten connecten, hij blijft aangeven dat er phase1 proposal errors zijn. Vanaf mijn iPhone werkt het zonder problemen:

sep/21 20:45:18 ipsec,error no suitable proposal found. 
sep/21 20:45:18 ipsec,error 84.241.196.77 failed to get valid proposal. 
sep/21 20:45:18 ipsec,error 84.241.196.77 failed to pre-process ph1 packet (side: 1, status 1). 
sep/21 20:45:18 ipsec,error 84.241.196.77 phase1 negotiation failed.

Volgens mij relevante configuratie:

code:

/ppp profile
add address-list=LAN bridge=bridge1 dns-server=192.168.4.84,192.168.4.85 interface-list=USER_GROUP local-address=10.0.0.1 name=\
    L2TP remote-address=KA_POOL use-encryption=required
/ppp secret
add name=stefan service=l2tp

/ip ipsec profile
set [ find default=yes ] dh-group=modp4096,modp3072,modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm pfs-group=modp4096

Ik heb via PowerShell mijn Windows VPN configuratie omgezet naar SHA256, want MS is vergeten dat in de GUI te bakken....

woensdag 22 september 2021 19:58

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Je kunt de logging van IPsec op debug zetten, dan logt hij de hele ph1 proposal. En anders Wireshark.

Het kan echter bijna niet anders dat het aan de DH group ligt. Een 2048+ bits group is vrijwel nergens de default (eerder de kleinere 1024/1536 bits groups). Heb je dat ook ingesteld op de Windowsclient?

Ook vreemd om voor phase 2 dan een hele andere group te kiezen. modp2048 of ecp256 zijn de meest zinnige keuzes (voor ph1 en ph2) als je 't mij vraagt.

donderdag 23 september 2021 18:10

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

amx schreef op dinsdag 21 september 2021 @ 20:22:
[...]
Al klopt je punt helemaal dat VPN een betere optie is, is het erg makkelijk om te zeggen: tsja dikke pech dat je zo dom bent om dat niet te weten.

Ik bedoelde in deze niet "eigen schuld dikke bult", ook niet icm de vulnerability waar hier eerder over gesproken word.

Op de Mikrotik (en de meeste andere merken) staat namelijk de mgt poort niet standaard open op de WAN interface.
Het moet dus een bewuste actie zijn geweest deze naar het Internet to open te zetten.
Er is dus op een bepaald moment over nagedacht en overwogen dit te doen.
En of dit dan door een expert of beginner gedaan word maakt dan niet uit.

Mijn opmerking was dus in het algemeen bedoeld en ter informatie.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 23 september 2021 18:33

Acties:

0 Henk 'm!

Raymond P

@Thasaidon Voor zover ik mij herinner was de default config allow all in 2018 en stond management gewoon open @WAN.

Dat een expert of professional dat onbeheerd open laat staan is imho wel een kwalijke zaak.

- knip -

donderdag 23 september 2021 18:40

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

Raymond P schreef op donderdag 23 september 2021 @ 18:33:
@Thasaidon Voor zover ik mij herinner was de default config allow all in 2018 en stond management gewoon open @WAN.

Dat een expert of professional dat onbeheerd open laat staan is imho wel een kwalijke zaak.

Mmm... ik kan me niet heugen dat ik die poort in de default config tegen ben gekomen.
En ik heb toch al aardig wat Mikrotiks onder handen gehad in de loop van de jaren.
Al heb ik bij de meesten vaak gelijk de default verwijderd en mijn eigen config gemaakt, dus ik kan me vergissen

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 23 september 2021 19:08

Acties:

0 Henk 'm!

Raymond P

Ah wait! Als default config geen blanco device is dan moet ik altijd hetzelfde hebben gedaan.

- knip -

donderdag 23 september 2021 19:42

Acties:

+3 Henk 'm!

lolgast

Je kunt tegenwoordig in ieder geval kiezen

Device wipe leeg
Device wipe default config

Waarbij de default config alle inkomend verkeer blokkeert

donderdag 23 september 2021 21:38

Acties:

+2 Henk 'm!

Theone098

Klopt, de default config zet de wan poort dicht en zonder config moet je dat zelf doen. Voorheen werd mij wel aangeraden om geen default config te gebruiken. Dat was nog van de periode waarin de oude manier van bridging werd gebruikt, waarbij alles via de CPU liep (er werd dus geen gebruik gemaakt van de switch chip hardware). Ik kan mij voorstellen dat het probleem daar door komt. Klopt volgens mij ook redelijk met het tijdspad (2018 en eerder).

vrijdag 24 september 2021 16:21

Acties:

+2 Henk 'm!

pyrofielo

ndonkersloot schreef op maandag 20 september 2021 @ 19:40:
Wat is de cAP XL AC GROOT zeg in verhouding met de normale cAP AC .

ff plaatje erbij dan?
Afbeeldingslocatie: https://i.redd.it/t8ul05dfffp71.jpg

overigens wil ik dat ding wel hebben

zat sowieso al na te denken om er een AP bij te plaatsen naast de gewone cap ac's die ik heb. eentje extra met een lekker gevoelige antenne lijkt mij wel wat

Astennu lvl 110 Warrior - Bethesda lvl 104 Warlock - Ezrah lvl 110 Druid

vrijdag 24 september 2021 16:32

Acties:

+1 Henk 'm!

ndonkersloot

pyrofielo schreef op vrijdag 24 september 2021 @ 16:21:
[...]

ff plaatje erbij dan?
[Afbeelding]

overigens wil ik dat ding wel hebben
zat sowieso al na te denken om er een AP bij te plaatsen naast de gewone cap ac's die ik heb. eentje extra met een lekker gevoelige antenne lijkt mij wel wat

Ik had er meteen vier besteld om te testen, moet zeggen dat ik persoonlijk nauwelijks verschil merk in de situaties waar ik het nu getest heb.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

dinsdag 28 september 2021 16:52

Acties:

+3 Henk 'm!

dreester

Voor de geïnteresseerden: Routershop.nl verwacht de RB5009 eind november te kunnen leveren. Dat is wat Mikrotik naar hen communiceert en kan dus nog veranderen.

donderdag 7 oktober 2021 21:26

Acties:

+3 Henk 'm!

lolgast

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

[ Voor 8% gewijzigd door lolgast op 07-10-2021 23:13 ]

vrijdag 8 oktober 2021 18:10

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Hoi iedereen,

Ik probeer op mijn MikroTik een firewall rule op te zetten waarbij ik dus een DNS server toe sta om te reageren op queries van clients in andere VLANS. Ik wil dit doen omdat ik een paar firewall rules verder al het verkeer tussen die VLANS wil blokkeren.

