[MikroTik-apparatuur] Ervaringen & Discussie

superyupkent schreef op zondag 9 januari 2022 @ 22:26:
Goedenavond,

Wat zijn de ervaringen hier met KPN glasvezel plus TV en de upgrade naar RouterOS7? Los van gemis aan IPv6 nog andere problemen?

kaaas schreef op dinsdag 11 januari 2022 @ 14:32:
@superyupkent
Het is een beetje verneukeratief als je alleen naar de long term updates kijkt.
Als je ook naar de stable changelogs kijkt staat er bij 6.48:
*) bridge - added fixes and improvements for IGMP and MLD snooping;
*) bridge - added minor fixes and improvements for IGMP snooping with HW offloading;

Je kunt eens proberen op je bridge hardware offloading uit te zetten kijken wat ie dan doet

En in 6.48.1
*) crs3xx - improved system stability when bonding and IGMP snooping is used (introduced in v6.48);

6.48.4
*) crs3xx - fixed unknown multicast flood to CPU when IGMP snooping is used;

6.49
*) bridge - added IGMP and MLD querier monitoring;
*) bridge - added IGMP snooping log when multicast table gets full;

Er is dus wel het een en ander gesleuteld met IGMP

DeWim17 schreef op maandag 10 januari 2022 @ 23:28:

code:

1 2	@DeWim17 Goed dat je het zegt ik zal ook eens een ticket indienen voor de het ipv6 probleem. Fijn dat het nu werkt. Ik ben nog steeds wel benieuwd wat je cpu load is bij 900 Mbps.

Hi @kaaas
Vandaag 925 down 855 up.
CPU load tussen 14% - 20% via Winbox.

Wat zijn jouw resultaten?

1
2
3

add interface=bridge name=vlan20-iot vlan-id=20
add interface=bridge name=vlan30-htpc vlan-id=30
add interface=bridge name=vlan40-webapps vlan-id=40

1
2
3
4

add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool_vlan30 ranges=192.168.30.20-192.168.30.254
add name=dhcp_pool_vlan40 ranges=192.168.40.20-192.168.40.254
add name=dhcp_pool_vlan20 ranges=192.168.20.20-192.168.20.254

1
2
3

add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=30
add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=40
add bridge=bridge tagged=bridge,ether09-trapgatR untagged=\ ether08-woonkamerL vlan-ids=20

1
2
3
4
5
6
7
8
9
10
11
12
13
14

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=drop chain=forward comment="drop traffic from vlan20-iot to bridge" in-interface=vlan20-iot out-interface=bridge
add action=drop chain=forward comment="drop traffic from vlan40-webapps to bridge" in-interface=vlan40-webapps out-interface=bridge

1
2
3
4

add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Unraid - Swag 80" dst-address=12.345.67.89 dst-port=80 protocol=tcp to-addresses=192.168.40.10
add action=dst-nat chain=dstnat comment="Unraid - Swag 443" dst-address=12.345.67.89 dst-port=443 protocol=tcp to-addresses=192.168.40.10

[ Voor 11% gewijzigd door Vaenir op 18-01-2022 11:40 ]

Vaenir schreef op dinsdag 18 januari 2022 @ 11:35:
Ik ben sinds kort overgestapt van een Mikrotik hEX S naar een RB3011UiAS-RM. Ik krijg nu echter een enorme performance loss up mijn upload als ik de vlan filtering op mijn bridge inschakel. Is de MT7621A in de hEX S zoveel beter dan de IPQ-8064 cpu dat mijn (misschien slechte) configuratie wel werkte op de hEX S maar niet op RB3011?

Voor zover relevant, mijn vlans bestaan uit een untagged port waar een Apple Airport Express in bridge op is aangesloten voor mijn IOT gerelateerde meuk. Verder twee tagged vlans voor mijn htpc en web applicaties die verder door mijn Unraid server afgehandeld worden.

