[MikroTik-apparatuur] Ervaringen & Discussie

Pagina: 1 ... 34 ... 54 Laatste
Acties:

Acties:
  • 0 Henk 'm!

  • superyupkent
  • Registratie: Juni 2001
  • Laatst online: 20-09 02:06
kaaas schreef op zondag 9 januari 2022 @ 13:41:
@superyupkent
Wat je kunt doen, maar dat is wel ff een klus omdat er zoveel versies tussen zitten is de changelogs lezen en kijken of je daar iets in kunt vinden dat je probleem kan verklaren.
Misschien is er iets met IGMP snooping veranderd?
Goed punt, ik had daar zelf echter ook al naar zitten kijken. Het valt wel mee met de hoeveelheid versies. Enige wat ik me zou kunnen bedenken is regel 6 in versie 6.48.5, mac address calculations.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
What's new in 6.48.6 (2021-Dec-03 12:15):

MAJOR CHANGES IN v6.48.6:
----------------------
!) device-mode - added feature locking mechanism;
----------------------

*) certificate - improved stability when sending bogus SCEP message;
*) quickset - use 5GHz interface's country for "Home AP Dual" configuration;
*) system - improved system stability if device is upgraded from RouterOS and/or RouterBOOT v6.41.4 or older;
*) upgrade - added new "upgrade" channel for upgrades between major versions;
*) winbox - do not allow to add/remove W60G interfaces;
*) wireless - added U-NII-2 support for US and Canada country profiles for cAP ac XL and QRT 5 ac;


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
What's new in 6.48.5 (2021-Sep-21 13:50):

Changes since 6.48.4:

*) branding - properly clean up old branding files before installing a new one;
*) crs3xx - fixed default MAC address calculation on management Ethernet for CRS312, CRS326-24S+2Q+ and CRS354 devices;
*) gps - improved interface monitoring;
*) health - improved temperature reporting;
*) ike2 - check if TS is still valid after obtaining SPI;
*) ipsec - improved SA update by SPI;
*) netinstall - require Netinstall version to be the same or newer as "factory-software";
*) poe - update PoE firmware only on devices that supports it;
*) ppp - improved stability when receiving bogus response on modem channel;
*) qsfp - improved system stability when setting unsupported link rates;
*) sfp - added "sfp-rate-select" setting (CLI only);
*) sfp - improved SFP, SFP+, SFP28 and QSFP+ interface stability for CRS3xx and CCR2004 devices;
*) sfp28 - changed FEC auto mode to disabled;
*) w60g - limit power output when using region EU to match EN302567 on nRAY;
*) w60g - use EU region by default;
*) winbox - added "name" and "file-name" parameter when importing and exporting certificates;
*) winbox - allow setting MCS (24-31) to 4x4 Wireless interfaces;
*) winbox - do not allow to set empty "init-string" field under "System/GPS" menu;
*) winbox - do not show "GPS antenna" selection for devices without selection support;
*) winbox - show "System/Health/Settings" only on boards that have configurable values;
*) winbox - show "current-channel" column by default for CAP interfaces;
*) wireless - added U-NII-2 support for US and Canada country profiles for hAP ac lite;

Acties:
  • 0 Henk 'm!

  • superyupkent
  • Registratie: Juni 2001
  • Laatst online: 20-09 02:06
Goedenavond,

Wat zijn de ervaringen hier met KPN glasvezel plus TV en de upgrade naar RouterOS7? Los van gemis aan IPv6 nog andere problemen?

Acties:
  • +3 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Hmmbob schreef op zondag 9 januari 2022 @ 19:57:
Is igmp snooping ook stuk in RouterOS 7?

Ben tv aan het kijken (kpn) en zie tegelijkertijd op alle poorten 12-13mbit verzonden worden. Zet ik de tv ontvanger uit, dan is in één klap al het verkeer weg. Snooping staat aan op de lan-bridge, dus ik snap het niet
Multicast-querier aanvinken en het klopt weer (y)

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
superyupkent schreef op zondag 9 januari 2022 @ 22:26:
Goedenavond,

Wat zijn de ervaringen hier met KPN glasvezel plus TV en de upgrade naar RouterOS7? Los van gemis aan IPv6 nog andere problemen?
Nee, heb net mijn enige andere probleem (naast IPv6) opgelost. Werkt verder perfect.

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • Me_dusa
  • Registratie: September 2002
  • Laatst online: 15-09 09:07

Me_dusa

Red een boom, eet een bever!

superyupkent schreef op zondag 9 januari 2022 @ 22:26:
Goedenavond,

Wat zijn de ervaringen hier met KPN glasvezel plus TV en de upgrade naar RouterOS7? Los van gemis aan IPv6 nog andere problemen?
Werkt prima.

Me_dusa


Acties:
  • +2 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Mikrotik denkt het issue met de PPPoE over VLAN gevonden te hebben: https://forum.mikrotik.com/viewtopic.php?p=904366#p904366

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • DeWim17
  • Registratie: December 2011
  • Laatst online: 29-01-2022
code:
1
2
@DeWim17 Goed dat je het zegt ik zal ook eens een ticket indienen voor de het ipv6 probleem.
Fijn dat het nu werkt. Ik ben nog steeds wel benieuwd wat je cpu load is bij 900 Mbps.


Hi @kaaas
Vandaag 925 down 855 up.
CPU load tussen 14% - 20% via Winbox.

Wat zijn jouw resultaten?

Acties:
  • 0 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@DeWim17
Bij mij is het 6-12% maar heb maar een 120Mbit verbinding, daarom was ik ook zo benieuwd naar jouw load. Ik vroeg me af hoe dat op schaalt, maar dat is dikke prima zo te zien.

Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@Hmmbob
Goed bezig!

Acties:
  • +2 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@superyupkent
Het is een beetje verneukeratief als je alleen naar de long term updates kijkt.
Als je ook naar de stable changelogs kijkt staat er bij 6.48:
*) bridge - added fixes and improvements for IGMP and MLD snooping;
*) bridge - added minor fixes and improvements for IGMP snooping with HW offloading;

Je kunt eens proberen op je bridge hardware offloading uit te zetten kijken wat ie dan doet

En in 6.48.1
*) crs3xx - improved system stability when bonding and IGMP snooping is used (introduced in v6.48);

6.48.4
*) crs3xx - fixed unknown multicast flood to CPU when IGMP snooping is used;

6.49
*) bridge - added IGMP and MLD querier monitoring;
*) bridge - added IGMP snooping log when multicast table gets full;

Er is dus wel het een en ander gesleuteld met IGMP

[ Voor 53% gewijzigd door kaaas op 11-01-2022 14:38 ]


Acties:
  • 0 Henk 'm!

  • superyupkent
  • Registratie: Juni 2001
  • Laatst online: 20-09 02:06
kaaas schreef op dinsdag 11 januari 2022 @ 14:32:
@superyupkent
Het is een beetje verneukeratief als je alleen naar de long term updates kijkt.
Als je ook naar de stable changelogs kijkt staat er bij 6.48:
*) bridge - added fixes and improvements for IGMP and MLD snooping;
*) bridge - added minor fixes and improvements for IGMP snooping with HW offloading;

Je kunt eens proberen op je bridge hardware offloading uit te zetten kijken wat ie dan doet

En in 6.48.1
*) crs3xx - improved system stability when bonding and IGMP snooping is used (introduced in v6.48);

6.48.4
*) crs3xx - fixed unknown multicast flood to CPU when IGMP snooping is used;

6.49
*) bridge - added IGMP and MLD querier monitoring;
*) bridge - added IGMP snooping log when multicast table gets full;

Er is dus wel het een en ander gesleuteld met IGMP
Dank! ik zal een supout maken en een case openen in Letland

Acties:
  • +1 Henk 'm!

  • DRAFTER86
  • Registratie: April 2002
  • Laatst online: 10:15
DeWim17 schreef op maandag 10 januari 2022 @ 23:28:
code:
1
2
@DeWim17 Goed dat je het zegt ik zal ook eens een ticket indienen voor de het ipv6 probleem.
Fijn dat het nu werkt. Ik ben nog steeds wel benieuwd wat je cpu load is bij 900 Mbps.


Hi @kaaas
Vandaag 925 down 855 up.
CPU load tussen 14% - 20% via Winbox.

Wat zijn jouw resultaten?
Haal je die upload en download gelijktijdig? Ben uit nieuwsgierigheid eens gaan meten, apart van elkaar trek ik de upload en download (gemeten vanaf mijn thuisserver naar een iperf3 server) van mijn 1GB KPN aansluiting dicht. Bij beide schommelt mijn RB5009 zo rond de 30% CPU load, redelijk 50/50 verdeeld tussen networking en firewall.

Draai ik de upload en download test tegelijk, dan haal ik ongeveer 800/800 up/down, bij een CPU load van 50%. Geen idee of het de iperf server, router of KPN aansluiting is die daar de limiet raakt...