Ik heb dus al een rule om DNS queries vanaf de clients naar de DNS server in dat andere VLAN toe te staan, maar als ik dan verderop het verkeer blokkeer tussen de twee VLANS gaat een query versturen wel goed, maar het terugsturen wordt dan tegengehouden door de firewall.

Ik had deze rule dus geprobeerd:

code:

1
2
3

add action=accept chain=forward comment="Allow DNS queries from Aiakos-DNS" \
    dst-port=53 in-interface=bridge out-interface=all-vlan protocol=udp \
    src-address=10.0.0.4

Maar aangezien er geen packets door gaan lijkt het me dat die niet werkt. De bridge interface is mijn default netwerk wat ik gebruik voor mijn homelab.

Wat doe ik fout in deze rule, of is er een manier om de originele rule aan te passen zodat replies er ook doorheen kunnen?

Ik gebruik RouterOS v6.49

https://dontasktoask.com/

vrijdag 8 oktober 2021 19:05

Acties:

+1 Henk 'm!

lolgast

@orvintax Daar is established/related verkeer voor toch

Mijn IOT VLAN gebruikt ook mijn reguliere interne DNS servers en dat werkt gewoon door alleen poort 53 open te zetten van IOT naar KA. En uiteraard een allow established/related regel bovenaan voor forward verkeer

vrijdag 8 oktober 2021 23:28

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

@orvintax Je geeft als source adres 10.0.0.4. Is dat niet de destination (uitgaande dat 10.0.0.4 je interne DNS server is)? In dat geval je moet je als dst-address 10.0.0.4 opgeven.

Eerst het probleem, dan de oplossing

zaterdag 9 oktober 2021 00:19

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

orvintax schreef op vrijdag 8 oktober 2021 @ 18:10:
Ik probeer op mijn MikroTik een firewall rule op te zetten waarbij ik dus een DNS server toe sta om te reageren op queries van clients in andere VLANS.
Ik wil dit doen omdat ik een paar firewall rules verder al het verkeer tussen die VLANS wil blokkeren.

Mijn DNS Server heeft gewoon extra VLAN Interfaces in elk VLAN waarin die actief moet zijn : Misschien een idee om het bij jou ook zo op te zetten

- Alle overige Services/Daemons bind je alleen op je Management VLAN IP adres, tenzij je ze ook elders nodig hebt natuurlijk!
- Je DNS Server bindt dan op elke VLAN interface.

Scheelt je ook weer allerlei Firewall Rules op je Router of de Server zelf!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zondag 10 oktober 2021 11:37

Acties:

0 Henk 'm!

lolgast

Gisteren mijn hEX vervangen voor een RB4011. Was totaal niet nodig, die hEX heeft me echt bijzonder geïmponeerd voor de prijs en de grootte. Maar de RB4011 was dermate goedkoop dat ik nu in ieder weet dat ik goed zit zodra hier later dit jaar glas wordt afgemonteerd.

Ik heb met man en macht geprobeerd voor elkaar te krijgen om hardware offloading actief te houden op de bridge ports, maar óf ik denk te moeilijk óf het gaat gewoon niet icm met de VLAN configuratie die ik wil. Dus dan maar zonder

zondag 10 oktober 2021 21:35

Acties:

+2 Henk 'm!

sambaloedjek

lolgast schreef op zondag 10 oktober 2021 @ 11:37:
Gisteren mijn hEX vervangen voor een RB4011. Was totaal niet nodig, die hEX heeft me echt bijzonder geïmponeerd voor de prijs en de grootte. Maar de RB4011 was dermate goedkoop dat ik nu in ieder weet dat ik goed zit zodra hier later dit jaar glas wordt afgemonteerd.

Ik heb met man en macht geprobeerd voor elkaar te krijgen om hardware offloading actief te houden op de bridge ports, maar óf ik denk te moeilijk óf het gaat gewoon niet icm met de VLAN configuratie die ik wil. Dus dan maar zonder

Heb ook lange tijd een RB750Gr3 gebruikt en werkt op zich prima met 1Gbps glas icm externe L3 switch. Maar een RB4011 met routeros 7.1rc3 geeft nogal wat voordelen. Bijv. bridge HW offloading icm VLAN, en Wireguard VPN. Hierdoor heb ik geen switch meer nodig. Heb deze 7.1rc3 al een tijdje draaien en lijkt stabiel.

maandag 11 oktober 2021 14:09

Acties:

+2 Henk 'm!

Verwijderd

orvintax schreef op vrijdag 8 oktober 2021 @ 18:10:
Ik probeer op mijn MikroTik een firewall rule op te zetten waarbij ik dus een DNS server toe sta om te reageren op queries van clients in andere VLANS. Ik wil dit doen omdat ik een paar firewall rules verder al het verkeer tussen die VLANS wil blokkeren.

Ik heb voor dns het volgende staan:

add action=accept chain=forward comment="Allow DNS to PiHole" dst-address-list=pi-hole dst-port=53 protocol=udp
add action=accept chain=forward comment="Allow DNS to PiHole" dst-address-list=pi-hole dst-port=53 protocol=tcp
add action=accept chain=forward comment="HTTP(S) to Pi-Hole" dst-address-list=pi-hole dst-port=80,443 protocol=tcp

Om verkeer terug te accepteren heb je de algemene regels vast al staat: (regel 2 en 3)
add action=accept chain=input comment="accept established" connection-state=established,related
add action=accept chain=forward comment="Allow traffic back" connection-state=established,related

Uiteraard een addresslist aanmaken met de naam pi-hole (of whatever je wilt)
/ip firewall address-list
add address=x.x.x.x list=pi-hole
add address=x.x.x.y list=pi-hole

maandag 11 oktober 2021 17:52

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

@Verwijderd
Volgens mij is enkel udp/53 genoeg voor reguliere DNS verzoeken.
tcp/53 word voornamelijk gebruikt voor DNS synchronisatie.

Maar ik kan me vergissen.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

maandag 11 oktober 2021 19:00

Acties:

+1 Henk 'm!