[Afbeelding]

[Afbeelding]

(Links met vlan bridge filtering ingeschakeld. Rechts met vlan bridge filtering uitgeschakeld)

Relevantie config delen:

/interface vlan

code:

1 2 3

add interface=bridge name=vlan20-iot vlan-id=20 add interface=bridge name=vlan30-htpc vlan-id=30 add interface=bridge name=vlan40-webapps vlan-id=40

/ip pool

code:

1 2 3 4

add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=dhcp_pool_vlan30 ranges=192.168.30.20-192.168.30.254 add name=dhcp_pool_vlan40 ranges=192.168.40.20-192.168.40.254 add name=dhcp_pool_vlan20 ranges=192.168.20.20-192.168.20.254

/interface bridge vlan

code:

1 2 3

add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=30 add bridge=bridge tagged=bridge,ether09-trapgatR vlan-ids=40 add bridge=bridge tagged=bridge,ether09-trapgatR untagged=\ ether08-woonkamerL vlan-ids=20

/ip firewall filter

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \ in-interface-list=WAN add action=drop chain=forward comment="drop traffic from vlan20-iot to bridge" in-interface=vlan20-iot out-interface=bridge add action=drop chain=forward comment="drop traffic from vlan40-webapps to bridge" in-interface=vlan40-webapps out-interface=bridge

/ip firewall nat

code:

1 2 3 4

add action=masquerade chain=srcnat comment=Hairpin dst-address=192.168.88.0/24 src-address=192.168.88.0/24 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat comment="Unraid - Swag 80" dst-address=12.345.67.89 dst-port=80 protocol=tcp to-addresses=192.168.40.10 add action=dst-nat chain=dstnat comment="Unraid - Swag 443" dst-address=12.345.67.89 dst-port=443 protocol=tcp to-addresses=192.168.40.10

orvintax schreef op dinsdag 18 januari 2022 @ 17:10:
[...]

Ik zie zo niet wat er mis is met je configuratie. Maar de RB3011 is een stuk krachtiger apparaat dan de Hex S, dus het lijkt me onwaarschijnlijk dat het aan de hardware ligt.

Vaenir schreef op dinsdag 18 januari 2022 @ 17:15:
[...]


Na een Google avontuur lijkt het erop dat de RB serie niet zo geschikt is om vlans te filteren via bridge filtering omdat er 2 switch chips in zitten en er daardoor geen hardware offload wordt ondersteund. Blijkbaar het verkeerde apparaat gekocht voor de configuratie die ik in gedachte had.

Borromini schreef op dinsdag 18 januari 2022 @ 17:43:
Ik ben niet vertrouwd met bridge filtering, maar is dat iets waarvoor je specifiek hardware offload nodig hebt? Dat lijkt me niet?

Het is ongetwijfeld vloeken in de kerk, maar ik zou toch es kijken of je bv. OpenWrt op je RB3011 kan installeren en het daarmee kan (als je tenminste terug kan naar RouterOS).

joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
...
Zal het idee van de VPN mijn snelheid teveel omlaag halen?
...

[ Voor 10% gewijzigd door Thasaidon op 21-01-2022 11:10 ]

joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
Momenteel ben ik aan het nadenken om een Mikrotik router te kopen. Enerzijds dacht ik aan een rv3011, anderzijds zou deze misschien niet genoeg kracht hebben en zou ik naar een 4011 of een 5009 moeten.

Ik heb een 200mbit glaslijn via KPN, wellicht wordt deze nog opgehoogd naar 500mbit. Momenteel geen VOIP of tv, tv zou ooit wel terug kunnen komen.

Ook denk ik aan het idee om een VPN verbinding op de router te activeren voor privacy. Voorkeur via wireguard.

Zal het idee van de VPN mijn snelheid teveel omlaag halen?
Welk model kan ik het beste kiezen denken jullie?

joenevd schreef op vrijdag 21 januari 2022 @ 00:33:
Welk model kan ik het beste kiezen denken jullie?

Hmmbob schreef op donderdag 23 december 2021 @ 13:42:
Vraag voor mezelf: ik heb nu nog een Rb2011 met wifi uit 2013 ofzo, zat eraan te denken om die langzaamaan eens te vervangen. Heb geen wifi nodig (want APs), maar welke kan ik dan het beste kiezen?

De 3011, 4011, 5009?

Thralas schreef op donderdag 23 december 2021 @ 14:25:
L2TP gebruik ik niet, maar tav. VPN zou ik vooral ook WireGuard niet vergeten (mits je controle hebt over de peer).

Borromini schreef op vrijdag 21 januari 2022 @ 13:30:
Kan je even toelichten wat je bedoelt met controle over de peer?

Borromini schreef op vrijdag 21 januari 2022 @ 13:30:
@Thralas Kan je even toelichten wat je bedoelt met controle over de peer?