Acties:
  • +1 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 19-09 20:56
Ik ben langzaam aan mijn nieuwe CCR1072's aan 't installeren. Op zich prima spul, en wellicht dat ik ook nog wel wen aan de command line (ben toch vooral bash en junos gewend). Wat ik wel bijzonder vind is dat ze geen multipath BGP supporten. Iedere router heeft (per ip protocol) 2 sessies. Op iedere sessie krijg ik 1 default route binnen. Maar van die routes is er altijd maar 1 actief:

code:
1
2
3
4
5
6
7
8
9
10
11
[admin@rtr1] /ip/route> /ip/route/print detail where !inactive
Flags: D - dynamic; X - disabled, I - inactive, A - active; 
c - connect, s - static, r - rip, b - bgp, o - ospf, d - dhcp, v - vpn, m - modem, y - copy; 
H - hw-offloaded; + - ecmp 
   D b   dst-address=0.0.0.0/0 routing-table=main gateway=x.y.z..226 
         immediate-gw=x.y.z.226%sfp-sfpplus1 distance=20 scope=40 target-scope=10 
         suppress-hw-offload=no 

   DAb   dst-address=0.0.0.0/0 routing-table=main gateway=x.y.z.225 
         immediate-gw=x.y.z.225%sfp-sfpplus1 distance=20 scope=40 target-scope=10 
         suppress-hw-offload=no


Da's op zich geen ramp, zeker niet omdat ze in dit geval toch fysiek aan hetzelfde touwtje hangen. Maar het betekent wel dat al het verkeer altijd over ofwel de ene upstream router gaan, ofwel over de andere.

Tegelijkertijd wou ik ook m'n switches in L3 mode laten werken. Daar moet ik nog maar even goed over nadenken als dit niet kan.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • 0 Henk 'm!

  • Vaenir
  • Registratie: Februari 2018
  • Laatst online: 06-10-2023
Ik ben sinds kort overgestapt van een Mikrotik hEX S naar een RB3011UiAS-RM. Ik krijg nu echter een enorme performance loss up mijn upload als ik de vlan filtering op mijn bridge inschakel. Is de MT7621A in de hEX S zoveel beter dan de IPQ-8064 cpu dat mijn (misschien slechte) configuratie wel werkte op de hEX S maar niet op RB3011?

Voor zover relevant, mijn vlans bestaan uit een untagged port waar een Apple Airport Express in bridge op is aangesloten voor mijn IOT gerelateerde meuk. Verder twee tagged vlans voor mijn htpc en web applicaties die verder door mijn Unraid server afgehandeld worden.

Afbeeldingslocatie: https://tweakers.net/i/lNoaC5XmOkXGFqpJ5PHPMPS9lRs=/232x232/filters:strip_exif()/f/image/oDRlwArap90WzHsNR0IQjR60.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/bziTP2zIEdesOdmBPjcIoLF2Vvc=/232x232/filters:strip_exif()/f/image/lgCbTGyz9T0R2W60vGdLNEVU.png?f=fotoalbum_tile

(Links met vlan bridge filtering ingeschakeld. Rechts met vlan bridge filtering uitgeschakeld)

Relevantie config delen:

/interface vlan
code:
1
2
3
add interface=bridge name=vlan20-iot vlan-id=20
add interface=bridge name=vlan30-htpc vlan-id=30
add interface=bridge name=vlan40-webapps vlan-id=40


/ip pool
code:
1
2
3
4
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool_vlan30 ranges=192.168.30.20-192.168.30.254
add name=dhcp_pool_vlan40 ranges=192.168.40.20-192.168.40.254
add name=dhcp_pool_vlan20 ranges=192.168.20.20-192.168.20.254


/interface bridge vlan
code:
1
2
3
add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=30
add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=40
add bridge=bridge tagged=bridge,ether09-trapgatR untagged=\ ether08-woonkamerL vlan-ids=20


/ip firewall filter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=drop chain=forward comment="drop traffic from vlan20-iot to bridge" in-interface=vlan20-iot out-interface=bridge
add action=drop chain=forward comment="drop traffic from vlan40-webapps to bridge" in-interface=vlan40-webapps out-interface=bridge


/ip firewall nat
code:
1
2
3
4
add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Unraid - Swag 80" dst-address=12.345.67.89 dst-port=80 protocol=tcp to-addresses=192.168.40.10
add action=dst-nat chain=dstnat comment="Unraid - Swag 443" dst-address=12.345.67.89 dst-port=443 protocol=tcp to-addresses=192.168.40.10

[ Voor 11% gewijzigd door Vaenir op 18-01-2022 11:40 ]


Acties:
  • 0 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

Vaenir schreef op dinsdag 18 januari 2022 @ 11:35:
Ik ben sinds kort overgestapt van een Mikrotik hEX S naar een RB3011UiAS-RM. Ik krijg nu echter een enorme performance loss up mijn upload als ik de vlan filtering op mijn bridge inschakel. Is de MT7621A in de hEX S zoveel beter dan de IPQ-8064 cpu dat mijn (misschien slechte) configuratie wel werkte op de hEX S maar niet op RB3011?

Voor zover relevant, mijn vlans bestaan uit een untagged port waar een Apple Airport Express in bridge op is aangesloten voor mijn IOT gerelateerde meuk. Verder twee tagged vlans voor mijn htpc en web applicaties die verder door mijn Unraid server afgehandeld worden.

[Afbeelding][Afbeelding]

(Links met vlan bridge filtering ingeschakeld. Rechts met vlan bridge filtering uitgeschakeld)

Relevantie config delen:

/interface vlan
code:
1
2
3
add interface=bridge name=vlan20-iot vlan-id=20
add interface=bridge name=vlan30-htpc vlan-id=30
add interface=bridge name=vlan40-webapps vlan-id=40


/ip pool
code:
1
2
3
4
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool_vlan30 ranges=192.168.30.20-192.168.30.254
add name=dhcp_pool_vlan40 ranges=192.168.40.20-192.168.40.254
add name=dhcp_pool_vlan20 ranges=192.168.20.20-192.168.20.254


/interface bridge vlan
code:
1
2
3
add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=30
add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=40
add bridge=bridge tagged=bridge,ether09-trapgatR untagged=\ ether08-woonkamerL vlan-ids=20


/ip firewall filter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=drop chain=forward comment="drop traffic from vlan20-iot to bridge" in-interface=vlan20-iot out-interface=bridge
add action=drop chain=forward comment="drop traffic from vlan40-webapps to bridge" in-interface=vlan40-webapps out-interface=bridge


/ip firewall nat
code:
1
2
3
4
add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Unraid - Swag 80" dst-address=12.345.67.89 dst-port=80 protocol=tcp to-addresses=192.168.40.10
add action=dst-nat chain=dstnat comment="Unraid - Swag 443" dst-address=12.345.67.89 dst-port=443 protocol=tcp to-addresses=192.168.40.10
Ik zie zo niet wat er mis is met je configuratie. Maar de RB3011 is een stuk krachtiger apparaat dan de Hex S, dus het lijkt me onwaarschijnlijk dat het aan de hardware ligt.

https://dontasktoask.com/


Acties:
  • +1 Henk 'm!

  • Vaenir
  • Registratie: Februari 2018
  • Laatst online: 06-10-2023
orvintax schreef op dinsdag 18 januari 2022 @ 17:10:
[...]

Ik zie zo niet wat er mis is met je configuratie. Maar de RB3011 is een stuk krachtiger apparaat dan de Hex S, dus het lijkt me onwaarschijnlijk dat het aan de hardware ligt.
Na een Google avontuur lijkt het erop dat de RB serie niet zo geschikt is om vlans te filteren via bridge filtering omdat er 2 switch chips in zitten en er daardoor geen hardware offload wordt ondersteund. Blijkbaar het verkeerde apparaat gekocht voor de configuratie die ik in gedachte had.

Acties:
  • 0 Henk 'm!

  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Ik ben niet vertrouwd met bridge filtering, maar is dat iets waarvoor je specifiek hardware offload nodig hebt? Dat lijkt me niet?

Het is ongetwijfeld vloeken in de kerk, maar ik zou toch es kijken of je bv. OpenWrt op je RB3011 kan installeren en het daarmee kan (als je tenminste terug kan naar RouterOS).

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje


Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:03
Vaenir schreef op dinsdag 18 januari 2022 @ 17:15:
[...]


Na een Google avontuur lijkt het erop dat de RB serie niet zo geschikt is om vlans te filteren via bridge filtering omdat er 2 switch chips in zitten en er daardoor geen hardware offload wordt ondersteund. Blijkbaar het verkeerde apparaat gekocht voor de configuratie die ik in gedachte had.
Je kunt ook filteren door de switch chip te configureren: Switch Chip Features.

Dan werkt het wel gewoon wire speed.

Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
Je zou nog FF kunnen checken of je fasttrack regels hebt https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack.

Dat maakt nogal uit bij de 3011. Maar via de switch chip is wel de beste manier.

Acties:
  • +2 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

Borromini schreef op dinsdag 18 januari 2022 @ 17:43:
Ik ben niet vertrouwd met bridge filtering, maar is dat iets waarvoor je specifiek hardware offload nodig hebt? Dat lijkt me niet?

Het is ongetwijfeld vloeken in de kerk, maar ik zou toch es kijken of je bv. OpenWrt op je RB3011 kan installeren en het daarmee kan (als je tenminste terug kan naar RouterOS).
Nee je hebt dat niet nodig. Maar als je geen hardware offloading hebt ben je gebonden aan de snelheid van je CPU/software. Ik heb dezelfde router en toen ik het een tijdje terug heb getest haalde ik makkelijk gigabit snelheden met een zeer vergelijkbare opstelling. Maar ik ga het binnenkort nog eens testen om zeker te zijn.

Ik betwijfel ten strengste of OpenWRT het waard is, lijkt me frappant dat OpenWRT dit wel zou kunnen bieden en RouterOS niet :P

https://dontasktoask.com/


Acties:
  • 0 Henk 'm!