Verwijderd

Thasaidon schreef op maandag 11 oktober 2021 @ 17:52:
@Verwijderd
Volgens mij is enkel udp/53 genoeg voor reguliere DNS verzoeken.
tcp/53 word voornamelijk gebruikt voor DNS synchronisatie.

Dat klopt ja.

maandag 11 oktober 2021 19:34

Acties:

+2 Henk 'm!

Raymond P

Nee, als query result te groot is voor een enkel udp pakketje dan is een tcp fallback nodig.

Denk aan ipv6 round robin en dnssec bijvoorbeeld.

- knip -

dinsdag 12 oktober 2021 00:40

Acties:

+1 Henk 'm!

orvintax

www.fab1an.dev

Ik heb de block rule onder de standaard accept related,established,untracked gezet en dan werkt het. Dankjewel iedereen voor de hulp

https://dontasktoask.com/

maandag 18 oktober 2021 11:33

Acties:

+2 Henk 'm!

lolgast

sambaloedjek schreef op zondag 10 oktober 2021 @ 21:35:
[...]

Heb ook lange tijd een RB750Gr3 gebruikt en werkt op zich prima met 1Gbps glas icm externe L3 switch. Maar een RB4011 met routeros 7.1rc3 geeft nogal wat voordelen. Bijv. bridge HW offloading icm VLAN, en Wireguard VPN. Hierdoor heb ik geen switch meer nodig. Heb deze 7.1rc3 al een tijdje draaien en lijkt stabiel.

Ik heb hier net eens naar gekeken, want ik heb niet veel features nodig en durf dus best ROS 7 te draaien. Enige dat ik inderdaad moest doen was IGMP Snooping uitschakelen, dat slikt hij niet met HW offloading. Maar verder werkt alles, ook RSTP wordt ondersteund nu met HW offloading zie ik. Dat is bij ROS 6 ook niet het geval.

zaterdag 6 november 2021 10:38

Acties:

0 Henk 'm!

ronjon

ik probeer te monitoren via snmp hoeveel data een specifiek device gebruikt in mijn netwerk. helaas is deze niet direct op de Mikrotik rb4011 aangesloten, maar zit er nog een switch en access point tussen.

is het mogelijk om alle traffic naar dit device te filteren en via snmp beschikbaar te maken?

setup:
Mikrotik RB4011 --> Mikrotik RB260GPS --> Ruckus AP --> device

*edit* helaas zijn de benodigde snmp OID's voor de Ruckus R500 AP nergens te vinden

[ Voor 10% gewijzigd door ronjon op 06-11-2021 10:54 ]

zaterdag 6 november 2021 15:12

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

Waarom zou je alle verkeer willen filteren? En daarna ook nog via SNMP door willen sturen?
Als het enkel om de hoeveelheid data (data verbruik) gaat zijn daar volgens mij andere manieren voor.
WIl je echt weten wat voor data het is, kun je beter een systeem met wireshark ofzo ertussen zetten.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

zaterdag 6 november 2021 16:38

Acties:

0 Henk 'm!

ronjon

Thasaidon schreef op zaterdag 6 november 2021 @ 15:12:
Waarom zou je alle verkeer willen filteren? En daarna ook nog via SNMP door willen sturen?
Als het enkel om de hoeveelheid data (data verbruik) gaat zijn daar volgens mij andere manieren voor.
WIl je echt weten wat voor data het is, kun je beter een systeem met wireshark ofzo ertussen zetten.

het gaat alleen om data verbruik, niet om wat voor data.
welke andere manieren zijn er ?

zaterdag 6 november 2021 17:45

Acties:

0 Henk 'm!

Raymond P

@ronjon Heeft dat specifieke device ook nog een specifiek IP of MAC adres?
RouterOS kent traffic-flow en kan je aan bijvoorbeeld NTOP hangen.

Als je Ruckus R500 AP die data al heeft kan je wellicht snmpwalk gebruiken om erachter te komen welk OID je zoekt. Als dat niet lukt kan je de webinterface misschien scrapen.

- knip -

zondag 7 november 2021 17:05

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

ronjon schreef op zaterdag 6 november 2021 @ 16:38:
[...]
welke andere manieren zijn er ?

Wellicht overkill voor wat je wil, maar kijk hier eens:
https://techsoftcenter.co...k-network-using-the-dude/

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 10 november 2021 21:58

Acties:

+1 Henk 'm!

sambaloedjek

Leuk klein ding, die nieuwe Rb5009. Wordt totaal niet warm tov een RB4011, in een identieke setup. Minder wattage gebruik. Alleen jammer dat Fasttrack nog niet wordt ondersteund, indien je VLAN filtering toepast.

woensdag 10 november 2021 22:08

Acties:

+1 Henk 'm!

Verwijderd

De 5009 kan koeler blijven omdat de frequentie van de CPU aangepast wordt aan de belasting. De CPU heeft geen IPSEC encryptie support en de 4011 heeft dat wel

donderdag 11 november 2021 11:00

Acties:

+1 Henk 'm!

Verwijderd

Ik heb geen 5009 en ben nog tevreden om mijn 4011 die ook WireGuard prima doet.

Ik heb nog geen IPSEC performance resultaten gezien van de 5009 en in het forum blijft het ook oorverdovend stil over dat.

https://mikrotik.com/product/rb5009ug_s_in#fndtn-testresults

donderdag 11 november 2021 12:37

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Welke snelheid haal je met Wireguard, @Verwijderd? Ik kom namelijk niet boven de 150Mbps uit (Gigabit glas verbinding).

Eerst het probleem, dan de oplossing

donderdag 11 november 2021 13:37

Acties:

+1 Henk 'm!

Verwijderd

Ik kom op met gemak op plus 450 Mbit/s met een 500 Mbit/s verbinding. Dat is dan vergelijkbaar met meerdere IKEv2 verbindingen. Met IKEv2 haalde ik net 250 Mbit/s met enkele verbinding.

Ik markeer de uitgaande connectie zodat ik terugkerend verkeer weer kan route markeren.

woensdag 17 november 2021 14:22

Acties:

+1 Henk 'm!

Me_dusa

Red een boom, eet een bever!

Ik heb na lange tijd weer een Mikrotik op de testbank liggen. Een heuze RB5009.
Als test mag deze het internet serveren vanuit het thuiskantoor inclusief IPTV van KPN(via Budget). Als er mensen zijn die iets willen weten over dit apparaat be my guest en DM!