[ Voor 6% gewijzigd door Thralas op 21-01-2022 15:15 ]

Hmmbob schreef op vrijdag 21 januari 2022 @ 15:28:
Ik heb uiteindelijk mijn oude L2TP/IPsec site-to-site vervangen door een Wireguard tunnel - naar volle tevredenheid.

nero355 schreef op zaterdag 8 januari 2022 @ 00:20:
[...]

Die vervolgens in de meterkast verdwijnt en je daar dus grotendeels geen reet aan hebt...

Handig!

Maxwp schreef op maandag 24 januari 2022 @ 09:19:
ik neem aan dat je bedoelt die dure router van bekend merk met wifi?

omdat daar alle cat5 bij elkaar komt

Hmmbob schreef op vrijdag 28 januari 2022 @ 16:07:
v7.2rc2 en v7.2rc3 zijn gereleased:

https://forum.mikrotik.com/viewtopic.php?t=182699

Hmmbob schreef op vrijdag 28 januari 2022 @ 16:07:
v7.2rc2 en v7.2rc3 zijn gereleased:

https://forum.mikrotik.com/viewtopic.php?t=182699

kaaas schreef op dinsdag 1 februari 2022 @ 07:59:
Ja het is voorlopig verstandig bij de stables te blijven al je je router wilt gebruiken.

Freeaqingme schreef op dinsdag 1 februari 2022 @ 08:31:
[...]


Maar ook 7.1.1 is nog niet helemaal stabiel hoor. Los van missende features als het niet kunnen zien welke BGP routes je exporteert; had ik van de week ook het probleem dat 1 router weigerde om de routes uit een address list te exporteren na een reboot. De fix? De address list even disablen en weer enablen. Kostte maar een paar uur uitzoekwerk om er achter te komen welke seting ik nou (niet) gemist had...

Zo staan er nog veel meer voorbeelden op het Mikrotik forum. Mijn suggestie zou zijn om wanneer je een draaiende setup hebt op basis van v6 voorlopig daar op te blijven.Tegelijkertijd, als je per se iets uit v7 nodig hebt dan zal 7.1.1 voor de meeste use cases uiteindelijk wel werken.

Jef61 schreef op donderdag 3 februari 2022 @ 15:27:
Sh*t, vandaag is mijn RB5009 met RouterOS 7.1.1 tijdens een Teams sessie vast gelopen.

lier schreef op donderdag 3 februari 2022 @ 15:46:
[...]

Heb je ook de firmware bijgewerkt? Iets spannends qua configuratie?

Jef61 schreef op donderdag 3 februari 2022 @ 15:27:
Sh*t, vandaag is mijn RB5009 met RouterOS 7.1.1 tijdens een Teams sessie vast gelopen. Kon er met Winbox niet meer bij. Moest snel terug naar de meeting dus stekker getrokken, daarna was alles weer OK. Geen fijn idee

kaaas schreef op vrijdag 4 februari 2022 @ 19:43:
Ik draai mijn rb5009 al een tijd op 7.1.1 zonder craches gehad te hebben. Mijn ccr1009 hing in een bootloop na de opgrade naar 7.1.1

Hmmbob schreef op zondag 9 januari 2022 @ 22:36:
[...]

Multicast-querier aanvinken en het klopt weer

[ Voor 94% gewijzigd door Hmmbob op 06-02-2022 08:31 ]

martinschilder schreef op woensdag 9 februari 2022 @ 08:20:
[...]


Dat gaat ook niet werken... Ik heb er uren aan gespendeerd en nooit werkend gekregen. Ik heb nu de rb750 en geen enkel probleem

Hmmbob schreef op woensdag 9 februari 2022 @ 08:47:
[...]

Dan doe je iets niet goed (sorry to say), want KPN IPTV werkt hier prima op de RB5009 met 7.1.1.

martinschilder schreef op woensdag 9 februari 2022 @ 08:58:
[...]


