:fill(white):strip_exif()/i/2000549950.jpeg?f=thumbmini)
:strip_exif()/i/2005749774.png?f=thumbmini)
:fill(white):strip_exif()/i/2001690973.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000609859.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752202.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752204.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000549946.jpeg?f=thumbmini)
:strip_exif()/i/2001630061.png?f=thumbmini)
:fill(white):strip_exif()/i/2000550046.jpeg?f=thumbmini)
:strip_exif()/i/2001729163.png?f=thumbmini)
:fill(white):strip_exif()/i/2001894267.jpeg?f=thumbmini)
:strip_exif()/i/2001602173.png?f=thumbmini)
:fill(white):strip_exif()/i/2000627608.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001033897.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001603121.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000897642.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281701.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281691.jpeg?f=thumbmini)
:strip_exif()/i/2004729478.png?f=thumbmini)
:fill(white):strip_exif()/i/2000549949.jpeg?f=thumbmini)
:strip_exif()/i/2000645685.png?f=thumbmini)
:fill(white):strip_exif()/i/2001344711.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000600066.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1395229077.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1396256832.jpeg?f=thumbmini)
:strip_exif()/i/1395224034.png?f=thumbmini)
:strip_icc():strip_exif()/u/198189/crop67ecf5f08705a_cropped.jpg?f=community)
Dat snap ik, maar dat werkt natuurlijk niet voor poorten zoals 443 en bijvoorbeeld 500/1701/4500. Want áls die openstaan moet dat doorgaans vanaf het hele internet
:strip_icc():strip_exif()/u/109013/crop5ebb9b611401c_cropped.jpeg?f=community)
Heb ik inderdaad gedaan. Nu krijg ik dit.
/interface pptp-server server print
enabled: no
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap1,mschap2
keepalive-timeout: 30
default-profile: default-encryption
Daarnaast heb ik dit gedaan:
/ip firewall filter add chain=input protocol=gre action=drop
Ik moet bekennen dat dit mijn kennis ook te boven gaat. Toen ik m'n Mikrotik een jaar terug ging configureren kwam ik het een en ander tegen aan firewall-regels. Toen ook nog hier laten checken. Zou dit eruit moeten?
Ja, hotspot op iPad van het werk:
[...]
Telefoon met 4G?
(Nog telefoontjes tussendoor dus reactie duurde wat langer.)
Maar heren, moet ik me hier zorgen om maken? Zat er net inderdaad iemand in mijn netwerk? Het voelt heel creepy (weet ik meteen hoe dat voelt...). Of interpreteer ik het verkeerd?
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/Tqm7LoQNCE8zBCQKezOAAOtk.jpg?f=user_large)
Vraag me af welke stappen ik nu moet ondernemen. Sowieso virusscan overal (draait al op m'n Syno, dat is nu eigenlijk het belangrijkste qua vertrouwelijke data.)
Vraag me af welke stappen ik nu moet ondernemen. Sowieso virusscan overal (draait al op m'n Syno, dat is nu eigenlijk het belangrijkste qua vertrouwelijke data.)
:strip_icc():strip_exif()/u/121816/crop5792147f015bf_cropped.jpeg?f=community)
Dat doe je dan toch ook bewust. Dan is het ook niet als een bus van links als je daar een dictionairy attack op ontvangt.:
[...]
Dat snap ik, maar dat werkt natuurlijk niet voor poorten zoals 443 en bijvoorbeeld 500/1701/4500. Want áls die openstaan moet dat doorgaans vanaf het hele internet
Maar ook daar zijn oplossingen voor, een blacklist na de nodige hits, gewoon voor 48 uur op de blacklist.
Daarna gooi je dat verkeer al weg in de RAW firewall ( dan is het al geblocked voor het uberhaubt je software firewall raakt. )
Daarnaast kan je jezelf nog wapenen door bij voorbaat al wat adreslijsten met gure iptjes te blokeren. En eventueel een Geoblock script toe te passen en zo al de nodige landen uit te sluiten.
als je er een beetje liefde in stopt krijg je al flink wat schoon verkeer
Netwerk Engineer
ph34r my [WCG] Cows :P
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Naast de eerdere uitleg : Ook vreselijk handig als je zo'n MikroTik Router in een Datacenter neerzet in je eigen rack of co-located!
Waarom heb je geen apart Management VLAN
Ik geef altijd alle apparaten een Static DHCP Mapping en een DNS naampje in Pi-Hole
Naast de "Server-achtigen" die uiteraard een Static IP hebben!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
ph34r my [WCG] Cows :P
Breng de ISP's nou niet op rare ideeën!
Ik kan me nog goed herinneren hoeveel ellende het was als je destijds ZonNet als ISP had en een Allied Data Router die je eerst moest hacken/cracken om wat poortjes door te kunnen mappen...
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Idd.. been there, done that. Ik heb toen op de 823 van Demon nog uitgevogeld (Samen met anderen) hoe je dat ding als router kon laten fungeren (Staat zelfs nog online: https://www.djsmiley.com/cj823/cj823_1.htm ):
[...]
Breng de ISP's nou niet op rare ideeën!
Ik kan me nog goed herinneren hoeveel ellende het was als je destijds ZonNet als ISP had en een Allied Data Router die je eerst moest hacken/cracken om wat poortjes door te kunnen mappen...