Me_dusa

woensdag 17 november 2021 17:16

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

Me_dusa schreef op woensdag 17 november 2021 @ 14:22:
Ik heb na lange tijd weer een Mikrotik op de testbank liggen. Een heuze RB5009.
Als test mag deze het internet serveren vanuit het thuiskantoor inclusief IPTV van KPN(via Budget). Als er mensen zijn die iets willen weten over dit apparaat be my guest en DM!

De enige reden dat ik dit topic volg is juist om HIER wat over dat model te lezen en dan i.c.m. verbindingen die sneller zijn dan 1 Gbps

Dus sluit hem eens aan op die Delta 8 Gbps of Tweak 10 Gbps aansluiting en doe eens wat testjes!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

woensdag 17 november 2021 19:44

Acties:

0 Henk 'm!

Me_dusa

Red een boom, eet een bever!

1gig komt volgend jaar maart ergens dan wissel ik van abonnement. Maar die 10gb.. waar vraag ik die aan dan

Me_dusa

woensdag 17 november 2021 20:25

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Me_dusa schreef op woensdag 17 november 2021 @ 14:22:
Als test mag deze het internet serveren vanuit het thuiskantoor inclusief IPTV van KPN(via Budget). Als er mensen zijn die iets willen weten over dit apparaat be my guest en DM!

Het stroomverbruik.

Het maximum is 20 W (of 14 W zonder attachments), maar ik hoop dat het toch een stuk minder is in de praktijk (dwz. idle).

woensdag 17 november 2021 21:18

Acties:

+3 Henk 'm!

Me_dusa

Red een boom, eet een bever!

Ik zal er vd week een meter tussen zetten. Als ik dit nu doe dan krijg ik klachten

Me_dusa

woensdag 17 november 2021 23:37

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

Me_dusa schreef op woensdag 17 november 2021 @ 19:44:
1gig komt volgend jaar maart ergens dan wissel ik van abonnement. Maar die 10gb.. waar vraag ik die aan dan

Tja, je zal maar net Tweak of Delta als optie hebben straks...

Handig toch

En sommigen hebben leuke 10 Gbps NIC's thuis waarmee je het een en ander zou kunnen testen!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 18 november 2021 08:31

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Draai momenteel op mijn RB4011 van MikroTik versie 7.1RC6 (in verband met WireGuard). Nu zie ik dat op mijn SFP (van FS.com) best wel veel Rx Drops geregistreerd worden (en een paar Rx Too Short). Zijn er meer mensen die dit zien? Heb het idee dat ik niet meer Gigabit voltrek... Ga in ieder geval een nieuwe kabel testen, ben vooral benieuwd of het probleem bij mij ligt.

[ Voor 3% gewijzigd door lier op 18-11-2021 08:31 ]

Eerst het probleem, dan de oplossing

donderdag 18 november 2021 13:42

Acties:

+1 Henk 'm!

Verwijderd

Op de 4011 valt de MTU terug naar 1492 i.p.v. voorheen 1500. Dit alleen op ROS 7.x en je hebt hierdoor ook iets minder snelheid.

Ik hier 4 miljoen Rx drops, 500 Rx too Short en iets van 14000 Rx multicast

donderdag 18 november 2021 15:16

Acties:

0 Henk 'm!

Mattie112

Iemand wel eens een L2TP(+IPSec) connectie gemaakt achter NAT?

Situatie:
Router met L2TP aan met static / public IP
Client als CPE (dus WiFi CLIENT), hiervandaan wil ik een L2TP client maken naar de router en dan daar over verkeer duwen (via de LAN ports).

Nou heb ik eea opgezet en in de router zie ik:

code:

1
2
3

15:10:02 ipsec,info respond new phase 1 (Identity Protection): 185.xx.xx.126[500]<=>10.138.4.103[500] 
15:10:02 ipsec,error phase1 negotiation failed due to send error. 185.xx.xx.126[500]<=>10.138.4.103[500] 1ec74d71b766284a:3d40a50775da430f 
15:10:02 ipsec,error 10.138.4.103 phase1 negotiation failed.

Waarbij 10.138.4.103 het INTERNE ip is van de client. Het lijkt er dus op alsof de router keurig een connectie binnen krijgt, en dan terug wil connecten naar een intern IP en dat is niet correct. Op de client kan ik ook wel een Src. Address meegeven in de l2tp-client interface maarja ik heb helemaal geen 'toegang' tot het publieke IP daar.

Dit is toch niet zo heel gek op deze manier? Ja ik zit achter NAT maar ik wil uitgaand de connectie initialiseren so should work?

Open in de firewal: udp 500/1701/4500 en ipsec-esp/ip-encap
L2TP server heeft: 'use ipsec -> required' en verder het default-encryption profile
Profile / secret heeft alleen een remote-address op de DHCP pool staan

Als ik google op dit probleem lees ik wel eea over "nat-traversal" wat aan zou moeten staan maar die optie vind ik niet dus die zal niet meer bestaan in de nieuwste RouterOS (zijn ook aardig oude posts)

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

donderdag 18 november 2021 15:53

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

En als je op NAT Loopback zoekt, @Mattie112 ? En/of even het interne IP adres van je VPN server gebruiken.

Eerst het probleem, dan de oplossing

donderdag 18 november 2021 16:41

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Mattie112 schreef op donderdag 18 november 2021 @ 15:16:
Client als CPE (dus WiFi CLIENT)

Als client waarvan? Aan een extern netwerk?

Dit is toch niet zo heel gek op deze manier? Ja ik zit achter NAT maar ik wil uitgaand de connectie initialiseren so should work?

Als dat IP uit het externe netwerk afkomstig is dan zou m'n eerste ingeving zijn om Wireshark icm. de packet sniffer te gebruiken om te kijken wat er nu werkelijk over de lijn gaat en waar dat IP vandaan komt.

Het lokale IP wordt als ID gebruikt in phase1, maar dat is niet waar het antwoord per definitie naartoe moet zou je zeggen..

Als ik google op dit probleem lees ik wel eea over "nat-traversal" wat aan zou moeten staan maar die optie vind ik niet dus die zal niet meer bestaan in de nieuwste RouterOS (zijn ook aardig oude posts)

Dat bestaat nog wel (zie: IPsec). Als het niet aanstaat kun je dat doen, al betwijfel ik of dat hier het probleem is.

Post ook eens de relevante stukken config, zonder glazen bol kunnen we verder niet zoveel.

vrijdag 19 november 2021 11:30

Acties:

0 Henk 'm!

Mattie112

Thanks voor de tips ga er even mee verder!