Dan zou ik graag mijn config willen vergelijken met die van jou als dat kan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

# feb/09/2022 10:37:04 by RouterOS 7.1.1
#
# model = RB5009UG+S+

# KPN IPTV Relevant Config
# Hmmbob @ Tweakers

# Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN)
#
/interface vlan
add interface=ether1-WAN name=vlan1.4-TV vlan-id=4
add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6

# Ensure you have a bridge for the regular LAN, ensure to **enable multicast-querier** and **igmp-snooping**
#
/interface bridge
add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes 

# Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1.
#
/interface bridge port
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1

# Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity
# Nothing special here for IPTV.
#
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet

# Set KPN IPTV specific DHCP options
#
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

# Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV.
# No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already
#
/ip dhcp-client
add interface=vlan1.4-TV dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no

# Ensure NAT takes place on both outgoing interfaces (Internet and IPTV)
#
/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=vlan1.4-TV

# Enable IGMP-Proxy with quick-leave
#
/routing igmp-proxy
set query-interval=30s quick-leave=yes

# Add igmp-proxy to vlan1.4-TV as upstream, and bridge-LAN as listening
#
/routing igmp-proxy interface
add interface=vlan1.4-TV upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 
add interface=bridge-LAN

[ Voor 6% gewijzigd door Hmmbob op 15-02-2022 16:51 ]

Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:
[...]

Zeker. Heb een export gedraaid en alles wat niet relevant was eruit geknipt. Daarnaast ook wat comments toegevoegd:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

# feb/09/2022 10:37:04 by RouterOS 7.1.1 # # model = RB5009UG+S+ # KPN IPTV Relevant Config # Hmmbob @ Tweakers # Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN) # /interface vlan add interface=ether1-WAN name=vlan1.4-TV vlan-id=4 add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6 # Ensure you have 2 bridges: one for the regular LAN and one for VLAN4 on WAN interface # Make sure to **enable multicast-querier on the LAN bridge**, and **igmp-snooping on both** # /interface bridge add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes # Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1. # /interface bridge port add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1 # Add VLAN4 (WAN) to the WAN-VLAN4 bridge # /interface bridge port add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV # Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity # Nothing special here for IPTV. # /interface pppoe-client add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet # Set KPN IPTV specific DHCP options # /ip dhcp-client option add code=60 name=option60-vendorclass value="'IPTV_RG'" # Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV bridge. # No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already # /ip dhcp-client add interface=bridge-WAN-VLAN4 dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no # Ensure NAT takes place on both outgoing interfaces (Internet and IPTV) # /ip firewall nat add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4 # Enable IGMP-Proxy with quick-leave # /routing igmp-proxy set query-interval=30s quick-leave=yes # Add igmp-proxy to bridge-WAN-VLAN4 as upstream, and bridge-LAN as listening # /routing igmp-proxy interface add interface=bridge-WAN-VLAN4 upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 add interface=bridge-LAN

martinschilder schreef op woensdag 9 februari 2022 @ 13:33:
[...]


Hi Dank voor de info... Ik mis alleen wat informatie thans het lampje gaat nog niet echt branden...

Hoe communiceert de stb nou met vlan4 want in jou voorbeeld is er een bridge op vlan4 maar hoe de stb zit in bridge-lan hoe werkt dit dan?

[ Voor 5% gewijzigd door Hmmbob op 09-02-2022 13:38 ]

Hmmbob schreef op woensdag 9 februari 2022 @ 13:37:
[...]

Daar is de igmp-proxy voor.

Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:
[...]

Zeker. Heb een export gedraaid en alles wat niet relevant was eruit geknipt. Daarnaast ook wat comments toegevoegd:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

# feb/09/2022 10:37:04 by RouterOS 7.1.1 # # model = RB5009UG+S+ # KPN IPTV Relevant Config # Hmmbob @ Tweakers # Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface (here: ether1-WAN) # /interface vlan add interface=ether1-WAN name=vlan1.4-TV vlan-id=4 add interface=ether1-WAN name=vlan1.6-Internet vlan-id=6 # Ensure you have 2 bridges: one for the regular LAN and one for VLAN4 on WAN interface # Make sure to **enable multicast-querier on the LAN bridge**, and **igmp-snooping on both** # /interface bridge add name=bridge-LAN comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes # Add your interfaces to the relevant bridges. All my ports are LAN ports, except ether1. # /interface bridge port add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether2 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether3 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether4 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether6 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether7 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether8 add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=sfp-sfpplus1 # Add VLAN4 (WAN) to the WAN-VLAN4 bridge # /interface bridge port add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV # Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity # Nothing special here for IPTV. # /interface pppoe-client add add-default-route=yes allow=pap disabled=no interface=vlan1.6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv6 user=internet # Set KPN IPTV specific DHCP options # /ip dhcp-client option add code=60 name=option60-vendorclass value="'IPTV_RG'" # Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV bridge. # No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already # /ip dhcp-client add interface=bridge-WAN-VLAN4 dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no # Ensure NAT takes place on both outgoing interfaces (Internet and IPTV) # /ip firewall nat add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4 # Enable IGMP-Proxy with quick-leave # /routing igmp-proxy set query-interval=30s quick-leave=yes # Add igmp-proxy to bridge-WAN-VLAN4 as upstream, and bridge-LAN as listening # /routing igmp-proxy interface add interface=bridge-WAN-VLAN4 upstream=yes alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 add interface=bridge-LAN

martinschilder schreef op woensdag 9 februari 2022 @ 08:19:
Mede forum gebruikers

