[MikroTik-apparatuur] Ervaringen & Discussie

[ Voor 5% gewijzigd door kaaas op 12-12-2021 09:55 ]

lolgast schreef op zondag 12 december 2021 @ 07:15:
@Freez @kaaas
Volgens mij wordt het DHCP protocol niet beïnvloed door de firewall en werkt dat altijd. Ik heb in ieder geval meerdere VLANs met 0,0 input toegang op mijn firewall en die krijgen ook gewoon een lease.
Dat is wel er vanuit gaande dat je geen externe DHCP server hebt draaien welke inderdaad via forward beschikbaar moet zijn

[ Voor 0% gewijzigd door Theone098 op 12-12-2021 12:49 . Reden: beter lopende zin ]

Theone098 schreef op zondag 12 december 2021 @ 12:13:
[...]

Precies. DHCP doet een broadcast op het subnet (broadcast domain) via FF:FF:FF:FF:FF:FF. Dus alles wat op die manier bereikbaar is (op laag 2, switch/bridge) ontvangt dit pakket. Als je wilt routeren heb je een DHCP relay agent nodig.

1
2

add action=accept chain=forward comment="Allow DNS from vlan20" dst-address=192.168.10.106 in-interface=vlan20
add action=accept chain=forward comment="Allow WAN traffic from vlan20" in-interface=vlan20 out-interface-list=WAN

kaaas schreef op zondag 12 december 2021 @ 21:23:
@daansan
Heb je de MTU van de parent interfaces op 1508 gezet?
Dus van het vlan en de sfp interface?
Zo heb ik het op mijn rb5009 met 7.1 en dan kan ik de tunnel handmatig op 1500 zetten met max-mru=1500 max-mtu=1500

[ Voor 3% gewijzigd door daansan op 12-12-2021 21:57 ]

[ Voor 8% gewijzigd door Freeaqingme op 13-12-2021 18:10 ]

Freeaqingme schreef op maandag 13 december 2021 @ 18:08:
Iemand suggesties?

Freeaqingme schreef op maandag 13 december 2021 @ 19:22:
@mbovenka @Thralas thanks! Gebaseerd op de prijs dacht ik dat de 1072 het beste zou zijn, en heb ik heel deze router niet gezien. Ik ga er eens induiken

Freeaqingme schreef op maandag 13 december 2021 @ 18:08:
Ik ben aan 't kijken voor een nieuwe datacenter-setup. Ik heb 3 inkomende 10 Ge touwtjes, en ivm iBGP en draadjes naar de switches heb ik minimaal 5 sfp+ poorten nodig (>=6 zou leuker zijn).

Mijn traffic zal doorgaans een paar honderd mbit zijn, maar een keertje een ddos aanval is ook niet uit te sluiten.

In dit topic kwam ik de CCR2116-12G-4S+ tegen. Die ziet er wel leuk uit, maar heeft slechts 4 sfp+ poorten. Tegelijkertijd is de MikroTik CCR1072-1G-8S+ qua port layout helemaal perfect, alleen zou de BGP performance daarvan niet heel goed zijn (full BGP voor ipv4 + ipv6). Die zou dan wel weer met 7.1 verbeterd moeten zijn, maar tot in hoeverre deze verbeterd is kan ik niet direct uitvinden.

Ik was voornemens om (zakelijk) 2 routers te kopen ivm redundancy met een budget van 10-15K. Ook kijk ik daarbij naar de Juniper mx104 (met dual routing engine) of de Juniper mx80. Ook bij deze modellen is de BGP performance echter beperkt.

Eventueel zou ik ook 3 CCR2116-12G-4S+ routers kunnen kopen. Eentje voor iedere transit, en 1 voor m'n peering, maar dat levert een niet heel erg schaalbaar model op. Ander nadeel is dat die nog niet te koop lijkt, en ik de setup graag rond de kerst af wil hebben.

Iemand suggesties?

DJSmiley schreef op maandag 13 december 2021 @ 22:04:
Heb je perse full BGP nodig?

Als je upstreamprovider een default route kan leveren hoef je alleen maar je specifieke peerings in je routetabel bij te houden. Dan kun je met lichtere hardware af omdat je geen full table in je geheugen hoeft te hebben.

De kwetsbaarheden in de routers zijn ontdekt door beveiligingsonderzoekers van Eclypsium en Trustwave. Twee van de drie kwetsbaarheden zijn al enkele jaren oud en ontdekt in 2018 en 2019. Voor deze twee lekken is al een patch beschikbaar. Voor de derde kwetsbaarheid is nog geen patch uitgebracht door Mikrotik.