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

vrijdag 19 november 2021 15:38

Acties:

+5 Henk 'm!

FreshMaker

Wifi

Kleine headsup als iemand zijn MT zo in de soep gedraaid heeft, dat er netinstall nodig is

* FreshMaker dus ....

Netinstall werkt NIET onder Windows11
Het programma start, de router wordt prima gevonden, maar de software wordt niet geinstalleerd.

Een Win10 machine + Netinstall - 5 minuten later weer volledig in orde

maandag 22 november 2021 16:34

Acties:

0 Henk 'm!

Yohost!

Hier ook een RB5009 binnen.
Iemand enig idee hoe ik hier een multicast package op krijg?
Op de download site staat niks van v7.0.5
Of moet ik dan upgraden naar 7.1rc6 en is deze wel net zo stabiel?

maandag 22 november 2021 16:54

Acties:

+1 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

Yohost! schreef op maandag 22 november 2021 @ 16:34:
Hier ook een RB5009 binnen.
Iemand enig idee hoe ik hier een multicast package op krijg?
Op de download site staat niks van v7.0.5
Of moet ik dan upgraden naar 7.1rc6 en is deze wel net zo stabiel?

Het zou in de extrapackages moeten zitten , maar ik heb net gekeken daar zit hij nog niet in .

Nu hou ik nog een grote afstand van v7 , maar is hij niet toevallig al geinstalleerd
je kan dit checken in > system > packages

of via cli "system package print"

Netwerk Engineer

maandag 22 november 2021 16:58

Acties:

0 Henk 'm!

Yohost!

Ja daar staat niet meer zoveel in als vroeger

Columns: NAME, VERSION
# NAME VERSI
0 routeros 7.0.5

Hmm anders toch maar weer terug naar mijn oude router en deze als test erbij houden.

maandag 22 november 2021 17:01

Acties:

0 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

Oh das bijzonder veel inderdaad.

Jammer, iedereen verwachtte zoveel van versie7 , multicore bgp bijvoorbeeld.

Netwerk Engineer

maandag 22 november 2021 18:54

Acties:

0 Henk 'm!

Verwijderd

MulticoreBGP is veel besproken in het forum van Mikrotik. Bepaalde delen van het proces kan multi-core, een belangrijk belangrijk deel niet.
De 2004 is kennelijk het meest geschikt daarvoor.

Voor de 7.x only devices is onlangs versie 7.0.9 beschikbaar en probeer via support deze versie voor de 5009 te krijgen.

https://forum.mikrotik.co...8&hilit=multicast#p890258

[ Voor 12% gewijzigd door Verwijderd op 22-11-2021 18:59 ]

maandag 22 november 2021 22:49

Acties:

0 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

Verwijderd schreef op maandag 22 november 2021 @ 18:54:
MulticoreBGP is veel besproken in het forum van Mikrotik. Bepaalde delen van het proces kan multi-core, een belangrijk belangrijk deel niet.
De 2004 is kennelijk het meest geschikt daarvoor.

Voor de 7.x only devices is onlangs versie 7.0.9 beschikbaar en probeer via support deze versie voor de 5009 te krijgen.

https://forum.mikrotik.co...8&hilit=multicast#p890258

De routers die wij daarvoor gebruikte waren CCR1072. Het was een erfenis van een provider.
we hadden een stuk of 15 van die dingen in het netwerk.

Ik kan je vertellen ,dat het spul niet goed presteerde. Zonder al te veel in detail te treden

Netwerk Engineer

maandag 22 november 2021 23:50

Acties:

+1 Henk 'm!

mbovenka

Dat is niet zo verrassend. Die TILE-based routers (CCR1036/1072) zijn 1200 MHz cores. Je smartphone is sneller.... Alles wat maar 1 core kan gebruiken (zoals BGP) gaat apetraag zijn.

dinsdag 23 november 2021 11:20

Acties:

0 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

mbovenka schreef op maandag 22 november 2021 @ 23:50:
Dat is niet zo verrassend. Die TILE-based routers (CCR1036/1072) zijn 1200 MHz cores. Je smartphone is sneller.... Alles wat maar 1 core kan gebruiken (zoals BGP) gaat apetraag zijn.

Precies. Dus vandaar dat we het niet meer gebruiken.

Netwerk Engineer

donderdag 25 november 2021 19:13

Acties:

+3 Henk 'm!

Verwijderd

@DutchITMaster eh...BGP. 2116 is coming: https://m.youtube.com/watch?v=TVZG7TvUxXY

Geen koffie pauze meer als de BGP draait en draait....

[ Voor 23% gewijzigd door Verwijderd op 25-11-2021 19:13 ]

vrijdag 26 november 2021 08:32

Acties:

+1 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

Verwijderd schreef op donderdag 25 november 2021 @ 19:13:
@DutchITMaster eh...BGP. 2116 is coming: https://m.youtube.com/watch?v=TVZG7TvUxXY

Geen koffie pauze meer als de BGP draait en draait....

The holy grail. Maybe if I touch it then……

Netwerk Engineer

vrijdag 26 november 2021 09:46

Acties:

0 Henk 'm!

DRAFTER86

Kan iemand mij kort uitleggen wat er zo tof is aan BGP? (oprechte interesse)
En waarom je een router met 16 cores zou willen?

vrijdag 26 november 2021 09:48

Acties:

+1 Henk 'm!

Vorkie

Verwijderd schreef op donderdag 25 november 2021 @ 19:13:
@DutchITMaster eh...BGP. 2116 is coming: https://m.youtube.com/watch?v=TVZG7TvUxXY

Geen koffie pauze meer als de BGP draait en draait....

Deze zijn altijd handig

Afbeeldingslocatie: https://tweakers.net/i/i7uqyvR6YHT17-9ZgI_q7WTXGvc=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/EOvH0tW7l7hGWNtA7fYXdRCu.png?f=user_large

vrijdag 26 november 2021 10:01

Acties:

+2 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

DRAFTER86 schreef op vrijdag 26 november 2021 @ 09:46:
Kan iemand mij kort uitleggen wat er zo tof is aan BGP? (oprechte interesse)
En waarom je een router met 16 cores zou willen?

Het hele internet is bruikbaar oa dankzij BGP. Via Bgp worden de routes gedistributeerd op internet.