  • joenevd
  • Registratie: Januari 2007
  • Laatst online: 20-09 19:47
Momenteel ben ik aan het nadenken om een Mikrotik router te kopen. Enerzijds dacht ik aan een rv3011, anderzijds zou deze misschien niet genoeg kracht hebben en zou ik naar een 4011 of een 5009 moeten.

Ik heb een 200mbit glaslijn via KPN, wellicht wordt deze nog opgehoogd naar 500mbit. Momenteel geen VOIP of tv, tv zou ooit wel terug kunnen komen.

Ook denk ik aan het idee om een VPN verbinding op de router te activeren voor privacy. Voorkeur via wireguard.

Zal het idee van de VPN mijn snelheid teveel omlaag halen?
Welk model kan ik het beste kiezen denken jullie?

Acties:
  • +1 Henk 'm!

  • Thasaidon
  • Registratie: Februari 2006
  • Laatst online: 20-09 10:59

Thasaidon

If nothing goes right, go left

joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
...
Zal het idee van de VPN mijn snelheid teveel omlaag halen?
...
Dat ligt er aan wat je met je VPN wil doen.

Een VPN is bij voorbaat trager, want je verkeer word versleuteld en ook nog door een tunnel geduwd.
Dat kost rekenkracht en tijd.

Ga je die gebruiken voor een beetje internet (surfen, mail, etc) dan zul je er weinig van merken.
Maar ga je dik downloaden (veel bandbreedte gebruik), dan zal dat trager zijn idd.
Daarnaast ben je met een VPN ook niet enkel afhankelijk van de apparatuur/capaciteit aan jou kant, maar ook van die aan de andere kant waar je de VPN mee op zet.

Ik gebruik al een paar jaar de MikroTik RB4011iGS+5HacQ2HnD-IN (omdat ik ook wifi wil) en die bevalt me prima. Ik moet daarbij wel opmerken dat ik "maar" een 100/100 verbinding heb.

[ Voor 10% gewijzigd door Thasaidon op 21-01-2022 11:10 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."


Acties:
  • +1 Henk 'm!

  • citruspers
  • Registratie: December 2009
  • Laatst online: 08:47
joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
Momenteel ben ik aan het nadenken om een Mikrotik router te kopen. Enerzijds dacht ik aan een rv3011, anderzijds zou deze misschien niet genoeg kracht hebben en zou ik naar een 4011 of een 5009 moeten.

Ik heb een 200mbit glaslijn via KPN, wellicht wordt deze nog opgehoogd naar 500mbit. Momenteel geen VOIP of tv, tv zou ooit wel terug kunnen komen.

Ook denk ik aan het idee om een VPN verbinding op de router te activeren voor privacy. Voorkeur via wireguard.

Zal het idee van de VPN mijn snelheid teveel omlaag halen?
Welk model kan ik het beste kiezen denken jullie?
Ik heb een HAP AC2 en een symmetrische gigabit verbinding, die trekt dat prima met een paar port forwards en een setje firewall-regels tussen de VLANS. VPN gebruik ik niet op de HAP, maar mijn wireguard VM komt er prima doorheen.

I'm a photographer, not a terrorist


Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:03
joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
Welk model kan ik het beste kiezen denken jullie?
Die vraag kwam hier een aantal weken ook al voorbij (kan het zo 123 niet vinden). De RB5009 is slechts marginaal duurder dan een RB3011 of RB4011. Tenzij je een goed tweedehandsaanbod weet te vinden is de keuze simpel.

Verder is een VPN geen magisch privacyfilter en zou ik juist afraden om je reguliere internetverkeer af te leveren bij een commerciële VPN-aanbieder, voor zover je dat van plan was.

Acties:
  • +2 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Dat was ik, met exact dezelfde vraag. Deze post en verder:
Hmmbob schreef op donderdag 23 december 2021 @ 13:42:
Vraag voor mezelf: ik heb nu nog een Rb2011 met wifi uit 2013 ofzo, zat eraan te denken om die langzaamaan eens te vervangen. Heb geen wifi nodig (want APs), maar welke kan ik dan het beste kiezen?

De 3011, 4011, 5009?

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Thralas schreef op donderdag 23 december 2021 @ 14:25:
L2TP gebruik ik niet, maar tav. VPN zou ik vooral ook WireGuard niet vergeten (mits je controle hebt over de peer).
@Thralas Kan je even toelichten wat je bedoelt met controle over de peer?

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje


Acties:
  • +1 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21
Borromini schreef op vrijdag 21 januari 2022 @ 13:30:
Kan je even toelichten wat je bedoelt met controle over de peer?
Heeft te maken met de logging ervan : Die is minder anoniem dan bij OpenVPN bijvoorbeeld! :)

Als je echter zelf je server thuis draait dan kan je dat gerust negeren! ;)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:03
Borromini schreef op vrijdag 21 januari 2022 @ 13:30:
@Thralas Kan je even toelichten wat je bedoelt met controle over de peer?
Dat was een reactie op @Hmmbob die L2TP/IPsec wilde kunnen gebruiken.

Wireguard is in veel opzichten moderner, minder complex en efficiënter. Maar als je wilt verbinden met een VPN server die je zelf niet beheert dan heb je vaak geen keuze.

Vandaar de suggestie voor Wireguard, behalve als je alleen kunt kiezen uit (L2TP/)IPsec of een andere reden hebt waarom Wireguard écht niet praktisch is. Dat had ik duidelijker kunnen verwoorden.

[ Voor 6% gewijzigd door Thralas op 21-01-2022 15:15 ]


Acties:
  • +3 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Ik heb uiteindelijk mijn oude L2TP/IPsec site-to-site vervangen door een Wireguard tunnel - naar volle tevredenheid.

Sometimes you need to plan for coincidence


Acties:
  • +2 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

Hmmbob schreef op vrijdag 21 januari 2022 @ 15:28:
Ik heb uiteindelijk mijn oude L2TP/IPsec site-to-site vervangen door een Wireguard tunnel - naar volle tevredenheid.
Daar heb ik ook voor gekozen (naast de clients die on-the-road ook via Wireguard verbinding kunnen maken). Werkt echt heel lekker...ben alleen beperkt tot 150Mbps (en nog aan het uitzoeken waarom).

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@joenevd als je budget hebt een rb5009. Let wel op dit moment heb je met KPN varianten op de 5009 geen ipv6, daar wordt aan gewerkt.

Maar je red 500Mbs ook wel op een 3011. Als die volle 500 door een vpn heen wilt drukken weer ik niet of je dat haalt.

Let wel Voor wire guard en fatsoenlijke open vpn op je router heb je ros v7 nodig

Acties:
  • 0 Henk 'm!

  • Maxwp
  • Registratie: Juni 2011
  • Laatst online: 20-09 23:12
nero355 schreef op zaterdag 8 januari 2022 @ 00:20:
[...]

Die vervolgens in de meterkast verdwijnt en je daar dus grotendeels geen reet aan hebt...

Handig! :o :X _O- :+
ik neem aan dat je bedoelt die dure router van bekend merk met wifi? want deze mikrotik hoort daar dan juist thuis omdat daar alle cat5 bij elkaar komt

Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21
Maxwp schreef op maandag 24 januari 2022 @ 09:19:
ik neem aan dat je bedoelt die dure router van bekend merk met wifi?
Uiteraard! :)
omdat daar alle cat5 bij elkaar komt
CAT5e of CAT6 mag ik hopen ?! ;)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +2 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
v7.2rc2 en v7.2rc3 zijn gereleased:

https://forum.mikrotik.com/viewtopic.php?t=182699

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • sambaloedjek
  • Registratie: Juni 2015
  • Laatst online: 17-09 20:03
Vooral deze:

*) bridge - added fast-path and inter-VLAN routing FastTrack support when vlan-filtering is enabled

ben benieuwd of het probleem nu is opgelost met vlan-filtering en fastrack: https://forum.mikrotik.co...83&hilit=fastpath#p908583

Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
IPv6 bij KPN naar verluid nog niet....

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • hindrik123
  • Registratie: November 2016
  • Laatst online: 09-06-2023
De nieuwe releases hebben veel problemen, als ik het mikrotik forum moet geloven.
De RB5009 schijnt wel beter te presteren met intervlan-routing en fastpath.

Acties:
  • +2 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
Ja het is voorlopig verstandig bij de stables te blijven al je je router wilt gebruiken.

Acties:
  • +3 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 19-09 20:56
kaaas schreef op dinsdag 1 februari 2022 @ 07:59:
Ja het is voorlopig verstandig bij de stables te blijven al je je router wilt gebruiken.
Maar ook 7.1.1 is nog niet helemaal stabiel hoor. Los van missende features als het niet kunnen zien welke BGP routes je exporteert; had ik van de week ook het probleem dat 1 router weigerde om de routes uit een address list te exporteren na een reboot. De fix? De address list even disablen en weer enablen. Kostte maar een paar uur uitzoekwerk om er achter te komen welke seting ik nou (niet) gemist had...

Zo staan er nog veel meer voorbeelden op het Mikrotik forum. Mijn suggestie zou zijn om wanneer je een draaiende setup hebt op basis van v6 voorlopig daar op te blijven.Tegelijkertijd, als je per se iets uit v7 nodig hebt dan zal 7.1.1 voor de meeste use cases uiteindelijk wel werken.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • +1 Henk 'm!

  • hindrik123
  • Registratie: November 2016
  • Laatst online: 09-06-2023
Freeaqingme schreef op dinsdag 1 februari 2022 @ 08:31:
[...]