[ Voor 19% gewijzigd door Hmmbob op 14-12-2021 09:02 ]

Thasaidon schreef op dinsdag 14 december 2021 @ 08:45:
hierin word dus gesteld dat er nog 1 vulnerability zou zijn die niet gepatched is?

[ Voor 37% gewijzigd door Thralas op 14-12-2021 09:12 ]

Hmmbob schreef op dinsdag 14 december 2021 @ 09:02:
Artikel leest meer als een advertentie dan als journalistiek verantwoord stuk

kaaas schreef op dinsdag 14 december 2021 @ 09:34:
plus als je je winbox niet publiek beschikbaar maakt of de service helemaal uit zet is er weinig aan de hand.
Om eerlijk te zijn zet ik winbox en de web interface standaard uit.

[ Voor 87% gewijzigd door kaaas op 14-12-2021 19:18 ]

Hmmbob schreef op dinsdag 14 december 2021 @ 11:35:
Dat laatste snap ik niet helemaal, als je gewoon patcht ben je er, toch?

Thasaidon schreef op dinsdag 14 december 2021 @ 08:45:
Ik weet niet of het echt nog van toepassing is, maar ik las onderstaande in een artikel van 10dec:

[...]

bron:
https://nl.hardware.info/...aar-voor-remote-aanvallen

hierin word dus gesteld dat er nog 1 vulnerability zou zijn die niet gepatched is?
Maar volgens Mikrotik zou alles opgelost zijn...

https://blog.mikrotik.com/security/winbox-vulnerability.html

Die link werkt ook prima zonder "?utm_source=newsletter&utm_medium=email&utm_campaign=hardwareinfo" erachter zoals je ziet!

As many as 300,000 routers made by Latvia-based MikroTik are vulnerable to remote attacks that can surreptitiously corral the devices into botnets that steal sensitive user data and participate in Internet-crippling DDoS attacks, researchers said.

The estimate, made by researchers at security firm Eclypsium, is based on Internet-wide scans that searched for MikroTik devices using firmware versions known to contain vulnerabilities that were discovered over the past three years. While the manufacturer has released patches, the Eclypsium research shows that a significant proportion of users has yet to install them.

nero355 schreef op dinsdag 14 december 2021 @ 21:07:
@xbeam
Daar hebben we het net over!

Hmmbob schreef op dinsdag 14 december 2021 @ 11:35:
Dat laatste snap ik niet helemaal, als je gewoon patcht ben je er, toch?

[ Voor 22% gewijzigd door xbeam op 14-12-2021 21:18 ]

[ Voor 8% gewijzigd door nero355 op 14-12-2021 21:07 ]

kaaas schreef op dinsdag 14 december 2021 @ 12:07:
Maar allen gepatched en allemaal te voorkomen als je winbox uit hebt staan en je winbox poort niet open hebt staan.

1

/ip service set winbox address=192.168.88.0/24

[ Voor 3% gewijzigd door Theone098 op 15-12-2021 11:33 ]

Theone098 schreef op woensdag 15 december 2021 @ 11:31:
Ik heb als proef mijn RB2011 naar ROS7.1 en nu lijkt het erop dat 5Ghz Wifi niet meer werkt. Iemand hier bekend mee?

[ Voor 13% gewijzigd door nescafe op 15-12-2021 11:55 ]

nescafe schreef op woensdag 15 december 2021 @ 11:53:
[...]


De RB2011(UiAS-2HnD-IN) doet alleen 2.4 GHz

zx9r_mario schreef op woensdag 15 december 2021 @ 11:04:
RouterOS 7.1 heeft blijkbaar een bug dat de IPv6 gateway niet wordt meegenomen via pppoe (KPN) of via de GUI kan worden ingesteld.

Oplossing is via terminal de gateway in stellen. In geval van KPN was dit bij mij:

[ Voor 15% gewijzigd door Hmmbob op 19-12-2021 09:35 ]

Hmmbob schreef op zondag 19 december 2021 @ 09:33:
Iemand die deze wazige klacht herkent?

lier schreef op zondag 19 december 2021 @ 09:57:
[...]