Op het moment dat je een flink netwerk bouwt, maar ook als je iptransit gebruikt en de volledige routetabel binnenhaalt ( is nu ongeveer 800K aan routes ) met meerdere iptransits is het dubbel.

Op het moment dat een route kapot gaat en er veel mutaties zijn in de bgp tabel, dan heeft hij rekenkracht nodig om dit door te voeren ( inclusief achterliggende apparatuur ) Ebgp en Ibgp. Als dit niet snel genoeg gaat krijg je veel problemen in je netwerk omdat routes niet kloppen of onvolledig zijn

Denk aan facebook pas, dat waren BGP issues

[ Voor 6% gewijzigd door DutchITMaster op 26-11-2021 10:08 ]

Netwerk Engineer

vrijdag 26 november 2021 10:29

Acties:

+2 Henk 'm!

mbovenka

Vorkie schreef op vrijdag 26 november 2021 @ 09:48:
[...]

Deze zijn altijd handig

Hmmm... Een Prestera 98DX3255. Dat is veelbelovend. Dat is namelijk een 'Layer 2/3+' chip (zoals Marvell het noemt), net als de 98DX8* zoals ze in de grotere CRS3 switches zitten, en dat betekent weer potentieel volledige L3 hardware offload, inclusief NAT & FastTrack.

Niiice...

vrijdag 26 november 2021 11:07

Acties:

+2 Henk 'm!

DJSmiley

Ik ben benieuwd.. Tot nu toe gebruik ik de Mikrotiks niet voor veel BGP, alleen voor een klant die bv een redundant verbinding wil. Maar dat is niet meer dan een paar default routes.

Die CCR2116 ziet er wel interessant uit. De 2004 serie heeft of geen koper, of te weinig SFP+ poorten. Die 2116 is een mooie combi oplossing!

Alleen als je full BGP zou willen doen is alleen 10G poorten anno 2021 wel een beetje achterhaald in veel gevallen.

vrijdag 26 november 2021 12:15

Acties:

+1 Henk 'm!

Verwijderd

Met link aggregation kun je 4 x 10GB bereiken, echter alleen op glas.

Marvell Prestera 98DX3255 integrates up to 24 ports of 1GbE with 8
ports of 10GbE uplinks or 2 ports of 40Gbps stacking for a largely
wireless SMB deployment.

vrijdag 26 november 2021 12:23

Acties:

0 Henk 'm!

sOid

Hmm ik zie net toevallig wat opmerkelijke inlogpogingen in de log van m'n Mikrotik Hex S. Gelukkig standaard admin-account uitgeschakeld en uniek wachtwoord ingesteld, maar voelt toch niet lekker.

*.199 is machine waarop ik Windows of Linux heb draaien. Op het moment dat dit gebeurde waarschijnlik Windows. Met virusscan en die heeft inets opgepikt.

Moet/kan ik hier iets mee?

code:

oct/30/2021 10:42:13 system,error,critical login failure for user EServicios from 192.168.1.199 via ssh
oct/30/2021 10:42:16 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:17 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:18 system,error,critical login failure for user MikroTikSystem from 192.168.1.199 via ftp
oct/30/2021 10:42:19 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:20 system,error,critical login failure for user dircreate from 192.168.1.199 via ftp
oct/30/2021 10:42:22 system,error,critical login failure for user SolucTec from 192.168.1.199 via ftp
oct/30/2021 10:42:23 system,error,critical login failure for user EServicios from 192.168.1.199 via ftp

vrijdag 26 november 2021 12:28

Acties:

0 Henk 'm!

molenganger

sOid schreef op vrijdag 26 november 2021 @ 12:23:
Hmm ik zie net toevallig wat opmerkelijke inlogpogingen in de log van m'n Mikrotik Hex S. Gelukkig standaard admin-account uitgeschakeld en uniek wachtwoord ingesteld, maar voelt toch niet lekker.

*.199 is machine waarop ik Windows of Linux heb draaien. Op het moment dat dit gebeurde waarschijnlik Windows. Met virusscan en die heeft inets opgepikt.

Moet/kan ik hier iets mee?
code:
1
2
3
4
5
6
7
8
oct/30/2021 10:42:13 system,error,critical login failure for user EServicios from 192.168.1.199 via ssh
oct/30/2021 10:42:16 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:17 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:18 system,error,critical login failure for user MikroTikSystem from 192.168.1.199 via ftp
oct/30/2021 10:42:19 system,error,critical login failure for user admin from 192.168.1.199 via ftp
oct/30/2021 10:42:20 system,error,critical login failure for user dircreate from 192.168.1.199 via ftp
oct/30/2021 10:42:22 system,error,critical login failure for user SolucTec from 192.168.1.199 via ftp
oct/30/2021 10:42:23 system,error,critical login failure for user EServicios from 192.168.1.199 via ftp

FTP toegang uitschakelen?
Eventueel FTP toegang een andere poort geven.

vrijdag 26 november 2021 12:30

Acties:

0 Henk 'm!

sOid

molenganger schreef op vrijdag 26 november 2021 @ 12:28:
[...]

FTP toegang uitschakelen?
Eventueel FTP toegang een andere poort geven.

Heb ik intussen gedaan ja. FTP helemaal uitgeschakeld (gebruik ik toch niet) en SSH op andere poort gezet.
Maar het blijft wel vreemd want dit betekent toch dat iemand al in m'n netwerk zit? Hoe kan het anders een inlogpoging via LAN zijn?

SSH en FTP staan namelijk ook dicht voor de buitenwereld. Dacht dat het niet zo veel kwaad kon om open te zetten op LAN...

vrijdag 26 november 2021 12:33

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Wie/wat is 192.168.1.199, @sOid ?

Eerst het probleem, dan de oplossing

vrijdag 26 november 2021 12:34

Acties:

+2 Henk 'm!

Verwijderd

Je kunt ook de toegang beperken als je toch die service nodig hebt. Van buiten is niets bereikbaar bij mij.

Afbeeldingslocatie: https://tweakers.net/i/rvPqytADdmbNZH_NIOb3m3U-_Zs=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/gJcIrdMLXTuMmljKq4n0sDVc.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/rvPqytADdmbNZH_NIOb3m3U-_Zs=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/gJcIrdMLXTuMmljKq4n0sDVc.jpg?f=user_large

Ik gebruik ftp op localhost om bestanden in files te hernoemen.

vrijdag 26 november 2021 12:36

Acties:

0 Henk 'm!

sOid

lier schreef op vrijdag 26 november 2021 @ 12:33:
Wie/wat is 192.168.1.199, @sOid ?