Iemand hier ervaring met OSPF tussen een mikrotik en pfsense router via een gre tunnel?
Ik krijg het niet voorelkaar om de routes van de pfsense kant in mijn route tabel te krijgen daar het wel viceversa werkt...

[ Voor 3% gewijzigd door Zerobase op 10-02-2022 07:41 ]

[ Voor 14% gewijzigd door lier op 10-02-2022 10:05 ]

orvintax schreef op vrijdag 11 februari 2022 @ 20:56:
Vraagje, hoe komt het dat in mijn firewall poort 443 openstaat terwijl ik die rule hier heb disabled? Voor mijn gevoel was dit vroeger altijd nodig maar ik kan deze uitzetten en alles loopt nog verder...

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

# feb/11/2022 20:52:53 by RouterOS 7.1.2 # software id = 8IK2-IVBA # # model = RouterBOARD 3011UiAS # serial number = XXX /ip firewall address-list add address=173.245.48.0/20 list=cloudflare add address=103.21.244.0/22 list=cloudflare add address=103.22.200.0/22 list=cloudflare add address=103.31.4.0/22 list=cloudflare add address=141.101.64.0/18 list=cloudflare add address=108.162.192.0/18 list=cloudflare add address=190.93.240.0/20 list=cloudflare add address=188.114.96.0/20 list=cloudflare add address=197.234.240.0/22 list=cloudflare add address=198.41.128.0/17 list=cloudflare add address=162.158.0.0/15 list=cloudflare add address=104.16.0.0/13 list=cloudflare add address=104.24.0.0/14 list=cloudflare add address=172.64.0.0/13 list=cloudflare add address=131.0.72.0/22 list=cloudflare /ip firewall filter add action=jump chain=forward comment="jump to kid-control rules" jump-target=kid-control add action=accept chain=forward comment="https on proxy" disabled=yes dst-port=443 protocol=tcp src-address-list=cloudflare add action=accept chain=forward comment="minecraft servers" disabled=yes dst-port=25565 in-interface=all-ppp protocol=tcp add action=accept chain=input comment=wireguard dst-port=13231 protocol=udp add action=accept chain=forward comment="allow vlan dns" dst-port=53 in-interface=all-vlan out-interface=bridge protocol=udp add action=accept chain=forward comment=anno disabled=yes dst-address=192.168.0.7 dst-port=18000 in-interface=all-ppp protocol=udp add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes \ hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="block inter-vlan routing" in-interface=all-vlan out-interface=bridge add action=drop chain=forward comment="block inter-vlan routing" in-interface=bridge out-interface=all-vlan add action=drop chain=forward comment="block inter-vlan routing" in-interface=users out-interface=guests add action=drop chain=forward comment="block inter-vlan routing" in-interface=guests out-interface=users add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not ..." connection-nat-state=!dstnat connection-state=new \ in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat dst-port=443 protocol=tcp src-address-list=cloudflare to-addresses=10.0.0.20 to-ports=443 add action=dst-nat chain=dstnat dst-port=25565 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25565 add action=dst-nat chain=dstnat disabled=yes dst-port=25566 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.24 to-ports=25566 add action=dst-nat chain=dstnat dst-port=53 in-interface=all-vlan protocol=udp to-addresses=10.0.0.4 to-ports=53 add action=dst-nat chain=dstnat comment=anno disabled=yes dst-port=18000 in-interface=all-ppp protocol=udp to-addresses=192.168.0.7 \ to-ports=18000 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes

Maxwp schreef op woensdag 9 februari 2022 @ 13:23:
ik draai nu op de rb5009 versie 7.1.1 puur te info
heb zitten google maar 1 ding blijkt me onduidelijk als ik via winbox een adress list aan maak bij de firewall kan ik een single ip adres vermelden maar als ik meerdere single adressen wil ingeven accepteert hij dit niet.
dus 192.168.20.1,192.168.20.5 of 192.168.20.1-192.168.20.5
in het laatst geval krijg ik geen foutmelding maar werkt de block niet als ik dan alleen 192.168.20.1 doe en de rest weg l aat werkt de rule wel
kan ook nergens de juiste manier vinden of het een comma moet zijn of streepje?