Kan tal van oorzaken hebben. De hAP is wat beperkt in Wifi, heeft dit voorheen ooit beter gewerkt? Hoe is het met de interferentie op de 2.4GHz band (zijn er bijvoorbeeld veel draadloze netwerken in de buurt, zonnepanelen gekregen, )? Met welke snelheden zijn clients met de hAP verbonden? Zijn er ook legacy devices (en/of worden deze vanuit de configuratie ondersteund)?

Zou je je wireless config willen delen:
/interface/wireless/ export hide-sensitive

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

[admin@MikroTik] /interface wireless> export hide-sensitive 
# dec/19/2021 10:19:50 by RouterOS 6.49.2
# software id = MJ8T-ECTB
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 6CBA0610DCA7
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=netherlands disabled=no distance=indoors frequency=auto mode=\
    ap-bridge name=wlan1-2.4 ssid=Thuis station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-eCee \
    country=netherlands disabled=no distance=indoors frequency=auto mode=\
    ap-bridge name=wlan2-5 ssid=Thuis station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik

[ Voor 11% gewijzigd door Hmmbob op 19-12-2021 10:26 ]

• band=2ghz-b/g/n => band=2ghz-g/n
• channel-width=20/40mhz-Ce => 20 MHz (en geen extension channel gebruiken)
• fixed channel gebruiken, bij voorkeur 1, 6 of 11 (= 2412, 2437 of 24622) op basis van gebruik en aantal andere Wifi netwerken

[ Voor 9% gewijzigd door lier op 19-12-2021 10:45 ]

Freeaqingme schreef op zaterdag 18 december 2021 @ 22:43:
@Thralas @DJSmiley @nero355 @kaaas

Al met al denk ik daarom het volgende te gaan bestellen:
- 2x pricewatch: MikroTik CRS326-24S+2Q+RM
- 2x pricewatch: MikroTik CCR1072-1G-8S+

Volgens mij moet het dan helemaal goedkomen? Of mis ik dan nog iets.

De refurn Juniper valt een beetje af. Vooral omdat ik dan significant meer geld uitgeef, en niet per se meer functionaliteit krijg, maar wel het gevoel dat ik met oude meuk zit

lier schreef op zondag 19 december 2021 @ 10:42:
Het valt me op dat je op de 2.4GHz band de volgende dingen hebt (die ik zo zou aanpassen):

• band=2ghz-b/g/n => band=2ghz-g/n
• channel-width=20/40mhz-Ce => 20 MHz (en geen extension channel gebruiken)
• fixed channel gebruiken, bij voorkeur 1, 6 of 11 (= 2412, 2437 of 24622) op basis van gebruik en aantal andere Wifi netwerken

WWM kan trouwens op enabled (kan je mee testen of dat een beter resultaat oplevert).

Overigens zijn de verbindingen van de eerste twee devices prima!

powerboat schreef op zondag 19 december 2021 @ 13:23:
Hi Allemaal,

Ik ben me meer aan het oriënteren op Mikrotik vanwege de betaalbaarheid en omdat Ubiquiti de laatste
tijd ook wat steekjes laat vallen.

Weet iemand of er ook een CAPsMAN versie is die ik kan hosten om de AP's op verschillende locatie kan beheren? (Of een bepaalde methode).

nescafe schreef op zondag 19 december 2021 @ 20:29:
@powerboat @orvintax ik zou me er eerlijk gezegd niet aan wagen. De verbinding met de controller is (ook als je local forwarding gebruikt) cruciaal en (erg) gevoelig voor onderbrekingen. Dus als de verbinding maar even wegvalt, stoppen de CAPS met werken (tot ze weer verbinding hebben).

Heb eens geadviseerd (via support) om de CAPS dan door te laten draaien met de last known good configuration maar daar is verder nooit iets mee gedaan.

Met een controller on-site (bijv. een Hex S'je) werkt het echter prima.. is goedkoper dan een UniFi Cloud Key, heeft prettiger config management, instant provisioning en wat extra netwerkpoorten

orvintax schreef op zondag 19 december 2021 @ 20:34:
[...]

Maar wat is dan het voordeel van dat tegenover virtualisatie?

kaaas schreef op zondag 19 december 2021 @ 23:39:
@Freeaqingme
Als de bgp snelheid minder belangrijk is zou ik zeker nog even bij v6 blijven.

Freeaqingme schreef op maandag 20 december 2021 @ 07:01:
[...]


Waarom?

Overigens zijn de spullen besteld, op 1 router na. Alle webshops gaven als voorraad 1 stuks aan en gebruikten ogenschijnlijk dezelfde leverancier (na het bestellen veranderde de voorraad op al die sites naar 0 stuks op voorraad). Vandaag even kijken wat de levertijd van het tweede exemplaar gaat worden.