Maar ook 7.1.1 is nog niet helemaal stabiel hoor. Los van missende features als het niet kunnen zien welke BGP routes je exporteert; had ik van de week ook het probleem dat 1 router weigerde om de routes uit een address list te exporteren na een reboot. De fix? De address list even disablen en weer enablen. Kostte maar een paar uur uitzoekwerk om er achter te komen welke seting ik nou (niet) gemist had...

Zo staan er nog veel meer voorbeelden op het Mikrotik forum. Mijn suggestie zou zijn om wanneer je een draaiende setup hebt op basis van v6 voorlopig daar op te blijven.Tegelijkertijd, als je per se iets uit v7 nodig hebt dan zal 7.1.1 voor de meeste use cases uiteindelijk wel werken.
Ik draai zelf 7.1.1
maar had een mikrotik router opnieuw geconfiguurd en gaf de DHCP client wel een ip adres maar niet de gateway had het zo weer opgelost door het systeem te rebooten maar ROS7 is nog niet waar ROS6 is. Zijn daarom ook nog geen longterm stable releases van.

Acties:
  • +2 Henk 'm!

  • Jef61
  • Registratie: Mei 2010
  • Laatst online: 12:23
Sh*t, vandaag is mijn RB5009 met RouterOS 7.1.1 tijdens een Teams sessie vast gelopen. Kon er met Winbox niet meer bij. Moest snel terug naar de meeting dus stekker getrokken, daarna was alles weer OK. Geen fijn idee :/

Acties:
  • 0 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

Jef61 schreef op donderdag 3 februari 2022 @ 15:27:
Sh*t, vandaag is mijn RB5009 met RouterOS 7.1.1 tijdens een Teams sessie vast gelopen.
Heb je ook de firmware bijgewerkt? Iets spannends qua configuratie?

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • Jef61
  • Registratie: Mei 2010
  • Laatst online: 12:23
lier schreef op donderdag 3 februari 2022 @ 15:46:
[...]

Heb je ook de firmware bijgewerkt? Iets spannends qua configuratie?
Weekje geleden geupdate naar 7.1.1
Er stond dacht ik 7.1.0 op, die heeft wel stabiel gedraaid (althans geen vastlopers).

Ik had graag even langer willen kijken wat er aan de hand was, maar helaas geen tijd voor.
Verder een weinig spannende configuratie, alleen enkele vlans geconfigureerd. Gebruik wel Capsman om 2 Mikrotik wifi routers aan te sturen, weet niet of dat 'spannend' is ;)

Acties:
  • +2 Henk 'm!

  • hindrik123
  • Registratie: November 2016
  • Laatst online: 09-06-2023
Jef61 schreef op donderdag 3 februari 2022 @ 15:27:
Sh*t, vandaag is mijn RB5009 met RouterOS 7.1.1 tijdens een Teams sessie vast gelopen. Kon er met Winbox niet meer bij. Moest snel terug naar de meeting dus stekker getrokken, daarna was alles weer OK. Geen fijn idee :/
Zoiets had ik ook ik kreeg toen geen gateway adres meer van de dhcp server. Maar na reboot deed die het wel weer.

Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
Ik draai mijn rb5009 al een tijd op 7.1.1 zonder craches gehad te hebben. Mijn ccr1009 hing in een bootloop na de opgrade naar 7.1.1

Acties:
  • 0 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 19-09 20:56
kaaas schreef op vrijdag 4 februari 2022 @ 19:43:
Ik draai mijn rb5009 al een tijd op 7.1.1 zonder craches gehad te hebben. Mijn ccr1009 hing in een bootloop na de opgrade naar 7.1.1
Dat hoort niet! Hoe heb je dat weer opgelost, netinstall?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@Freeaqingme ja een netinstall fixte het. Was wel vaag aanvankelijk deed ie het gewoon totdat ik de routerboard firmware upgrade toen ging het mis. Knap irritant want ik heb er nu niet heel vertrouwen in om hem ergens in een rek te drukken.

Op het mikrotik forum zag ik meer mensen met dit probleem en een ccr1009

Acties:
  • 0 Henk 'm!

  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 10:36
Hmmbob schreef op zondag 9 januari 2022 @ 22:36:
[...]

Multicast-querier aanvinken en het klopt weer (y)
Ik krijg IPTV nog niet werkend op de RB5009 met 7.1. Waar kan je deze optie voor multicast-querier aanvinken? Kan hem niet vinden....

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker


Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Op de bridge:

Afbeeldingslocatie: https://tweakers.net/i/NbyeritzZCz-M0w6ZTGV-tg6xe8=/x800/filters:strip_icc():strip_exif()/f/image/xipnU1HUeDQtBxXT1fjq5Aq8.jpg?f=fotoalbum_large

[ Voor 94% gewijzigd door Hmmbob op 06-02-2022 08:31 ]

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Mede forum gebruikers

Iemand hier ervaring met OSPF tussen een mikrotik en pfsense router via een gre tunnel?
Ik krijg het niet voorelkaar om de routes van de pfsense kant in mijn route tabel te krijgen daar het wel viceversa werkt...

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Aesculapius schreef op zaterdag 5 februari 2022 @ 23:07:
[...]


Ik krijg IPTV nog niet werkend op de RB5009 met 7.1. Waar kan je deze optie voor multicast-querier aanvinken? Kan hem niet vinden....
Dat gaat ook niet werken... Ik heb er uren aan gespendeerd en nooit werkend gekregen. Ik heb nu de rb750 en geen enkel probleem

Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
martinschilder schreef op woensdag 9 februari 2022 @ 08:20:
[...]


Dat gaat ook niet werken... Ik heb er uren aan gespendeerd en nooit werkend gekregen. Ik heb nu de rb750 en geen enkel probleem
Dan doe je iets niet goed (sorry to say), want KPN IPTV werkt hier prima op de RB5009 met 7.1.1.

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Hmmbob schreef op woensdag 9 februari 2022 @ 08:47:
[...]

Dan doe je iets niet goed (sorry to say), want KPN IPTV werkt hier prima op de RB5009 met 7.1.1.
Dan zou ik graag mijn config willen vergelijken met die van jou als dat kan

Acties:
  • +6 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
martinschilder schreef op woensdag 9 februari 2022 @ 08:58:
[...]


Dan zou ik graag mijn config willen vergelijken met die van jou als dat kan
Zeker. Heb een export gedraaid en alles wat niet relevant was eruit geknipt. Daarnaast ook wat comments toegevoegd:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
# feb/09/2022 10:37:04 by RouterOS 7.1.1
#
# model = RB5009UG+S+

# KPN IPTV Relevant Config
# Hmmbob @ Tweakers

# Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN)
#
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6

# Ensure you have a bridge for the regular LAN, ensure to **enable multicast-querier** and **igmp-snooping**
#
/interface bridge
add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes 

# Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1.
#
/interface bridge port
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1

# Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity
# Nothing special here for IPTV.
#
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet

# Set KPN IPTV specific DHCP options
#
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

# Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV.
# No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already
#
/ip dhcp-client
add interface=vlan1.4-TV dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no

# Ensure NAT takes place on both outgoing interfaces (Internet and IPTV)
#
/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=vlan1.4-TV

# Enable IGMP-Proxy with quick-leave
#
/routing igmp-proxy
set query-interval=30s quick-leave=yes

# Add igmp-proxy to vlan1.4-TV as upstream, and bridge-LAN as listening
#
/routing igmp-proxy interface
add interface=vlan1.4-TV upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 
add interface=bridge-LAN


Edit 14/2: bridge voor TV/VLAN4 verwijderd, DHCP client en IGMP-proxy direct op vlan1.4

[ Voor 6% gewijzigd door Hmmbob op 15-02-2022 16:51 ]

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Maxwp
  • Registratie: Juni 2011
  • Laatst online: 20-09 23:12
ik draai nu op de rb5009 versie 7.1.1 puur te info
heb zitten google maar 1 ding blijkt me onduidelijk als ik via winbox een adress list aan maak bij de firewall kan ik een single ip adres vermelden maar als ik meerdere single adressen wil ingeven accepteert hij dit niet.
dus 192.168.20.1,192.168.20.5 of 192.168.20.1-192.168.20.5
in het laatst geval krijg ik geen foutmelding maar werkt de block niet als ik dan alleen 192.168.20.1 doe en de rest weg l aat werkt de rule wel
kan ook nergens de juiste manier vinden of het een comma moet zijn of streepje?

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:
[...]

Zeker. Heb een export gedraaid en alles wat niet relevant was eruit geknipt. Daarnaast ook wat comments toegevoegd:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
# feb/09/2022 10:37:04 by RouterOS 7.1.1
#
# model = RB5009UG+S+

# KPN IPTV Relevant Config
# Hmmbob @ Tweakers

# Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN)
#
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6

# Ensure you have 2 bridges: one for the regular LAN and one for VLAN4 on WAN interface
# Make sure to **enable multicast-querier on the LAN bridge**, and **igmp-snooping on both**
#
/interface bridge
add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes 
add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes 

# Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1.
#
/interface bridge port
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1

# Add VLAN4 (WAN) to the WAN-VLAN4 bridge
#
/interface bridge port
add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV

# Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity
# Nothing special here for IPTV.
#
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet

# Set KPN IPTV specific DHCP options
#
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

# Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV bridge.
# No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already
#
/ip dhcp-client
add interface=bridge-WAN-VLAN4 dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no

# Ensure NAT takes place on both outgoing interfaces (Internet and IPTV)
#
/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4

# Enable IGMP-Proxy with quick-leave
#
/routing igmp-proxy
set query-interval=30s quick-leave=yes

# Add igmp-proxy to bridge-WAN-VLAN4 as upstream, and bridge-LAN as listening
#
/routing igmp-proxy interface
add interface=bridge-WAN-VLAN4 upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 
add interface=bridge-LAN
Hi Dank voor de info... Ik mis alleen wat informatie thans het lampje gaat nog niet echt branden...