Dat is de Windows/Linux-PC die ik onlangs heb gebouwd.

Althans, dat is nu het IP-adres van die machine. Weet niet 100% zeker of dat toen ook het geval was. Heeft geen statisch IP namelijk (wel een reden om dat nu te doen overigens). Kan ik dat in de logs ergens achterhalen?

Verder in netwerk: Synology NAS, NUC met Ubuntu, PiHole met Ubuntu, Powernode (audioversterker), AppleTV en een MacbookPro (en wat iOS-devices). Ook een zooi docker-containers maar lijkt me niet dat dat het probleem is.

De meeste apparaten hebben een statisch IP, maar PC, MacBook en iOS-devices niet.

@Verwijderd Dat kan ook geen kwaad om in te stellen. Hoe kan ik daar meerdere IP-adressen invullen? Gescheiden met puntcomma? (Wil niet meteen het hele subnet toevoegen want dat had hiervoor geen nut gehad.) En waarom heb je daar ook 127.0.0.1 staan?

[ Voor 40% gewijzigd door sOid op 26-11-2021 12:42 ]

vrijdag 26 november 2021 12:42

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Zeggen die gebruikersnamen je iets...? Anders dan denk ik dat je Windows machine gecompromitteerd is.

Je zou in de logging misschien nog na kunnen kijken welk MAC adres aan dit IP adres gekoppeld was ten tijde van het uitgeven van het IP adres.

Eerst het probleem, dan de oplossing

vrijdag 26 november 2021 12:46

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op vrijdag 26 november 2021 @ 12:30:
Maar het blijft wel vreemd want dit betekent toch dat iemand al in m'n netwerk zit? Hoe kan het anders een inlogpoging via LAN zijn?

Juist, dus daar moet je je op richten.

Er zat of zit een besmette machine in je netwerk. Die moet je vinden.

Zie ook Brute passwords of microtik devices from the local network, how to identify malware?

SSH en FTP staan namelijk ook dicht voor de buitenwereld. Dacht dat het niet zo veel kwaad kon om open te zetten op LAN...

Kan het ook niet. Dat aanpassen van poorten of filteren op IP-ranges zou ik ook niet doen: het voegt niets toe en je snijdt jezelf er nu juist mee in de vingers. Als SSH/FTP niet open stond op de default ports had je dit nooit opgemerkt.

Belangrijkste is dat het nooit openstaat naar WAN, en daarmee is de kous af.

vrijdag 26 november 2021 12:50

Acties:

0 Henk 'm!

sOid

@lier @Thralas Dank. De logs lijken slechts terug te gaan tot 24 november, maar ook daar zie ik wat vreemds. Zelfs vandaag nog. Hoe kan ik hier achterhalen waar die inlogpogingen vandaan komen? (De data staan wat door elkaar aangezien ik de kolom heb geordend op error.)

N.b. die windows-bak heeft al een week niet aan gestaan. Niet met Windows iig, wel met HiveOS.

De gebruikersnamen zeggen me niets.

Edit: voor de zekerheid heb ik alle poorten vanaf WAN (eigenlijk alleen 80 en 443 naar nginx zodat ik HomeAssistant (met MFA) kan benaderen) even dicht gezet. VPN idem.

Afbeeldingslocatie: https://tweakers.net/i/KcvrFl04C1eC_3pUi4HWvSC0UMQ=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/OvIaW7JJfzbkEUv96VybAwE3.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/KcvrFl04C1eC_3pUi4HWvSC0UMQ=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/OvIaW7JJfzbkEUv96VybAwE3.jpg?f=user_large

[ Voor 17% gewijzigd door sOid op 26-11-2021 12:56 ]

vrijdag 26 november 2021 12:56

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Welkom in de wereld van het grote boze Internet. Standaard poorten (ook voor VPN) worden vaak "getest".

O ja...gooi PPTP zo snel mogelijk van je systeem, dat wil je niet (nooit)!

Zou je je firewall hier willen delen? Eventueel IP gegevens eruit halen.

/ip firewall export

[ Voor 21% gewijzigd door lier op 26-11-2021 12:57 ]

Eerst het probleem, dan de oplossing

vrijdag 26 november 2021 12:57

Acties:

+1 Henk 'm!

DJSmiley

Heb je een PPTP server draaien? t lijkt erop of men probeert te verbinden hiermee en je die service dus hebt draaien.

t is alleen niet te zien over welke interface die binnenkomt. Ik neem aan via je lan. Via de wan mag ik hopen dat je een default deny hebt staan.

Los daarvan: Onnodige services altijd uitschakelen en zeker legacy meuk als PPTP

vrijdag 26 november 2021 13:12

Acties:

0 Henk 'm!

sOid

@lier @DJSmiley Nee volgens mij heb ik dat niet draaien. Of ik kijk verkeerd? Zie screenshot. Ik heb vorig jaar een VPN-server ingesteld maar ik kreeg het niet helemaal lekker werkend (ander subnet, vond ik onhandig) en door covid-thuiswerkellende niet verder in gedoken. Kan me niet meer precies herinneren hoe ik dat toen heb geconfigureerd.

De gebruiker die ik daarvoor had aangemaakt heeft voor het laatst in oktober 2020 ingelogd, dus dat is iig niet gecompromitteerd.

Afbeeldingslocatie: https://tweakers.net/i/735MkIUZHiBzHVnCfTNOZiD94nw=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/5QBOQIilKNEa3szebRqz7lcY.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/735MkIUZHiBzHVnCfTNOZiD94nw=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/5QBOQIilKNEa3szebRqz7lcY.jpg?f=user_large

En dit is m'n NAT table (onderste 3 dus net uitgeschakeld).
Afbeeldingslocatie: https://tweakers.net/i/pIReou3Olswr6EtCS642jbybbRs=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/a1eDokgUyctQN5XIzvKJC4C8.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/pIReou3Olswr6EtCS642jbybbRs=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/a1eDokgUyctQN5XIzvKJC4C8.jpg?f=user_large

[ Voor 4% gewijzigd door sOid op 26-11-2021 13:12 ]

vrijdag 26 november 2021 13:14

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

sOid schreef op vrijdag 26 november 2021 @ 12:50:
N.b. die windows-bak heeft al een week niet aan gestaan. Niet met Windows iig, wel met HiveOS.