[ Voor 6% gewijzigd door DJSmiley op 26-11-2021 16:51 ]
/u/358033/crop6238ef90ce5cf_cropped.png?f=community)
:strip_icc():strip_exif()/u/655387/crop61f7a5bca3e6c_cropped.jpg?f=community)
Die heb ik inderdaad ook gebruikt om het te leren begrijpen. Zeker omdat ik met Unifi switches en AP’s hybride poorten ‘moet’ gebruiken en daar kwam ik echt niet uit met alleen de wiki van Mikrotik
Zelfs binnen het ecosysteem van mikrotik is het afhankelijk welke hardware je gebruikt. De CRS3 werkt anders dan mijn CRS226-en. Maar het werkt wel als je het eenmaal in de gaten hebt.:
[...]
Die heb ik inderdaad ook gebruikt om het te leren begrijpen. Zeker omdat ik met Unifi switches en AP’s hybride poorten ‘moet’ gebruiken en daar kwam ik echt niet uit met alleen de wiki van Mikrotik
Oké, de config aangepast:
Verder nog vergeleken met de config in de link.
Helaas nog niet werkende..
code:
1
2
| /interface bridge add frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes name=bridge1 vlan-filtering=yes |
Verder nog vergeleken met de config in de link.
Helaas nog niet werkende..
/u/15015/Rammstein-Logo.png?f=community){kind=logo}
Na ruim 10 jaar wil ik mijn CRS125-24G-1S-2HnD gaan vervangen door wat nieuws.
De CRS125 heb ik gebruikt als router en switch, maar hij is eigenlijk iets te langzaam geworden voor hier thuis.
Inmiddels heb ik voor mijn 10Gbit verbindingen en POE een CRS328-24P-4S+ aangeschaft, maar deze is te langzaam om te routeren, dus ik heb hem alleen als switch in gebruik.
Maar nu heb ik dus een nieuwe router nodig die (minimaal) 1 SFP (voor internet) en 1 SFP+ heeft om die met een DAC kabel aan te sluiten op mijn CRS328.
Ik heb als mogelijke vervanger gevonden:
CCR1009-7G-1C-1S+ of CCR2004-16G-2S+
Beide hebben genoeg SFP/SFP+ poorten, maar wel weer erg veel UTP poorten die ik niet direct zal gebruiken ivm de 24 poorts CRS328.
Hebben jullie misschien tips waar ik misschien nog niet aan heb gedacht?
Misschien een router die ik per ongelijk heb overgeslagen in mijn zoektocht?
Of zijn deze misschien een beetje extreem overkill voor 5 vlans die max 1Gbit hoeven te routeren...
De CRS125 heb ik gebruikt als router en switch, maar hij is eigenlijk iets te langzaam geworden voor hier thuis.
Inmiddels heb ik voor mijn 10Gbit verbindingen en POE een CRS328-24P-4S+ aangeschaft, maar deze is te langzaam om te routeren, dus ik heb hem alleen als switch in gebruik.
Maar nu heb ik dus een nieuwe router nodig die (minimaal) 1 SFP (voor internet) en 1 SFP+ heeft om die met een DAC kabel aan te sluiten op mijn CRS328.
Ik heb als mogelijke vervanger gevonden:
CCR1009-7G-1C-1S+ of CCR2004-16G-2S+
Beide hebben genoeg SFP/SFP+ poorten, maar wel weer erg veel UTP poorten die ik niet direct zal gebruiken ivm de 24 poorts CRS328.
Hebben jullie misschien tips waar ik misschien nog niet aan heb gedacht?
Misschien een router die ik per ongelijk heb overgeslagen in mijn zoektocht?
Of zijn deze misschien een beetje extreem overkill voor 5 vlans die max 1Gbit hoeven te routeren...
Heb je niet voldoende aan 1G naar je router, als alle andere devices en uplink toch ook 'maar' 1G hebben?
De CCR1009 zou ik absoluut nooit kopen (Tilera, inmiddels achterhaalde architectuur, ook voor MikroTik) en voor beide geldt dat ze nooit tot hun recht komen in een thuisnetwerk qua value for money.Hebben jullie misschien tips waar ik misschien nog niet aan heb gedacht?
Misschien een router die ik per ongelijk heb overgeslagen in mijn zoektocht?
Of zijn deze misschien een beetje extreem overkill voor 5 vlans die max 1Gbit hoeven te routeren...
Enige waar ik rekening mee zou houden (en waar je nu mogelijk ook al tegenaan kunt lopen) is dat conversie van 10G <-> 1G dramatische performance kan opleveren door microbursts (Google) icm. de minieme buffers op MikroTik 10G switches.
Misschien is dat laatste minder of geen probleem op de routers met SFP+, maar ik zou het wel goed uitzoeken om teleurstellingen te voorkomen.
Anders: een RB5009 misschien? Dat is het snelste dat je nog een beetje tot z'n recht kunt laten komen.
Dankjewel! Not great, not terrible either. Acceptabel.