Hoe communiceert de stb nou met vlan4 want in jou voorbeeld is er een bridge op vlan4 maar hoe de stb zit in bridge-lan hoe werkt dit dan?

Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
martinschilder schreef op woensdag 9 februari 2022 @ 13:33:
[...]


Hi Dank voor de info... Ik mis alleen wat informatie thans het lampje gaat nog niet echt branden...

Hoe communiceert de stb nou met vlan4 want in jou voorbeeld is er een bridge op vlan4 maar hoe de stb zit in bridge-lan hoe werkt dit dan?
Daar is de igmp-proxy voor.

[ Voor 5% gewijzigd door Hmmbob op 09-02-2022 13:38 ]

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Hmmbob schreef op woensdag 9 februari 2022 @ 13:37:
[...]

Daar is de igmp-proxy voor.
Het lijkt inderdaad te werken

Ik ga het even testen komende dagen.

Dank voor zover

Acties:
  • +3 Henk 'm!

  • Bierkameel
  • Registratie: December 2000
  • Niet online

Bierkameel

Alle proemn in n drek

Mijn RB5009 draait nu 35 dagen zonder problemen, ik moet zeggen dat de stabiliteit van rOS7 nog niet tegenvalt :)

Acties:
  • +1 Henk 'm!

  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 10:36
Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:
[...]

Zeker. Heb een export gedraaid en alles wat niet relevant was eruit geknipt. Daarnaast ook wat comments toegevoegd:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
# feb/09/2022 10:37:04 by RouterOS 7.1.1
#
# model = RB5009UG+S+

# KPN IPTV Relevant Config
# Hmmbob @ Tweakers

# Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN)
#
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6

# Ensure you have 2 bridges: one for the regular LAN and one for VLAN4 on WAN interface
# Make sure to **enable multicast-querier on the LAN bridge**, and **igmp-snooping on both**
#
/interface bridge
add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes 
add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes 

# Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1.
#
/interface bridge port
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1

# Add VLAN4 (WAN) to the WAN-VLAN4 bridge
#
/interface bridge port
add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV

# Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity
# Nothing special here for IPTV.
#
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet

# Set KPN IPTV specific DHCP options
#
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

# Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV bridge.
# No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already
#
/ip dhcp-client
add interface=bridge-WAN-VLAN4 dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no

# Ensure NAT takes place on both outgoing interfaces (Internet and IPTV)
#
/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4

# Enable IGMP-Proxy with quick-leave
#
/routing igmp-proxy
set query-interval=30s quick-leave=yes

# Add igmp-proxy to bridge-WAN-VLAN4 as upstream, and bridge-LAN as listening
#
/routing igmp-proxy interface
add interface=bridge-WAN-VLAN4 upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 
add interface=bridge-LAN
Top, dankje.

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker


  • Zerobase
  • Registratie: Februari 2007
  • Niet online
@martinschilder

Niet toevallig een routing filter actief? En accepteert de Mikrotik multicast verkeer van pfSense (OSPF gebruikt multicast groepen 224.0.0.5 en 224.0.0.6)?
martinschilder schreef op woensdag 9 februari 2022 @ 08:19:
Mede forum gebruikers

Iemand hier ervaring met OSPF tussen een mikrotik en pfsense router via een gre tunnel?
Ik krijg het niet voorelkaar om de routes van de pfsense kant in mijn route tabel te krijgen daar het wel viceversa werkt...

[ Voor 3% gewijzigd door Zerobase op 10-02-2022 07:41 ]


Acties:
  • +6 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

Er is weer een update beschikbaar (7.1.2) in het Stable kanaal:
https://forum.mikrotik.com/viewtopic.php?t=183109

[ Voor 14% gewijzigd door lier op 10-02-2022 10:05 ]

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

Vraagje, hoe komt het dat in mijn firewall poort 443 openstaat terwijl ik die rule hier heb disabled? Voor mijn gevoel was dit vroeger altijd nodig maar ik kan deze uitzetten en alles loopt nog verder...
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
# feb/11/2022 20:52:53 by RouterOS 7.1.2
# software id = 8IK2-IVBA
#
# model = RouterBOARD 3011UiAS
# serial number = XXX
/ip firewall address-list
add address=173.245.48.0/20 list=cloudflare
add address=103.21.244.0/22 list=cloudflare
add address=103.22.200.0/22 list=cloudflare
add address=103.31.4.0/22 list=cloudflare
add address=141.101.64.0/18 list=cloudflare
add address=108.162.192.0/18 list=cloudflare
add address=190.93.240.0/20 list=cloudflare
add address=188.114.96.0/20 list=cloudflare
add address=197.234.240.0/22 list=cloudflare
add address=198.41.128.0/17 list=cloudflare
add address=162.158.0.0/15 list=cloudflare
add address=104.16.0.0/13 list=cloudflare
add address=104.24.0.0/14 list=cloudflare
add address=172.64.0.0/13 list=cloudflare
add address=131.0.72.0/22 list=cloudflare
/ip firewall filter
add action=jump chain=forward comment="jump to kid-control rules" jump-target=kid-control
add action=accept chain=forward comment="https on proxy" disabled=yes dst-port=443 protocol=tcp src-address-list=cloudflare
add action=accept chain=forward comment="minecraft servers" disabled=yes dst-port=25565 in-interface=all-ppp protocol=tcp
add action=accept chain=input comment=wireguard dst-port=13231 protocol=udp
add action=accept chain=forward comment="allow vlan dns" dst-port=53 in-interface=all-vlan out-interface=bridge protocol=udp
add action=accept chain=forward comment=anno disabled=yes dst-address=192.168.0.7 dst-port=18000 in-interface=all-ppp protocol=udp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="block inter-vlan routing" in-interface=all-vlan out-interface=bridge
add action=drop chain=forward comment="block inter-vlan routing" in-interface=bridge out-interface=all-vlan
add action=drop chain=forward comment="block inter-vlan routing" in-interface=users out-interface=guests
add action=drop chain=forward comment="block inter-vlan routing" in-interface=guests out-interface=users
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not ..." connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp src-address-list=cloudflare to-addresses=10.0.0.20 to-ports=443
add action=dst-nat chain=dstnat dst-port=25565 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25565
add action=dst-nat chain=dstnat disabled=yes dst-port=25566 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25566
add action=dst-nat chain=dstnat dst-port=53 in-interface=all-vlan protocol=udp to-addresses=10.0.0.4 to-ports=53
add action=dst-nat chain=dstnat comment=anno disabled=yes dst-port=18000 in-interface=all-ppp protocol=udp to-addresses=192.168.0.7 \
    to-ports=18000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes

https://dontasktoask.com/


Acties:
  • +2 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
orvintax schreef op vrijdag 11 februari 2022 @ 20:56:
Vraagje, hoe komt het dat in mijn firewall poort 443 openstaat terwijl ik die rule hier heb disabled? Voor mijn gevoel was dit vroeger altijd nodig maar ik kan deze uitzetten en alles loopt nog verder...
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
# feb/11/2022 20:52:53 by RouterOS 7.1.2
# software id = 8IK2-IVBA
#
# model = RouterBOARD 3011UiAS
# serial number = XXX
/ip firewall address-list
add address=173.245.48.0/20 list=cloudflare
add address=103.21.244.0/22 list=cloudflare
add address=103.22.200.0/22 list=cloudflare
add address=103.31.4.0/22 list=cloudflare
add address=141.101.64.0/18 list=cloudflare
add address=108.162.192.0/18 list=cloudflare
add address=190.93.240.0/20 list=cloudflare
add address=188.114.96.0/20 list=cloudflare
add address=197.234.240.0/22 list=cloudflare
add address=198.41.128.0/17 list=cloudflare
add address=162.158.0.0/15 list=cloudflare
add address=104.16.0.0/13 list=cloudflare
add address=104.24.0.0/14 list=cloudflare
add address=172.64.0.0/13 list=cloudflare
add address=131.0.72.0/22 list=cloudflare
/ip firewall filter
add action=jump chain=forward comment="jump to kid-control rules" jump-target=kid-control
add action=accept chain=forward comment="https on proxy" disabled=yes dst-port=443 protocol=tcp src-address-list=cloudflare
add action=accept chain=forward comment="minecraft servers" disabled=yes dst-port=25565 in-interface=all-ppp protocol=tcp
add action=accept chain=input comment=wireguard dst-port=13231 protocol=udp
add action=accept chain=forward comment="allow vlan dns" dst-port=53 in-interface=all-vlan out-interface=bridge protocol=udp
add action=accept chain=forward comment=anno disabled=yes dst-address=192.168.0.7 dst-port=18000 in-interface=all-ppp protocol=udp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="block inter-vlan routing" in-interface=all-vlan out-interface=bridge
add action=drop chain=forward comment="block inter-vlan routing" in-interface=bridge out-interface=all-vlan
add action=drop chain=forward comment="block inter-vlan routing" in-interface=users out-interface=guests
add action=drop chain=forward comment="block inter-vlan routing" in-interface=guests out-interface=users
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not ..." connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp src-address-list=cloudflare to-addresses=10.0.0.20 to-ports=443
add action=dst-nat chain=dstnat dst-port=25565 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25565
add action=dst-nat chain=dstnat disabled=yes dst-port=25566 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25566
add action=dst-nat chain=dstnat dst-port=53 in-interface=all-vlan protocol=udp to-addresses=10.0.0.4 to-ports=53
add action=dst-nat chain=dstnat comment=anno disabled=yes dst-port=18000 in-interface=all-ppp protocol=udp to-addresses=192.168.0.7 \
    to-ports=18000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
Regel 45?