DJSmiley schreef op maandag 20 december 2021 @ 10:28:
Overigens: Staat niet in de PW, maar heeft vaak wel voorraad en goede prijzen: Interprojekt
Die hebben de 1072 ook voorradig ( https://www.ip-sa.com.pl/mikrotik/CCR1072-1G-8S )

Verwijderd schreef op woensdag 22 december 2021 @ 20:24:
Gister de update van 7.1 > 7.1.1 gedaan.
Mijn router had wat aangepast interface namen, maar om de een of andere reden zijn die gereset naar default.
Opzicht geen ramp, ware het niet dat de bridge de nieuwe namen niet snapte, geen poorten meer had en de router dus compleet stierf.

Uiteindelijk via serial console er in gekomen en de backup teruggezet.
Maar de updates binnen v7: pas op! (en maak backups)

Hmmbob schreef op donderdag 23 december 2021 @ 13:42:
Vraag voor mezelf: ik heb nu nog een Rb2011 met wifi uit 2013 ofzo, zat eraan te denken om die langzaamaan eens te vervangen. Heb geen wifi nodig (want APs), maar welke kan ik dan het beste kiezen?

De 3011, 4011, 5009?

Hmmbob schreef op donderdag 23 december 2021 @ 14:21:
Voor mij zijn de igmp-proxy, een l2tp/ipsec VPN server en een GRE tunnel van belang - zijn daar issues mee?

Hmmbob schreef op donderdag 23 december 2021 @ 14:21:
Voor mij zijn de igmp-proxy, een l2tp/ipsec VPN server en een GRE tunnel van belang - zijn daar issues mee?

[ Voor 90% gewijzigd door Hmmbob op 23-12-2021 14:33 ]

Thralas schreef op donderdag 23 december 2021 @ 14:25:
L2TP gebruik ik niet, maar tav. VPN zou ik vooral ook WireGuard niet vergeten (mits je controle hebt over de peer).

mbovenka schreef op donderdag 23 december 2021 @ 14:34:
[...]


Ik heb op mijn CCR1036-8G-2S+ slechte ervaringen met ROS7 (7.1beta6) en Wireguard. Hier ging het hele ding onderuit (kernel error & reboot) toen ik een peer wilde deleten. Komende week maar eens naar 7.1.1 upgraden en nog eens proberen.

Hmmbob schreef op donderdag 23 december 2021 @ 13:40:
Waarom wil je een apart vlan voor de TV boxen?

nero355 schreef op donderdag 23 december 2021 @ 16:19:
[...]

Omdat het gewoon de betere oplossing is :
- Geen Multicast gerelateerde storingen, omdat je een Apple/Google/Amazon of willekeurige TV op je netwerk aansluit!
- Geen gezeik met IGMP Snooping op je netwerk doordat je hooguit maar 3 of 4 poorten in gebruik hebt waar het IPTV verkeer heen moet!

Kortom : Simpeler en betrouwbaarder uiteindelijk!

Serefsiz schreef op vrijdag 24 december 2021 @ 02:19:
Zijn er nog mensen die anno 2021 mikrotik cap acs plaatsen bij mkb bedrijven(10-20 gebruikers)? Of is wifi van mikrotik zo achterhaald dat ik beter naar andere merken kan kijken?

Hmmbob schreef op donderdag 23 december 2021 @ 13:40:
Waarom wil je een apart vlan voor de TV boxen?

[ Voor 16% gewijzigd door Verwijderd op 24-12-2021 07:15 ]

Serefsiz schreef op vrijdag 24 december 2021 @ 02:19:
Zijn er nog mensen die anno 2021 mikrotik cap acs plaatsen bij mkb bedrijven(10-20 gebruikers)? Of is wifi van mikrotik zo achterhaald dat ik beter naar andere merken kan kijken?

Ik zie altijd heel veel kritiek maar volgens mij bied een cap ac nog steeds voldoende snelheid voor 99% van de gebruikers. Ja je hebt geen wave2/fast roaming etc maar het internet staat ook weer vol met adviezen om het allemaal uit te zetten omdat clients er vaak niet goed mee om kunnen gaan.