:strip_icc():strip_exif()/u/53553/hiddink.jpg?f=community)
ph34r my [WCG] Cows :P
Ik heb daar wat over gelezen vele jaren geleden en vroeg me dus echt meteen af of dat wel goed gaat toen deze twee op de markt kwamen :
- pricewatch: MikroTik Cloud Router Switch 305-1G-4S+IN
- pricewatch: MikroTik CRS309-1G-8S+IN
Dat is dus blijkbaar NIET het geval
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Gisteren net naar rc7 bijgewerkt
Ik heb deze er maar meteen opgezet.Overigens nu bijna 2 dagen bezig geweest om IPv6 aan de gang te krijgen, en dat wilde maar niet goed werken. Begon echt gigantisch aan mezelf te twijfelen. Bleek ik ooit in AdGuard Home te hebben ingeschakeld dat alle AAAA-request gedropt moesten worden, omdat ik toch geen IPv6 had. Dus ik had geen DNS
offtopic:
Ja ja ja, het is altijd DNS
Ja ja ja, het is altijd DNS
Ik ben niet zo bekend met VLAN's. Als in: ik weet wel wat je er mee kan en zie het nut voor bedrijven of organisaties, maar voor thuisgebruik snap ik het nut niet zo. Kun je dat toelichten? Ik kan me nog wel voorstellen dat het handig is als je een hoop IP-camera's hebt om die op een apart VLAN te zetten, bijvoorbeeld.:
[...]
Waarom heb je geen apart Management VLAN
Ja, dat ga ik nu ook maar doen. Maakt troubleshooten toch wat makkelijker[...]
Ik geef altijd alle apparaten een Static DHCP Mapping en een DNS naampje in Pi-Hole
Naast de "Server-achtigen" die uiteraard een Static IP hebben!
Ik begrijp je punt, absoluut. Ik heb ook niet veel open staan voor de buitenwereld: HomeAssistant, Plex (allebei docker) en Synology DSM. Laatstgenoemde heb ik intussen achter een VPN-gestopt (onlangs een Wireguard VPN opgezet via docker, dus die moet ik ook nog aan dat lijstje toevoegen).
Maar HA en Plex via VPN is gewoon niet werkbaar. Ik heb geen zin om iedere keer met mijn telefoon verbinding met VPN te maken zodat ik iets in m'n HA-app kan bekijken, bijvoorbeeld. En Plex deel ik met een zeer beperkt groepje vrienden.
Beiden zitten achter een reverse proxy waardoor ik alleen 80 en 443 (met certificaat) open heb staan. En de poort voor Wireguard. Op HA zit ook 2FA en wordt IP geblokkeerd na 3 foutieve inlogpogingen. In de anderhalf jaar dat ik het zo heb draaien, heb ik alleen mezelf een keer buitengesloten op die manier, verder geen inlogpogingen gehad.
Poorten veranderen is natuurlijk ook niet heilig, maar het kán wel helpen. Ik heb het nu dus achter een reverse proxy draaien, maar als je via shodan op de default HomeAssistant port gaat zoeken (8123 uit m'n hoofd) zie je tig installaties die open zijn voor de buitenwereld. Door ze achter een reverse proxy danwel andere poort te zetten, kun je in ieder geval voorkomen dat na een beveiligingslek kwaadwillenden gemakkelijk jouw kwetsbare installatie kunnen achterhalen.
Ik heb naar aanleiding van m'n eerdere berichten trouwens het een en ander aan extra beveiliging ingesteld. Onder andere deze guide (deels) gevolgd: https://mhelp.pro/mikroti...ecurity-setting/#firewall
Onderdeel van die guide is het aanmaken van een blacklist die automatisch IP-adressen toevoegt als die adressen port scans uitvoeren of een bruteforce proberen te doen. Die adressen blijven dan een aantal uur op de blacklist staan (die van mij 23.59 uur).
Werkt goed, maar... Eigenlijk te goed Als ik via LAN nu de Mikrotik UI benader via een verkeerde poort, wordt mijn LAN-IP aan die lijst toegevoegd. Dat is natuurlijk ontzettend onhandig.
Is het mogelijk om met 'if statements' te werken bij het aanmaken van firewall rules? Dat ik op die manier kan zeggen: als het verkeer van subnet 192.168.1.0/24 komt niet toevoegen aan blacklist?
Wat relevante stukjes uit die guide:
Onderdeel van die guide is het aanmaken van een blacklist die automatisch IP-adressen toevoegt als die adressen port scans uitvoeren of een bruteforce proberen te doen. Die adressen blijven dan een aantal uur op de blacklist staan (die van mij 23.59 uur).
Werkt goed, maar... Eigenlijk te goed
Als ik via LAN nu de Mikrotik UI benader via een verkeerde poort, wordt mijn LAN-IP aan die lijst toegevoegd. Dat is natuurlijk ontzettend onhandig. Is het mogelijk om met 'if statements' te werken bij het aanmaken van firewall rules? Dat ik op die manier kan zeggen: als het verkeer van subnet 192.168.1.0/24 komt niet toevoegen aan blacklist?
Wat relevante stukjes uit die guide:
code:
1
| /ip firewall raw add chain=prerouting src-address-list=BlackList action=drop comment="Rule #10 \"BlackList\": reject the connection with a device from the Blacklist." |
code:
1
| /ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=10h chain=input protocol=tcp connection-state=new dst-port=20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082 comment="Rule #1 \"Block TCP port scanning\": add a device scanning an unused port to BlackList." |
code:
1
| /ip firewall filter add chain=input action=drop connection-state=invalid comment="Chain: Input. Rule #1 \"Drop Invalid Packet\": drop packets connection state: invalid." |
code:
1
| /ip firewall raw add chain=output content="invalid user name or password" action=add-dst-to-address-list address-list=BlackList address-list-timeout=1h10m comment="Rule #15 \"Bruteforce\": add a device performing unsuccessful authorization to BlackList." |
ph34r my [WCG] Cows :P
Het zorgt ervoor dat je een apart VLAN hebt waarin al je netwerkapparatuur bereikbaar is via een webGUI of SSH en in alle andere netwerken dus niet!