Sometimes you need to plan for coincidence


Acties:
  • +1 Henk 'm!

  • babbelbox
  • Registratie: Maart 2003
  • Laatst online: 09:37
Maxwp schreef op woensdag 9 februari 2022 @ 13:23:
ik draai nu op de rb5009 versie 7.1.1 puur te info
heb zitten google maar 1 ding blijkt me onduidelijk als ik via winbox een adress list aan maak bij de firewall kan ik een single ip adres vermelden maar als ik meerdere single adressen wil ingeven accepteert hij dit niet.
dus 192.168.20.1,192.168.20.5 of 192.168.20.1-192.168.20.5
in het laatst geval krijg ik geen foutmelding maar werkt de block niet als ik dan alleen 192.168.20.1 doe en de rest weg l aat werkt de rule wel
kan ook nergens de juiste manier vinden of het een comma moet zijn of streepje?
Je moet je gewenste adressen (of ranges) individueel aanmaken met dezelfde naam. Zo creëer je een lijst met adressen die je dan op basis van de naam kunt blocken (of wat je er dan ook mee wilt)

Acties:
  • 0 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

Ja, maar ik dacht dat je iets moest open zetten in het firewall tabje en bij dat nat gedeelte.

https://dontasktoask.com/


Acties:
  • +1 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

orvintax schreef op zaterdag 12 februari 2022 @ 14:15:
Ja, maar ik dacht dat je iets moest open zetten in het firewall tabje en bij dat nat gedeelte.
Alleen als je eindigt met een drop all rule aan het eind, dan moet je expliciet openen.

Eerst het probleem, dan de oplossing


Acties:
  • 0 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

lier schreef op zaterdag 12 februari 2022 @ 22:34:
[...]

Alleen als je eindigt met een drop all rule aan het eind, dan moet je expliciet openen.
Heb ik die dan niet op regel 41/42?

https://dontasktoask.com/


Acties:
  • +3 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

Daar heb je staan dat alles geblokkeerd moet worden dat niet dstnat is, dus...nee O-)
Ik bedoel overigns zoiets:

code:
1
add action=drop chain=forward comment="Drop everything else" log=yes

[ Voor 39% gewijzigd door lier op 12-02-2022 23:34 ]

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • Maxwp
  • Registratie: Juni 2011
  • Laatst online: 20-09 23:12
babbelbox schreef op zaterdag 12 februari 2022 @ 08:42:
[...]

Je moet je gewenste adressen (of ranges) individueel aanmaken met dezelfde naam. Zo creëer je een lijst met adressen die je dan op basis van de naam kunt blocken (of wat je er dan ook mee wilt)
dank.
ja daar was ik achter gekomen niet na veel google maar via ssh maar eens inloggen en een command line uitvoeren
toen zag ik pas dat dit zo werkte staat niet echt duidelijk omschreven.

wat omslachtig zeg je zou zeggen bij een adres list dat je daar een list maar maar je makat allemaal individuele aan met de zelfde naam
lijkt wel de wereld op zijn kop ;-)
maar goed het werkt nu

Acties:
  • +1 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:27

lier

MikroTik nerd

Dan had je deze uitleg waarschijnlijk niet gezien, @Maxwp
https://wiki.mikrotik.com...:IP/Firewall/Address_list

Eerst het probleem, dan de oplossing


Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Bierkameel schreef op woensdag 9 februari 2022 @ 15:23:
Mijn RB5009 draait nu 35 dagen zonder problemen, ik moet zeggen dat de stabiliteit van rOS7 nog niet tegenvalt :)
Ik heb nu een aantal dagen de config van @Hmmbob er in zitten op basis van de 7.2rc3 software. Helaas nog best vaak de stb-nmc-400 voorbij zien komen.

Nu kan dit door 2 dingen komen..

1. de software is nog wat gevoelig dus voor de zekerheid gedowngrade naar de laatste stable versie
2. quick-leave (yes|no) : specifies action on IGMP Leave message. If quick-leave is on, then an IGMP Leave message is sent upstream as soon as a leave is received from the first client on the downstream interface. Use set to yes only in case there is only one subscriber behind the proxy. (deze stond aan dus even uitgezet)

Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
martinschilder schreef op maandag 14 februari 2022 @ 08:07:
Ik heb nu een aantal dagen de config van @Hmmbob er in zitten op basis van de 7.2rc3 software. Helaas nog best vaak de stb-nmc-400 voorbij zien komen.
Hmm, die zien wij werkelijkwaar nooit. Maar, fair to say: ik draai 7.1.1 en we kijken zelden op 2 kastjes tegelijk TV (ok, rephrase: we kijken zelden lineaire TV, laat staan op 2 kastjes tegelijk)

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Maxwp
  • Registratie: Juni 2011
  • Laatst online: 20-09 23:12
dank maar hier staat toch niet dat hij voor elke een nieuwe vermelding maakt?
het gaat me erom dat ze het hebben over adresslists waardoor je ervanuit gaat dat je een lijst of bulk lijts kan maken maar dat is niet zo. ( heb het even over winbox )
uiteindeijk kwam er ik zelf achter door via de cli wat aan te maken en toen te zien dat deze als individuele worden aangemaakt maar met de zelfde naam alleen een andere ip adress.

ging ervanuit dat je 1 list maakte "block" daar dan al je adressen in zetten
en deze bij de firewall dan naar verwees.
maar je verwijst wel naar een blocklist maar als je daar dan heen gaat staan alles bij elkaar.
ook andere blocklisten

zal wel weer wat te maken hebben met die logica waar men vaker van opkijkt.

maar goed is al weer gefixed beetje zonde alleen kan zo veel simpeler.

Acties:
  • 0 Henk 'm!

  • CeesBak
  • Registratie: Januari 2004
  • Laatst online: 16-09 08:11
Mensen, ik zoek me een ongeluk. Mijn gevoel zegt dat de Mikrotik hAP AC3 is een miskoop is, maar dat kan ik me dan niet voorstellen. Eerst verander ik in Quick Set de ip van 192.168.88.1 naar 192.168.1.1 maar dan heb ik geen internet, sjonge. Afijn dan maar werken met 192.168.88.1 den de rest van de installatie omwerken.

Momenteel heb ik mijn oude Netgear poorten 80/443 door gezet naar 192.168.1.100. Bij de Mikrotik wil ik graag 80/443 door zetten van de WAN poort naar 192.168.88.100. Ik krijg dat in het geheel in aan de praat.

Ben al dagen op zoek maar alle suggesties op internet brengen mijn NextCloud server niet aan de praat. Zou iemand mijn wat aanwijzingen kunnen geven hoe ik mijn NextCloud Server kan verbinden?

Acties:
  • +1 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 03:54
@CeesBak

De hAP ac³ is zeker geen miskoop :) Wat je kunt proberen, is om het ding voor de zekerheid te resetten naar factory defaults (opstarten met reset-knop ingedrukt tot het usr-lampje gaat knipperen). Dan verbinden via MAC-adres (WinBox, Neighbors, klik op MAC Address) en dan je subnet aan te passen via Quick Set.

Zo houd je tijdens de wijziging verbinding met de router. Vervolgens moet je na het wijzigen van je subnet, even opnieuw verbinding maken zodat je pc het juiste ip en gateway krijgt toegewezen.

Je kunt je port forwards via Quick Set instellen.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +1 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

Maxwp schreef op zondag 13 februari 2022 @ 23:17:
[...]

dank.
ja daar was ik achter gekomen niet na veel google maar via ssh maar eens inloggen en een command line uitvoeren
toen zag ik pas dat dit zo werkte staat niet echt duidelijk omschreven.

wat omslachtig zeg je zou zeggen bij een adres list dat je daar een list maar maar je makat allemaal individuele aan met de zelfde naam
lijkt wel de wereld op zijn kop ;-)
maar goed het werkt nu
Sommige dingen kunnen inderdaad wel wat intuitiever ingericht worden, zat hier een paar dagen terug ook al naar te kijken... :Y)

https://dontasktoask.com/


Acties:
  • 0 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 03:54
@Maxwp @orvintax het voordeel van het inrichten van losse entry's is dat je a) lijsten met duizenden entry's kunt aanmaken en b) adreslijstentry's afzonderlijk kunt enablen/disablen.

Je kunt de address list-structuur min of meer vergelijken met interface lists en bridge port members, alleen hebben hebben deze een gekoppelde entiteit (interface list list en/of bridge) en address list een 'vrije' address list-naam.

Hier is echt wel over nagedacht. In feite benoemen jullie de stijle leercurve van MikroTik en dit is idd een bekend struikelblok :)

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +1 Henk 'm!

  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 17-09 12:52

orvintax

www.fab1an.dev

nescafe schreef op maandag 14 februari 2022 @ 15:57:
@Maxwp @orvintax het voordeel van het inrichten van losse entry's is dat je a) lijsten met duizenden entry's kunt aanmaken en b) adreslijstentry's afzonderlijk kunt enablen/disablen.

Je kunt de address list-structuur min of meer vergelijken met interface lists en bridge port members, alleen hebben hebben deze een gekoppelde entiteit (interface list list en/of bridge) en address list een 'vrije' address list-naam.