Als het inderdaad wel die machine is, dan zou ik de proceslijst op die Windowsmachine (en autorun entries, etc.) even grondig napluizen. Zie ook de hint op de MikroTik-forums van iemand die zegt dit eerder te heben gezien.

De rest van je nieuwe log is voornamelijk ruis van het internet, maar dat wil je (zoals al gezegd hierboven) beperken. In algemene zin zou ik aanraden om Wireguard of OpenVPN in te richten en dan één poort daarvoor open te zetten. Dan heb je dit soort logvervuiling niet en is de kans dat iemand van buitenaf inbreekt nul.

sOid schreef op vrijdag 26 november 2021 @ 13:12:
@lier @DJSmiley Nee volgens mij heb ik dat niet draaien. Of ik kijk verkeerd?

Dat is zo niet te zien (waarschijnlijk ander tabblad voor PPTP). Maak even een export met /export hide-sensitive en post dat.

vrijdag 26 november 2021 13:16

Acties:

0 Henk 'm!

Verwijderd

Een kanarie op de poort zetten om zo te zien of er aanvallen zijn is begrijpelijk. Alleen als je er vanuit gaat dat er ook lekken zijn waarvan Mikrotik geen weet heeft dan een kanarie niet veel zin want die kent geen karate om de aanvaller buiten de deu..poort te houden. De kanarie valt gewoon dood neer en de aanvaller heeft dan vrij spel voordat het log ooit bekeken wordt.

@sOid Toevoegen van extra IP addessen in Winbox is gemakkelijk en in de terminal is het een komma en spatie tussen de IP adressen.

vrijdag 26 november 2021 13:21

Acties:

0 Henk 'm!

Vaenir

Ik hoop dat iemand mij hier kan helpen. Ik probeer een Wireguard verbinding op te zetten naar mijn Unraid server welke eigenlijk zo goed als werkt. Echter krijg ik het niet voor elkaar om de Docker containers te benaderen waarbij ik zelf een ip adres heb toegewezen.

De Docker containers die binnen het eigen Unraid netwerk draaien (bridge/host) zijn allemaal wel te benaderen. Voor zover ik het begrijp komt dit omdat wanneer je zelf een statisch ip aangeeft dan handelt de router het af en maak je er een aan op bridge/host van Unraid dan handelt hij dat verkeer zelf af.

Even voor de duidelijkheid alles werkt perfect op mijn interne netwerk. Het gaat nu puur wanneer ik buiten mijn netwerk een verbinding opzet via wireguard naar mijn server. Ik las iets over het instellen van een "next hop" of kom ik weg met een simpele firewall rule? Dit gaat mijn kennis net te boven.

Afbeeldingslocatie: https://tweakers.net/i/Mig0irCL-6YKFqPIb-ZzgqMsSW4=/800x/filters:strip_exif()/f/image/ObgwfqfIGsmtGUuVmmebtAfi.png?f=fotoalbum_large

vrijdag 26 november 2021 13:36

Acties:

+1 Henk 'm!

Goof2000

Verwijderd schreef op vrijdag 26 november 2021 @ 13:16:
Een kanarie op de poort zetten om zo te zien of er aanvallen zijn is begrijpelijk. Alleen als je er vanuit gaat dat er ook lekken zijn waarvan Mikrotik geen weet heeft dan een kanarie niet veel zin want die kent geen karate om de aanvaller buiten de deu..poort te houden. De kanarie valt gewoon dood neer en de aanvaller heeft dan vrij spel voordat het log ooit bekeken wordt.

@sOid Toevoegen van extra IP addessen in Winbox is gemakkelijk en in de terminal is het een komma en spatie tussen de IP adressen.

Over die kanarie gesproken, naar aanleiding van bovenstaande eens in de log bestanden gedokken. Maar ik wil graag pro actief weten als iemand op de deur klopt.
(Ik heb al een emailadres die ik gebruik voor kritieke meldingen.)
Daarom kwam ik een script tegen die dat doet: https://mhelp.pro/mikroti...gin-attempt-notification/

vrijdag 26 november 2021 13:50

Acties:

+1 Henk 'm!

lolgast

Ik wil gewoon dat ze het helemaal niet kunnen. Dus Winbox staat niet open aan de buitenkant (common sense denk ik) en alle apparaten die een poort proberen te benaderen die niet dstnat is (en dat is alleen 443) gaan 24 uur op de blacklist. Óok voor poort 443. En dat geldt ook voor interne apparaten.

vrijdag 26 november 2021 13:57

Acties:

0 Henk 'm!

sOid

Thralas schreef op vrijdag 26 november 2021 @ 13:14:
[...]

De rest van je nieuwe log is voornamelijk ruis van het internet, maar dat wil je (zoals al gezegd hierboven) beperken. In algemene zin zou ik aanraden om Wireguard of OpenVPN in te richten en dan één poort daarvoor open te zetten. Dan heb je dit soort logvervuiling niet en is de kans dat iemand van buitenaf inbreekt nul.

Check. Ga ik me in verdiepen. Als dit is opgelost.

[...]

Dat is zo niet te zien (waarschijnlijk ander tabblad voor PPTP). Maak even een export met /export hide-sensitive en post dat.

Hierbij.

Bash:

*knip*

[ Voor 93% gewijzigd door sOid op 26-11-2021 16:35 ]

vrijdag 26 november 2021 13:58

Acties:

0 Henk 'm!

lolgast

@sOid Regel 179/181. PPTP staat gewoon aan.

vrijdag 26 november 2021 14:01

Acties:

0 Henk 'm!

lolgast

@sOid Gokje:

/interface pptp-server server set enabled=no

vrijdag 26 november 2021 14:05

Acties:

+1 Henk 'm!

lolgast

DutchITMaster schreef op vrijdag 26 november 2021 @ 14:04:
[...]

Denk dat sOid dit niet meer kan lezen ?

Telefoon met 4G?

Tenminste, dat is wat ik zou doen haha

vrijdag 26 november 2021 14:07

Acties:

0 Henk 'm!

DutchITMaster

Pay peanuts, get monkeys.

Gewoon een goede drop op de forward en input chain zetten. Dan is hij al op 80 procent.
Daarna gewoon kijken wat je wel toestaat.

Ik hou zelf niet zo van regels als "if there is a port forward then its fine"
Ik defineer alles zelf , firewall to host > pfw to host. Dan kan er niets misgaan

Netwerk Engineer

Onderwerpen