Op het moment dat je laten we zeggen in VLAN 10 een Windows PC hebt die besmet wordt dan kan iemand met slechte bedoelingen niet eens proberen om je netwerkapparatuur te kapen/hacken/cracken omdat die in dat VLAN niet eens bereikbaar zijn!
Ook een goed voorbeeld inderdaad!
Als die in een apart VLAN zitten dan kan iemand niet effe de PoE kabel van je IP Camera eruit halen en in zijn eigen Router/Laptop/enz. proppen om je hele netwerk te bereiken : Alleen de VLAN waarin de camera's zitten is dan bereikbaar!
Ja, dat ga ik nu ook maar doen. Maakt troubleshooten toch wat makkelijker
Wat bedoel je daarmee precies ?!
- Alleen via HTTPS bereikbaar ?
- Of daarnaast ook alleen bereikbaar als de browser waarmee de website wordt benadert ook de juiste certificaat aan boord heeft ?
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
ph34r my [WCG] Cows :P
Elk zichzelf respecterend netwerk heeft iets dergelijks en IMHO is het gewoon een must have als je ook nog eens apparatuur gebruikt die als default een bepaald VLAN en een bepaald subnet heeft waarop het altijd bereikbaar is en dus ook als de boel om wat voor reden dan ook ineens naar de default settings springt!
Dat is uiteraard een keuze die je zelf maakt, maar je kan ook gewoon een Raspberry Pi of Intel Atom NUC inzetten als Dedicated Management PCtje
Dat zal voor iedereen anders zijn : Ik heb volgens mij ondertussen meer dan 50 IP adressen in gebruik verspreid over meerdere VLAN's
En zo hoort het!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Verwijderd
Oow, 50 valt mee:
Dat zal voor iedereen anders zijn : Ik heb volgens mij ondertussen meer dan 50 IP adressen in gebruik verspreid over meerdere VLAN's
Ik schommel tussen rond de 100. 🙈 Deels door de guest wifi en een hele zwik aan IoT devices Gelukkig hebben de Zigbee netwerken geen ip adressen
Thnx!:
En zo hoort het!
Het ging heel hard toen ik voor mijn servers 3 (virtuele) NIC's ging gebruiken: 1 x LAN, 1 X MNGMT en 1 X extern benaderbaar:
[...]
Oow, 50 valt mee
Gelukkig hebben de Zigbee netwerken geen ip adressen
[...]
Thnx!
.
:strip_icc():strip_exif()/u/168028/metal-fox-2.jpg?f=community)
Niet lullig bedoeld, maar...:
[...]
Het ging heel hard toen ik voor mijn servers 3 (virtuele) NIC's ging gebruiken: 1 x LAN, 1 X MNGMT en 1 X extern benaderbaar
Vlans zijn bedoeld voor het scheiden van verkeersstromen, netwerk segmentering, zodat deze elkaar niet in de weg zitten. En ja, je kunt ermee zorgen dat bepaalde netwerk segmenten niet bij anderen kunnen komen.
Zo wil je bv niet dat je iOT devices bij je pc's of laptops kunnen.
Maar als je één apparaat in meerdere vlans hangt is veiligheid in dat geval écht schijnveiligheid.
Als ze bv via de publieke ingang op je server weten binnen te komen, door bv een 0-day, zitten ze ook gelijk op je LAN en MNGMT.
Dat soort servers moet je gewoon in een DMZ plaatsen en zorgen dat deze niet naar andere (interne) netwerken kan.
En de management poort in een ander vlan zetten kan, maar zou ik alleen doen als dit bv een ILO poort is en niet benaderbaar vanuit het OS.
"Hello IT, have you tried turning it off and on again?" - "Computer says no..."
:strip_exif()/u/1054665/crop5be31086906cf_cropped.gif?f=community)
Aha, klinkt logisch maar ik heb dezelfde vraag die @babbelbox heeft. Hoe word er bepaald welk IP adres welk pakketje krijgt?
Ik heb zelf ook geen flauw idee wat je hier mee bedoeld?
ph34r my [WCG] Cows :P
Je kan van die twee ook een VRRP setje maken en dan hoef je maar één IP in je Firewall/NAT Rules op te nemen i.p.v. twee!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Die moest ik even googlen 😊 maar dat kan ook.:
[...]
Je kan van die twee ook een VRRP setje maken en dan hoef je maar één IP in je Firewall/NAT Rules op te nemen i.p.v. twee!
Heb hier naar gekeken maar zie niet hoe ik dit moet doen. Ze zitten ook niet beide op hun eigen interface.:
[...]
Je kan van die twee ook een VRRP setje maken en dan hoef je maar één IP in je Firewall/NAT Rules op te nemen i.p.v. twee!
Over je MGT lan zou ik niet zo inzitten... ik zou me meer zorgen maken over de interface die ook in je LAN zit
Maar je hebt gelijk als je zegt dat je nooit helemaal veilig kunt zijn.
[ Voor 54% gewijzigd door Thasaidon op 07-12-2021 13:14 ]
"Hello IT, have you tried turning it off and on again?" - "Computer says no..."
ph34r my [WCG] Cows :P
Waar het op neerkomt :
- DNS Server bereikbaar op IP #1
- DNS Server bereikbaar op IP #2
- Dankzij VRRP zijn beiden echter bereikbaar op IP #3
Ook als één van de twee wegvalt!