Hier is echt wel over nagedacht. In feite benoemen jullie de hoge leercurve van MikroTik en dit is idd een bekend struikelblok :)
Dat snap ik wel, maar het is gewoon totaal niet intuitief. Terwijl er wel mogelijkheden zijn om het dat wel te maken.

https://dontasktoask.com/


Acties:
  • +2 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 03:54
Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:

/interface bridge
add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes

/interface bridge port
add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV
Waarom arp=proxy-arp? En waarom überhaupt een bridge voor vlan1.4-TV? Je kunt toch ook zonder bridge de interface vlan1.4-TV gebruiken in je dhcp-client en igmp-proxy?
/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4
Beter/handiger/slimmer plaats je vlan1.4-TV samen met pppoe-client, vlan1.6-Internet en ether1-WAN in de WAN interface list (uit de default config). Dan heb je in 1 klap firewalling en NAT op je externe interfaces en deze aparte srcnat-regels niet meer nodig.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21
martinschilder schreef op maandag 14 februari 2022 @ 08:07:
[...]


Ik heb nu een aantal dagen de config van @Hmmbob er in zitten op basis van de 7.2rc3 software. Helaas nog best vaak de stb-nmc-400 voorbij zien komen.

Nu kan dit door 2 dingen komen..

1. de software is nog wat gevoelig dus voor de zekerheid gedowngrade naar de laatste stable versie
2. quick-leave (yes|no) : specifies action on IGMP Leave message. If quick-leave is on, then an IGMP Leave message is sent upstream as soon as a leave is received from the first client on the downstream interface. Use set to yes only in case there is only one subscriber behind the proxy. (deze stond aan dus even uitgezet)
Hmmbob schreef op maandag 14 februari 2022 @ 08:38:
Hmm, die zien wij werkelijkwaar nooit. Maar, fair to say: ik draai 7.1.1 en we kijken zelden op 2 kastjes tegelijk TV (ok, rephrase: we kijken zelden lineaire TV, laat staan op 2 kastjes tegelijk)
Ik zou zeggen kijk eens naar deze oplossing voor IPTV : Coolhva in "[Ubiquiti & IPTV] Ervaringen & Discussie"

Het is misschien een beetje een rare oplossing, maar ik vind hem wel beter/leuker/handiger op het moment, omdat je dan lekker je MikroTik zijn ding laat doen terwijl al die nare IPTV meuk wordt afgehandeld door een kleine Raspberry Pi waarop je wat betrouwbaardere software hebt voor het geheel! :)

En...

Alle IPTV meuk zit dan in een aparte VLAN waardoor je dus ook minder kans hebt op verstoringen van een ander apparaat dat aan Multicast doet! :Y)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@CeesBak
Als je van je huidige config je export post, wat waar op zit aan gesloten, wat de eind situatie moet worden en wat er niet werkt. Dan kunnen we suggesties doen wat er anders zou kunnen

Acties:
  • 0 Henk 'm!

  • Dutchylex
  • Registratie: Oktober 2007
  • Niet online
Beste tweakers,

Ik heb net de RB5009UG gekocht en ben al een paar dagen aan het inlezen en filmpjes op youtube aan het kijken. Ik begin een en ander een beetje te snappen maar het wil nog niet vlotten. Om te beginnen wil ik mijn Tmobile modem vervangen (die met het Zyxel modem) Ik heb een 1Gb glas verbinding ZONDER tv etc. dus alleen internet.

Nu krijg ik, als ik onderstaande code invoer op de basis configuratie (fabrieksinstellingen dus) via de terminal, op de eth1 poort (waar mijn tmobile WAN kabel ingaat) een verbinding en kan ik pingen naar 8.8.8.8. Ook krijg ik een ip adres op eth2 (en andere poorten) maar ik krijg het niet voor elkaar internet op de PC te krijgen. Er mist ergens een "link" tussen de eth1 WAN verbinding (in VLAN 300) en de LAN verbinding. Wellicht de FW? Iemand een tip?

code:
1
2
3
4
5
6
7
8
9
10
# DHCP client
# De interface moet een VLAN300 zijn op de poort waar de glasvezel op binnen komt. In dit voorbeeld VLAN60 op poort 1.
# Wijzig dit naar je eigen setup.
#
# Maak eerst het VLAN aan.

/interface vlan
add interface=ether1 name=vlan300 vlan-id=300

# De bridge voor de LAN poorten moet IGMP snooping hebben. Als de bridge al bestaat
# maak dan alleen de aanpassing IGMP-snooping=yes.

/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-LAN protocol-mode=none

# DHCP client op VLAN300
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-client
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no \
    interface=vlan300 use-peer-dns=no use-peer-ntp=no

Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
nescafe schreef op maandag 14 februari 2022 @ 16:14:
En waarom überhaupt een bridge voor vlan1.4-TV? Je kunt toch ook zonder bridge de interface vlan1.4-TV gebruiken in je dhcp-client en igmp-proxy?
Nee, dat kant niet.

Afbeeldingslocatie: https://tweakers.net/i/kk1R3ASNpY3jEGgv0K5__pGVYWg=/800x/filters:strip_exif()/f/image/fAxHSbnB2U13SxJvtF8YewQ2.png?f=fotoalbum_large

Verder is mijn config een beetje een mix van de 'oude defconf' (dus nog zonder de WAN/LAN interface lists) en customizations. De proxy-arp weet ik niet waar dat vandaan komt (kan me niet voorstellen dat ik dat actief ingesteld heb). Die NAT zou samen kunnen, maar ik heb meer losse netwerken draaien waar ik andere dingen mee doe. Met deze losse regels maak ik het expliciet.

[ Voor 22% gewijzigd door Hmmbob op 14-02-2022 20:14 ]

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Serefsiz
  • Registratie: Augustus 2012
  • Laatst online: 07:59
Dutchylex schreef op maandag 14 februari 2022 @ 20:03:
Beste tweakers,

Ik heb net de RB5009UG gekocht en ben al een paar dagen aan het inlezen en filmpjes op youtube aan het kijken. Ik begin een en ander een beetje te snappen maar het wil nog niet vlotten. Om te beginnen wil ik mijn Tmobile modem vervangen (die met het Zyxel modem) Ik heb een 1Gb glas verbinding ZONDER tv etc. dus alleen internet.

Nu krijg ik, als ik onderstaande code invoer op de basis configuratie (fabrieksinstellingen dus) via de terminal, op de eth1 poort (waar mijn tmobile WAN kabel ingaat) een verbinding en kan ik pingen naar 8.8.8.8. Ook krijg ik een ip adres op eth2 (en andere poorten) maar ik krijg het niet voor elkaar internet op de PC te krijgen. Er mist ergens een "link" tussen de eth1 WAN verbinding (in VLAN 300) en de LAN verbinding. Wellicht de FW? Iemand een tip?

code:
1
2
3
4
5
6
7
8
9
10
# DHCP client
# De interface moet een VLAN300 zijn op de poort waar de glasvezel op binnen komt. In dit voorbeeld VLAN60 op poort 1.
# Wijzig dit naar je eigen setup.
#
# Maak eerst het VLAN aan.

/interface vlan
add interface=ether1 name=vlan300 vlan-id=300

# De bridge voor de LAN poorten moet IGMP snooping hebben. Als de bridge al bestaat
# maak dan alleen de aanpassing IGMP-snooping=yes.

/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-LAN protocol-mode=none

# DHCP client op VLAN300
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-client
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no \
    interface=vlan300 use-peer-dns=no use-peer-ntp=no
Heb je een bridge aangenaakt en je lan interfaces daar aan gekoppeld? Heb je al een dhcp server geconfigureerd?

Acties:
  • 0 Henk 'm!

  • Dutchylex
  • Registratie: Oktober 2007
  • Niet online
Serefsiz schreef op maandag 14 februari 2022 @ 20:27:
[...]


Heb je een bridge aangenaakt en je lan interfaces daar aan gekoppeld? Heb je al een dhcp server geconfigureerd?
Ja, vanuit de default config is een bridge gemaakt en DHCP. Mijn client krijgt ook netjes een 192.168.88.x adres. En deze kan ook pingen naar het gateway adres.

Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:03
nescafe schreef op maandag 14 februari 2022 @ 15:43:
Je kunt je port forwards via Quick Set instellen.
Nu ben ik niet heel bekend met Quick Set en kan ik nu ik 't check op mijn hAP AC ook niets vinden over port forwards in Quick Set, maar als dat wel kan: let er wel op dat Quick Set in principe bedoeld is voor initiële configuratie en de neiging heeft om bestaande (reguliere) configuratie te overschrijven.

Als er geen 'aparte' knop is om port forwards te bevestigen kun je beter zelf de benodigde firewallregels (filter + NAT) aanmaken.
Waarom arp=proxy-arp? En waarom überhaupt een bridge voor vlan1.4-TV?
Volgens mij wordt die arp-proxy door iedereen gekopiëerd uit die config van Netwerkje waar wat schoonheidsfoutjes inzitten.
Goed kijken wat er staat: je interface is nog enslaved, en dáárom mag het niet. Als je eerst de bridge port weghaalt kan het wel.
Dutchylex schreef op maandag 14 februari 2022 @ 20:31:
[...]

Ja, vanuit de default config is een bridge gemaakt en DHCP. Mijn client krijgt ook netjes een 192.168.88.x adres. En deze kan ook pingen naar het gateway adres.
Ik denk dat het nuttig is als je een config export deelt. Er kan vanalles loos zijn.