Ik heb zelf alleen in een thuissituatie ervaring en daar draait het maanden lang stabiel.

chaoscontrol schreef op vrijdag 24 december 2021 @ 10:03:
[...]

wave2 zit in ROS 7+ en werkt op alle devices met ARM CPU en minimaal 256MB ram.

jvanhambelgium schreef op vrijdag 24 december 2021 @ 13:56:
Voor de WireGuard gebruikers. Hoe configureren jullie de "client(s)" ?
Ik heb de WG-app on m'n Android gezet, maar het is beetje gek om keys te gaan liggen "overtypen" ?

Op de Android-app kan je iets met een QR-code doen, en er bestaat ook een QR-generator

https://www.wireguardconfig.com/qrcode

Gebruiken jullie zo iets ? Ik krijg het niet echt werkend, telkens klaagt de app bij het QR-scannen over ongeldige settings.

[ Voor 21% gewijzigd door kaaas op 24-12-2021 15:09 ]

Serefsiz schreef op vrijdag 24 december 2021 @ 02:19:
Zijn er nog mensen die anno 2021 mikrotik cap acs plaatsen bij mkb bedrijven(10-20 gebruikers)? Of is wifi van mikrotik zo achterhaald dat ik beter naar andere merken kan kijken?

Ik zie altijd heel veel kritiek maar volgens mij bied een cap ac nog steeds voldoende snelheid voor 99% van de gebruikers. Ja je hebt geen wave2/fast roaming etc maar het internet staat ook weer vol met adviezen om het allemaal uit te zetten omdat clients er vaak niet goed mee om kunnen gaan.

Verwijderd schreef op vrijdag 24 december 2021 @ 07:14:
Wat zou er achterhaald aan zijn? Oke, wifi6 missen ze nog, maar is dat inmiddels al een officiële standaard?

Zeker als je CAPsMAN gebruikt en PoE is Mikrotik echt een geweldig platform om een hele zwik aan AP's uit te rollen. Snelheid zou ik niet als issue zien, trek er met gemak 100Mbit/sec over, pieken liggen rond de 150Mbit/sec. Wie waarde hecht aan een hele hoge en stabiele snelheid moet aan een kabel gaan hangen.

jvanhambelgium schreef op vrijdag 24 december 2021 @ 13:56:
Voor de WireGuard gebruikers. Hoe configureren jullie de "client(s)" ?
Ik heb de WG-app on m'n Android gezet, maar het is beetje gek om keys te gaan liggen "overtypen" ?

Op de Android-app kan je iets met een QR-code doen, en er bestaat ook een QR-generator

https://www.wireguardconfig.com/qrcode

Gebruiken jullie zo iets ? Ik krijg het niet echt werkend, telkens klaagt de app bij het QR-scannen over ongeldige settings.

nero355 schreef op vrijdag 24 december 2021 @ 16:30:
[...]

Dat klinkt als een 1x1 Client op 802.11ac want dat is eigenlijk helemaal niet zoveel...

2x2 Clients gaan al gauw richting de 600 Mbps @ VHT80 namelijk!

[...]

Verwijderd schreef op vrijdag 24 december 2021 @ 19:09:
Geen idee of ik 1x1 of 2x2 doe, of VHT80
Maar tips over hoe capsman in te stellen zijn natuurlijk meer dan welkom
Clients is een heel assortiment hier in huis

jvanhambelgium schreef op zaterdag 25 december 2021 @ 13:24:
Ik probeer hier een WireGuard op te zetten maar het lukt echt niet, en het lijkt precies de Android client te zijn ?!
Ik gebruik de "WireGuard for Android v1.0.20211029" op een moderne Galaxy S21 Ultra phone.(gewoon uit de Playstore)
Ik maak m'n verbinding/peer aan zowel op kant RB5009 (heb zowel 7.1.1 als 7.2.rc1 geprobeerd) en de client. De moment dat ik wil verbinden zie ik *NIKS* toekomen op de Mikrotik. Ik gebruik de UDP-13231
Dit pakket moet ik normaal op de INPUT-chain zien verschijnen. Noppes. Nada.

Doe ik op dezelfde phone een Chrome-browser open en geeft http://publiek.ip.RB5009:13231 in zie ik direct een hit op m'n INPUT-chain (welliswaar een drop, maar zo weet ik dat TCP/13231 alvast wel degelijk toekomt, ok WireGuard is UDP/13231 maar toch...)
Heb sowieso op m'n INPUT-chain helemaal bovenaan een rule staan om UDP-13231 toe te laten en sowieso zie 0,0 in de logs, Torch ook niks etc,etc.

Android gebruikers, welke client gebruiken jullie ?