Zie dit soort topics : https://discourse.pi-hole...-pihole-ive-done-it/12716
Dat is niet hoe DNS werkt!
Beide DNS Servers worden geraadpleegd geheel willekeurig!
Dat de eene server wat meer queries krijgt dan de ander : Kan best!
Maar ze worden dus wel gewoon beiden gebruikt...
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Neem ik meteen van je aan. Toch zie ik dat het niet geheel willekeurig lijkt te zijn en dat clients voorkeur voor de eerste hebben. Maar dat kan ook wishfull thinking zijn, ik heb geen wetenschappelijk onderzoek er naar gedaan:
[...]
Waar het op neerkomt :
- DNS Server bereikbaar op IP #1
- DNS Server bereikbaar op IP #2
- Dankzij VRRP zijn beiden echter bereikbaar op IP #3
Ook als één van de twee wegvalt!
Zie dit soort topics : https://discourse.pi-hole...-pihole-ive-done-it/12716
[...]
Dat is niet hoe DNS werkt!
Beide DNS Servers worden geraadpleegd geheel willekeurig!
Dat de eene server wat meer queries krijgt dan de ander : Kan best!
Maar ze worden dus wel gewoon beiden gebruikt...
.Thanks voor de link btw. Interessant leesvoer.
[ Voor 3% gewijzigd door Theone098 op 07-12-2021 17:08 ]
Ik vind het heel raar klinken als mensen zeggen dat ze 2 DNS servers hebben, om die vervolgens afhankelijk te maken van 1 device (een RPi met Keepalive bijvoorbeeld). Het hele idee van 2 DNS servers draaien is toch juist dat er 1 stuk mag? Wat doe je als je Keepalive met floating IP's down is? Dan heb je alsnog niets
Dat soort constructies is in mijn ogen alleen leuk/nuttig als je met NetScalers oid werkt waarbij 1 IP-adres op meerdere devices kan leven en afhankelijk van up/down op 1 van die devices luistert.
Ik heb 2 DNS servers (AdGuard Home) draaien, juist zodat mijn vrouw me niet verlaat als ik 1 in onderhoud heb
@Theone098 Mijn ervaring is ook dat 90% van de devices/software vooral voorkeur heeft voor DNS #1.
In de afgelopen 7 dagen
DNS#1: 215,990 queries
DNS#2: 6,975 queries
Dat soort constructies is in mijn ogen alleen leuk/nuttig als je met NetScalers oid werkt waarbij 1 IP-adres op meerdere devices kan leven en afhankelijk van up/down op 1 van die devices luistert.
Ik heb 2 DNS servers (AdGuard Home) draaien, juist zodat mijn vrouw me niet verlaat als ik 1 in onderhoud heb
@Theone098 Mijn ervaring is ook dat 90% van de devices/software vooral voorkeur heeft voor DNS #1.
In de afgelopen 7 dagen
DNS#1: 215,990 queries
DNS#2: 6,975 queries
Verwijderd
:
[...]
Waar het op neerkomt :
- DNS Server bereikbaar op IP #1
- DNS Server bereikbaar op IP #2
- Dankzij VRRP zijn beiden echter bereikbaar op IP #3
Ook als één van de twee wegvalt!
Je laat toch gewoon je DHCP beide servers uitdelen?
Is de ene niet bereikbaar pakt hij de andere vanzelf op!
Klinkt alsof je het ingewikkelder maakt dan nodig is met een VRRP.
Heb er ook 2 draaien met pi-hole, dus kan moeiteloos een pi uitzetten/rebooten.
Daar heb je geen 3e IP voor nodig. (Hoe meer schakels je in de keten zet, hoe meer er stuk kunnen gaan)
ph34r my [WCG] Cows :P
Gelukkig zeg ik dat dan ook niet : Je moet uiteraard wel twee aparte Raspberry Pi's of Intel Atom NUC's of zo ervoor gebruiken!
Als die op beide apparaten crashed dan heb je waarschijnlijk wel grotere problemen in huis...Het hele idee van 2 DNS servers draaien is toch juist dat er 1 stuk mag? Wat doe je als je Keepalive met floating IP's down is? Dan heb je alsnog niets
Routers kunnen het ook natuurlijk!
Dus toch een beetje overkill bezig thuisIk heb 2 DNS servers (AdGuard Home) draaien, juist zodat mijn vrouw me niet verlaat als ik 1 in onderhoud heb
Dat kan dus best zo zijn en is ook deels van de Clients afhankelijk, maar wat mensen dus heel vaak fout doen :
DNS #1 : Je favoriete anti-ads systeem.
DNS #2 : Een Google DNS Server of die van hun ISP
En dan maar zich afvragen waarom er toch af en toe ads te zien zijn!
Haal voor de grap je eene DNS Server down en ga eens een tijdje surfen of zo : Raar hé die time-outs waardoor je "internetervaring" ineens veel langzamer lijkt!:
Je laat toch gewoon je DHCP beide servers uitdelen?
Is de ene niet bereikbaar pakt hij de andere vanzelf op!
Klinkt alsof je het ingewikkelder maakt dan nodig is met een VRRP.
Het is gewoon de netste/mooiste/beste oplossing als je het goed wilt doen!