Toch zonder glazen bol: heb je het vlan (waar je internet over krijgt) wel toegevoegd aan de WAN address list? Dat is waar hij default op firewallt dacht ik.

En óók in jouw config stel je een arp proxy in, wááárom doet iedereen dat?

Acties:
  • +2 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
Thralas schreef op maandag 14 februari 2022 @ 20:36:
Volgens mij wordt die arp-proxy door iedereen gekopiëerd uit die config van Netwerkje waar wat schoonheidsfoutjes inzitten.
Daar kwam hij dan vast vandaan idd. Zo ben ik in 2017 begonnen :+
Goed kijken wat er staat: je interface is nog enslaved, en dáárom mag het niet. Als je eerst de bridge port weghaalt kan het wel.
Check, werkt nu wel.
Heb ook meteen mijn TV config van vorige week aangepast, dan gaat die onzin niet mee naar andermans config :+

[ Voor 10% gewijzigd door Hmmbob op 14-02-2022 21:00 ]

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • Dutchylex
  • Registratie: Oktober 2007
  • Niet online
Thralas schreef op maandag 14 februari 2022 @ 20:36:


Ik denk dat het nuttig is als je een config export deelt. Er kan vanalles loos zijn.

Toch zonder glazen bol: heb je het vlan (waar je internet over krijgt) wel toegevoegd aan de WAN address list? Dat is waar hij default op firewallt dacht ik.
Hierbij mijn config. Dank voor het meedenken alvast _/-\o_

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
# jan/02/1970 00:01:03 by RouterOS 7.0.5
# software id = 7N42-V029
#
# model = RB5009UG+S+
# serial number = EC190F8CXXXX
/interface bridge
add admin-mac=DC:2C:6E:43:C6:CD auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan300 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add default-route-distance=210 dhcp-options=option60-vendorclass interface=\
    vlan300 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system routerboard settings
set cpu-frequency=auto
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:03
Thralas schreef op maandag 14 februari 2022 @ 20:36:
Heb je het vlan (waar je internet over krijgt) wel toegevoegd aan de WAN address list? Dat is waar hij default op firewallt dacht ik.
Dat dus.

Acties:
  • 0 Henk 'm!

  • Dutchylex
  • Registratie: Oktober 2007
  • Niet online
Ok, zal vandaag eens gaan zoeken waar dit ingesteld moet worden. Thx voor het meekijken! _/-\o_

Acties:
  • +1 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@Dutchylex

/interface list member add comment=defconf interface=vlan300 list=WAN

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
nero355 schreef op maandag 14 februari 2022 @ 19:08:
[...]


[...]

Ik zou zeggen kijk eens naar deze oplossing voor IPTV : Coolhva in "[Ubiquiti & IPTV] Ervaringen & Discussie"

Het is misschien een beetje een rare oplossing, maar ik vind hem wel beter/leuker/handiger op het moment, omdat je dan lekker je MikroTik zijn ding laat doen terwijl al die nare IPTV meuk wordt afgehandeld door een kleine Raspberry Pi waarop je wat betrouwbaardere software hebt voor het geheel! :)

En...

Alle IPTV meuk zit dan in een aparte VLAN waardoor je dus ook minder kans hebt op verstoringen van een ander apparaat dat aan Multicast doet! :Y)
Dat zou ook kunnen maar dan heb je weer een extra component in je netwerk. Als ik het zo de laatste paar dagen lees heeft ieder toch zijn eigen mening over wat beter is.
Het is wellicht een idee om een basis config te maken waar ieder achter staat en wat werkt bij bijvoorbeeld kpn.

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
Hi Allen

Dus toch nog even aan het spelen geweest op basis van de config welke @Hmmbob onlangs poste..

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
/interface bridge
add igmp-snooping=yes igmp-version=3 multicast-querier=yes name=Bridge-LAN
add igmp-snooping=yes name=bridge-wan-vlan4
/interface vlan
add interface=Bridge-LAN name=DTV vlan-id=40
add interface=Bridge-LAN name=IOT vlan-id=20
add interface=ether1 name=internet vlan-id=6
add interface=ether1 name=televisie vlan-id=4
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=internet max-mru=\
    1500 max-mtu=1500 name=pppoe-out password=internet use-peer-dns=yes user=\
    internet
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool1 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool2 ranges=192.168.4.2-192.168.4.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=Bridge-LAN name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=IOT name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=DTV name=dhcp3
/ppp profile
set *0 only-one=yes use-compression=yes use-upnp=no
/interface bridge port
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether5
add bridge=bridge-wan-vlan4 interface=televisie
/ip address
add address=192.168.1.1/24 interface=Bridge-LAN network=192.168.1.0
add address=192.168.3.1/24 interface=IOT network=192.168.3.0
add address=192.168.4.1/24 interface=DTV network=192.168.4.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=250 \
    dhcp-options=option60-vendorclass disabled=no interface=bridge-wan-vlan4 \
    use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.3.0/24 gateway=192.168.3.1
add address=192.168.4.0/24 gateway=192.168.4.1
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related
add action=accept chain=forward comment="Established, Related" \
    connection-state=established,related
add action=reject chain=input in-interface=pppoe-out protocol=tcp \
    reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-out protocol=udp \
    reject-with=icmp-port-unreachable
/ip firewall nat
add action=masquerade chain=srcnat dst-address=213.75.0.0/16 out-interface=\
    bridge-wan-vlan4
add action=masquerade chain=srcnat dst-address=217.166.0.0/16 out-interface=\
    bridge-wan-vlan4
add action=masquerade chain=srcnat out-interface=pppoe-out
add action=masquerade chain=srcnat out-interface=bridge-wan-vlan4
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 interface=\
    bridge-wan-vlan4 upstream=yes
add interface=Bridge-LAN
add disabled=yes interface=DTV
/system clock
set time-zone-name=Europe/Amsterdam


Wat mij dus niet lukt om werkend te krijgen is de stb in een ander vlan te hangen. De stb krijgt netjes een ip etc toegewezen
Ik heb ook het vlan toegevoegd aan de igmp-proxy maar toch elke keer een drop van de multicast welke weg valt


Wat zie ik over het hoofd?

Groet

[ Voor 1% gewijzigd door martinschilder op 15-02-2022 12:46 . Reden: details weggehaald ]


Acties:
  • 0 Henk 'm!

  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 19-09 23:48
@martinschilder
Is dit voor KPN?
Waarom heb je ip TV in een aparte bridge zitten?
Kan gewoon allemaal in 1 bridge.

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
kaaas schreef op dinsdag 15 februari 2022 @ 13:15:
@martinschilder
Is dit voor KPN?
Waarom heb je ip TV in een aparte bridge zitten?
Kan gewoon allemaal in 1 bridge.
Ja dit is voor KPN verder weet ik niet beter. Ik heb op basis van input van @Hmmbob deze config gebakken

[ Voor 4% gewijzigd door martinschilder op 15-02-2022 14:35 ]


Acties:
  • 0 Henk 'm!

  • S4All
  • Registratie: Augustus 2001
  • Niet online
@Hmmbob: In jouw aangepaste config staat nog een aantal keer bridge-WAN-VLAN4, moet dit niet ook vlan1.4-TV of ether1-WAN zijn?

@martinschilder: In welk vlan lukt het nu wel met de stb?
Probeer je het op het default vlan (Bridge-LAN), want alleen die zie ik bij routing igmp-proxy interface staan.
Het DTV vlan is zelfs disabled. Dus als DTV staat voor Digitale TV, dan moet je die denk ik juist aan zetten

Acties:
  • 0 Henk 'm!

  • martinschilder
  • Registratie: December 2014
  • Laatst online: 01-09 13:16
@S4All klopt ik heb daar mee zitten spelen en op een gegeven moment weer alles in de bridge laten uitkomen
tijdens het testen hebben bijde interfaces in de igmp-proxy gezeten

Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21
martinschilder schreef op dinsdag 15 februari 2022 @ 11:46:
Dat zou ook kunnen maar dan heb je weer een extra component in je netwerk.
Als ik het zo de laatste paar dagen lees heeft ieder toch zijn eigen mening over wat beter is.
Het is wellicht een idee om een basis config te maken waar ieder achter staat en wat werkt bij bijvoorbeeld KPN.
Het probleem is dat die hele KPN IPTV constructie niet bepaald standaard blijkt te zijn (Alle Nederlandse ISP's zijn niet zomaar op Unicast aan het overstappen of al overgestapt!) en de meeste kant en klare Router merken dat ook niet echt helemaal lekker lijken te ondersteunen of weleens slopen in een firmware update/upgrade dus daarom is het helemaal geen gek idee om dat te "offloaden" naar een dedicated apparaat ervoor zonder gelijk naar NAT achter NAT te grijpen of iets dergelijks... :)

In dat voorbeeld wordt een Raspberry Pi gebruikt, maar niks houdt je tegen om een zuinige Intel NUC met een Atom SoC te pakken en een SSD erin voor een betrouwbaardere oplossing! ;)

Een SSD aan de Raspberry Pi plakken kan ook, maar is ook zo houtje touwtje IMHO :/

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +1 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 19-09 12:13
S4All schreef op dinsdag 15 februari 2022 @ 15:09:
@Hmmbob: In jouw aangepaste config staat nog een aantal keer bridge-WAN-VLAN4, moet dit niet ook vlan1.4-TV of ether1-WAN zijn?
Check, aangepast. Eentje was een comment dus kon geen kwaad, de andere was de masquerade naar het IPTV VLAN

Sometimes you need to plan for coincidence

Pagina: 1 ... 34 ... 54 Laatste