Verder zie ik gelukkig nog steeds TWEAKERS.net in mijn URL balk!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Dat is ook vreemd, maar dat is mijn setup helemaal niet. Mijn primary DNS server (pihole) draait op mijn hypervisor. Nu komt het wel eens voor dat die wel eens offline moet of even moet restarten. Daarom heb ik op een Raspberry Pi nog eens pihole geinstallerd met gravity sync (secondary dus).:
Ik vind het heel raar klinken als mensen zeggen dat ze 2 DNS servers hebben, om die vervolgens afhankelijk te maken van 1 device (een RPi met Keepalive bijvoorbeeld). Het hele idee van 2 DNS servers draaien is toch juist dat er 1 stuk mag? Wat doe je als je Keepalive met floating IP's down is? Dan heb je alsnog niets
Dat soort constructies is in mijn ogen alleen leuk/nuttig als je met NetScalers oid werkt waarbij 1 IP-adres op meerdere devices kan leven en afhankelijk van up/down op 1 van die devices luistert.
Ik heb 2 DNS servers (AdGuard Home) draaien, juist zodat mijn vrouw me niet verlaat als ik 1 in onderhoud heb
@Theone098 Mijn ervaring is ook dat 90% van de devices/software vooral voorkeur heeft voor DNS #1.
In de afgelopen 7 dagen
DNS#1: 215,990 queries
DNS#2: 6,975 queries
Omdat ik in mijn MT router alle DNS queries opvang en met dst-nat forward naar mijn primary DNS server. Dit omzeilt hard coded DNS servers in apparaten. Nu wil die rule veranderen zodat het naar beide kan.
Dat snap ik en het onderling syncen werkt al helemaal top. Het ging mij meer om het opzetten van VRRP.:
[...]
Waar het op neerkomt :
- DNS Server bereikbaar op IP #1
- DNS Server bereikbaar op IP #2
- Dankzij VRRP zijn beiden echter bereikbaar op IP #3
Ook als één van de twee wegvalt!
Zie dit soort topics : https://discourse.pi-hole...-pihole-ive-done-it/12716
[...]
Dat is niet hoe DNS werkt!
Beide DNS Servers worden geraadpleegd geheel willekeurig!
Dat de eene server wat meer queries krijgt dan de ander : Kan best!
Maar ze worden dus wel gewoon beiden gebruikt...
Op het moment vang ik gewoon elke DNS query op in mijn vlans en dst-nat ik die naar mijn pihole. Ik was misschien niet duidelijk genoeg, maar redundancy is voor mij dus wel belangrijk
De oplossing van @nero355 klinkt perfect, maar na wat opzoekwerk kom ik er niet uit hoe ik zoiets moet instellen.
/u/148921/meteoravatar.png?f=community){kind=avatar}
Hahhaaha, het heeft inderdaad even geduurd. Ik heb mijn MT apparaten (twee hele) geupdate en heb alles is realtief soepel gegaan. Twee dingetjes waar ik tegen aan liep:
- Ik moest eerst alle "extra" packages verwijderen. Anders blijft hij maar staan op "calculating download size"
- Hij gooide bij mij de firewall rules wat door elkaar, dus heb daar alles opnieuw ingesteld.
So your mileage may vary.
Verwijderd
Nog nooit last van gehad! En heb ze bij een stukke SD kaart of voor onderhoud wel eens uit staan (1 van de 2):
Haal voor de grap je eene DNS Server down en ga eens een tijdje surfen of zo : Raar hé die time-outs waardoor je "internetervaring" ineens veel langzamer lijkt!
:strip_icc():strip_exif()/u/38800/i_m_weasel-char.jpg?f=community)
Zoals met de meeste dingen: "It depends!". Er zijn een aantal zaken die in Router OS 7 minder werken. Vooral (en dat is logisch) "complexere" dingen hebben nog kuren. Maar als jij een heel simpele config hebt is er een grote kans dat je nergens last van hebt. Ze hebben nu de knoop doorgehakt omdat MT zegt dat "Router OS 7 nu voor 90% van de users goed werkt." en ze niet langer willen wachten.
Als ik jou was zou ik even over het forum heen lezen om te kijken of je voor de door jouw gebruikte features niks geks tegenkomt en dan kun je het wagen als je wilt. Je kunt ook gewoon een poosje wachten totdat 7.2 of 7.3 of whatever uitkomt. Ligt er een beetje aan hoeveel risico je wilt nemen.
Welke 'extra' packages heb je verwijderd voordat je update wilde slagen?:
[...]
Hahhaaha, het heeft inderdaad even geduurd. Ik heb mijn MT apparaten (twee hele) geupdate en heb alles is realtief soepel gegaan. Twee dingetjes waar ik tegen aan liep:Nu toegegeven, ik heb geen enterprise omgeving
- Ik moest eerst alle "extra" packages verwijderen. Anders blijft hij maar staan op "calculating download size"
- Hij gooide bij mij de firewall rules wat door elkaar, dus heb daar alles opnieuw ingesteld.
Ik heb ze allemaal moeten verwijderen. Ook heb ik alle andere packeges geactiveers (geen idee of dit moest maar had het op een gegeven moment gehad
)
Dus je hebt alleen de system package over gelaten?:
[...]
Ik heb ze allemaal moeten verwijderen. Ook heb ik alle andere packeges geactiveers (geen idee of dit moest maar had het op een gegeven moment gehad
Breekt dat niet je hele config, alles wat in je config staat en niet (meer) begrepen wordt door je systeem lijkt me te verdwijnen ofzo dan uit de config?
Anyway, wel een minder handige situatie vanuit MikroTik zo. Je mag toch verwachten dat een upgrade gemakkelijk(er) zou moeten gaan.
Ik heb ook nog geprobeerd om de versie 7 npk file op het device te zetten en dan te restarten, maar dan gebeurt er ook niets qua update.
Mijn nieuwe NAS heeft een 10Gb poort en ik heb al een 10Gb backbone. Voor de backbone gebruik ik 2x MT CRS226-24G-2+IN met 1x SFP+ poort (de andere is een SFP poort en kan tot 1,25Gb aan).
Het enige wat ik op de CRS226 switches doe is switching, VLAN's, IGMP snooping, SNMP, graphing en wat scripting voor backup en dergelijke.
Nu overweeg ik om een CRS326-24G-2S+IN te kopen, zodat ik 2x 10Gb SFP+ poorten heb. Heeft iemand hiermee ervaring? Ik wil bijvoorbeeld graag weten of LACP 802.3ad met HW offloading werkt? En hebben deze apparaten nog andere hebbelijkheden (sommige zeggen tekortkomingen ;-) ). Een CSS overweeg ik niet, ik wil RouterOS gebruiken.
Alternatief is om de CRS226 te houden en een extra CRS305 te plaatsen. Meer 10Gb poorten maar weer een extra apparaat.
edit: Since RouterOS v6.42 all CRS3xx series switches support hardware offloading with bonding interfaces. Only 802.3ad and balance-xor bonding modes are hardware offloaded, other bonding modes will use the CPU's resources. You can find more information about the bonding interfaces in the Bonding Interface section. If 802.3ad mode is used, then LACP (Link Aggregation Control Protocol) is supported.
En: The layer-3-and-4 transmit hash mode is not fully compatible with LACP.
Maar..... dat stond er destijds ook voor de CRS226. En dat is bij mijn weten nooit waargemaakt.
Het enige wat ik op de CRS226 switches doe is switching
, VLAN's, IGMP snooping, SNMP, graphing en wat scripting voor backup en dergelijke. Nu overweeg ik om een CRS326-24G-2S+IN te kopen, zodat ik 2x 10Gb SFP+ poorten heb. Heeft iemand hiermee ervaring? Ik wil bijvoorbeeld graag weten of LACP 802.3ad met HW offloading werkt? En hebben deze apparaten nog andere hebbelijkheden (sommige zeggen tekortkomingen ;-) ). Een CSS overweeg ik niet, ik wil RouterOS gebruiken.
Alternatief is om de CRS226 te houden en een extra CRS305 te plaatsen. Meer 10Gb poorten maar weer een extra apparaat.
edit: Since RouterOS v6.42 all CRS3xx series switches support hardware offloading with bonding interfaces. Only 802.3ad and balance-xor bonding modes are hardware offloaded, other bonding modes will use the CPU's resources. You can find more information about the bonding interfaces in the Bonding Interface section. If 802.3ad mode is used, then LACP (Link Aggregation Control Protocol) is supported.
En: The layer-3-and-4 transmit hash mode is not fully compatible with LACP.
Maar..... dat stond er destijds ook voor de CRS226. En dat is bij mijn weten nooit waargemaakt.
[ Voor 27% gewijzigd door Theone098 op 11-12-2021 18:34 ]
Dat werkte hier wel toen de automatische updater niet werkte, dus als dat werkt is dat handiger dan packages verwijderen. Misschien staat er iets in de log?
Anders een config export en netinstall..
Nenenene, aangezien packages nu zijn veranderd kan ik het niet laten zien. Maar het zijn zegmaar de packages als NTP en Multicast enzo. Degene die niet nested onder de general/main package staat.
Maak anders een screenshot van je packages dan kan ik het precies zeggen
Thnx, ik las het volgende in het routeros v7 topic op het MT forum::
[...]
Zoals met de meeste dingen: "It depends!". Er zijn een aantal zaken die in Router OS 7 minder werken. Vooral (en dat is logisch) "complexere" dingen hebben nog kuren. Maar als jij een heel simpele config hebt is er een grote kans dat je nergens last van hebt. Ze hebben nu de knoop doorgehakt omdat MT zegt dat "Router OS 7 nu voor 90% van de users goed werkt." en ze niet langer willen wachten.
Als ik jou was zou ik even over het forum heen lezen om te kijken of je voor de door jouw gebruikte features niks geks tegenkomt en dan kun je het wagen als je wilt. Je kunt ook gewoon een poosje wachten totdat 7.2 of 7.3 of whatever uitkomt. Ligt er een beetje aan hoeveel risico je wilt nemen.
Dat doet mij ertoe besluiten om er nog even mee te wachten zoals je al aangaf op routerOS > v7.1. Ik gebruik hier namelijk enkel 5Ghz wifi.
NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict
Het is me al wat duidelijker geworden.:
[...]
Nenenene, aangezien packages nu zijn veranderd kan ik het niet laten zien. Maar het zijn zegmaar de packages als NTP en Multicast enzo. Degene die niet nested onder de general/main package staat.
Maak anders een screenshot van je packages dan kan ik het precies zeggen
Ik maak geen gebruik van nested packages. Bij mij staan alle packages gewoon onder elkaar.
Ik heb nog een oude RB2011 liggen hier waar ik wat op aan het testen ben gegaan.
Ik heb daar de laatste 6.49.2 NPK file opgezet en na een reboot ben je dan dus terug bij nested packages (IPv6 stond na een reboot uit, vaag maar soit).
Daarna inderdaad de 2 buiten de nested (bij mij LCD en ik geloof MPLS maar heeft ook multicast kunnen zijn) eraf gehaald en daarna inderdaad kunnen updaten naar 7.1 via de check en download methode.
Naar aanleiding van mijn vraag laatst heb ik mijn oude CRS125 omgewisseld voor een RB5009.
Met de nieuwe processorkracht wil ik mijn vlans eindelijk eens gaan beveiligen om onderling verkeer te blokkeren en meer te routeren.
Echter loop ik tegen wat problemen aan.
Ik heb onderstaande config (deel standaard, deels aangevuld):
Het effect is dat dit het verkeer blokkeert van vlan 20 naar de rest behalve naar WAN.
Echter krijg ik op geen vlans meer een DHCP adres meer en zijn nieuwe verbindingen niet toegestaan (alleen de established nog).
Wat ik dus eigenlijk wil bereiken dat al het verkeer tussen de vlans geblokkeerd wordt, maar dat ik vanaf vlan10 en vlan30 wel naar alle andere vlans kan. (heb er nog meer, maar daar moest ik nog rules voor aanmaken)
Vlan20 mag alleen bij internet (WAN) en moet net als alle andere vlans een DHCP adres kunnen krijgen van de router.
Wie weet waar het mis gaat?
Edit: O ja, de laatste 2 "Allow estab and related" had ik als test erbij gedaan, (ergens gelezen op forum van MT).
Dat zou denk ik niet moeten uitmaken als ik al dit doe:
Met de nieuwe processorkracht wil ik mijn vlans eindelijk eens gaan beveiligen om onderling verkeer te blokkeren en meer te routeren.
Echter loop ik tegen wat problemen aan.
Ik heb onderstaande config (deel standaard, deels aangevuld):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!VLAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=accept chain=forward comment="Allow all traffic from vlan10" in-interface=vlan10 out-interface=all-vlan add action=accept chain=forward comment="Allow WAN traffic from vlan20" in-interface=vlan20 out-interface-list=WAN add action=accept chain=forward comment="Allow all traffic from vlan30" in-interface=vlan30 out-interface=all-vlan add action=accept chain=input comment="Allow all management traffic" in-interface=vlan99-mgmt add action=accept chain=input comment="Allow all vlans to access the router" in-interface-list=VLAN add action=accept chain=input comment="Allow estab and related" connection-state=established,related add action=accept chain=forward comment="Allow estab and related" connection-state=established,related add action=drop chain=forward comment="Block all other forward traffic" |
Het effect is dat dit het verkeer blokkeert van vlan 20 naar de rest behalve naar WAN.
Echter krijg ik op geen vlans meer een DHCP adres meer en zijn nieuwe verbindingen niet toegestaan (alleen de established nog).
Wat ik dus eigenlijk wil bereiken dat al het verkeer tussen de vlans geblokkeerd wordt, maar dat ik vanaf vlan10 en vlan30 wel naar alle andere vlans kan. (heb er nog meer, maar daar moest ik nog rules voor aanmaken)
Vlan20 mag alleen bij internet (WAN) en moet net als alle andere vlans een DHCP adres kunnen krijgen van de router.
Wie weet waar het mis gaat?
Edit: O ja, de laatste 2 "Allow estab and related" had ik als test erbij gedaan, (ergens gelezen op forum van MT).
Dat zou denk ik niet moeten uitmaken als ik al dit doe:
code:
1
| add action=accept chain=forward comment="Allow all traffic from vlan10" in-interface=vlan10 out-interface=all-vlan |
[ Voor 4% gewijzigd door Freez op 11-12-2021 20:25 ]
Nevermind..... de CRS226 heeft ook 2x sfp+ poorten voor 10Gb:
Mijn nieuwe NAS heeft een 10Gb poort en ik heb al een 10Gb backbone. Voor de backbone gebruik ik 2x MT CRS226-24G-2+IN met 1x SFP+ poort (de andere is een SFP poort en kan tot 1,25Gb aan).
Het enige wat ik op de CRS226 switches doe is switching
Nu overweeg ik om een CRS326-24G-2S+IN te kopen, zodat ik 2x 10Gb SFP+ poorten heb. Heeft iemand hiermee ervaring? Ik wil bijvoorbeeld graag weten of LACP 802.3ad met HW offloading werkt? En hebben deze apparaten nog andere hebbelijkheden (sommige zeggen tekortkomingen ;-) ). Een CSS overweeg ik niet, ik wil RouterOS gebruiken.
Alternatief is om de CRS226 te houden en een extra CRS305 te plaatsen. Meer 10Gb poorten maar weer een extra apparaat.
edit: Since RouterOS v6.42 all CRS3xx series switches support hardware offloading with bonding interfaces. Only 802.3ad and balance-xor bonding modes are hardware offloaded, other bonding modes will use the CPU's resources. You can find more information about the bonding interfaces in the Bonding Interface section. If 802.3ad mode is used, then LACP (Link Aggregation Control Protocol) is supported.
En: The layer-3-and-4 transmit hash mode is not fully compatible with LACP.
Maar..... dat stond er destijds ook voor de CRS226. En dat is bij mijn weten nooit waargemaakt.
.