Hmmbob schreef op vrijdag 11 februari 2022 @ 23:20:
[...]

Regel 45?

orvintax schreef op zaterdag 12 februari 2022 @ 14:15:
Ja, maar ik dacht dat je iets moest open zetten in het firewall tabje en bij dat nat gedeelte.

lier schreef op zaterdag 12 februari 2022 @ 22:34:
[...]

Alleen als je eindigt met een drop all rule aan het eind, dan moet je expliciet openen.

1

add action=drop chain=forward comment="Drop everything else" log=yes

[ Voor 39% gewijzigd door lier op 12-02-2022 23:34 ]

babbelbox schreef op zaterdag 12 februari 2022 @ 08:42:
[...]

Je moet je gewenste adressen (of ranges) individueel aanmaken met dezelfde naam. Zo creëer je een lijst met adressen die je dan op basis van de naam kunt blocken (of wat je er dan ook mee wilt)

Bierkameel schreef op woensdag 9 februari 2022 @ 15:23:
Mijn RB5009 draait nu 35 dagen zonder problemen, ik moet zeggen dat de stabiliteit van rOS7 nog niet tegenvalt

martinschilder schreef op maandag 14 februari 2022 @ 08:07:
Ik heb nu een aantal dagen de config van @Hmmbob er in zitten op basis van de 7.2rc3 software. Helaas nog best vaak de stb-nmc-400 voorbij zien komen.

lier schreef op maandag 14 februari 2022 @ 07:53:
Dan had je deze uitleg waarschijnlijk niet gezien, @Maxwp
https://wiki.mikrotik.com...:IP/Firewall/Address_list

Maxwp schreef op zondag 13 februari 2022 @ 23:17:
[...]

dank.
ja daar was ik achter gekomen niet na veel google maar via ssh maar eens inloggen en een command line uitvoeren
toen zag ik pas dat dit zo werkte staat niet echt duidelijk omschreven.

wat omslachtig zeg je zou zeggen bij een adres list dat je daar een list maar maar je makat allemaal individuele aan met de zelfde naam
lijkt wel de wereld op zijn kop ;-)
maar goed het werkt nu

nescafe schreef op maandag 14 februari 2022 @ 15:57:
@Maxwp @orvintax het voordeel van het inrichten van losse entry's is dat je a) lijsten met duizenden entry's kunt aanmaken en b) adreslijstentry's afzonderlijk kunt enablen/disablen.

Je kunt de address list-structuur min of meer vergelijken met interface lists en bridge port members, alleen hebben hebben deze een gekoppelde entiteit (interface list list en/of bridge) en address list een 'vrije' address list-naam.

Hier is echt wel over nagedacht. In feite benoemen jullie de hoge leercurve van MikroTik en dit is idd een bekend struikelblok

Hmmbob schreef op woensdag 9 februari 2022 @ 11:14:

/interface bridge
add name=bridge-WAN-VLAN4 arp=proxy-arp igmp-snooping=yes

/interface bridge port
add bridge=bridge-WAN-VLAN4 interface=vlan1.4-TV

/ip firewall nat
add action=masquerade chain=srcnat comment="Internet Masquerade" out-interface=pppoe-client
add action=masquerade chain=srcnat comment="IPTV Masquerade" out-interface=bridge-WAN-VLAN4

martinschilder schreef op maandag 14 februari 2022 @ 08:07:
[...]


Ik heb nu een aantal dagen de config van @Hmmbob er in zitten op basis van de 7.2rc3 software. Helaas nog best vaak de stb-nmc-400 voorbij zien komen.

Nu kan dit door 2 dingen komen..

1. de software is nog wat gevoelig dus voor de zekerheid gedowngrade naar de laatste stable versie
2. quick-leave (yes|no) : specifies action on IGMP Leave message. If quick-leave is on, then an IGMP Leave message is sent upstream as soon as a leave is received from the first client on the downstream interface. Use set to yes only in case there is only one subscriber behind the proxy. (deze stond aan dus even uitgezet)

Hmmbob schreef op maandag 14 februari 2022 @ 08:38:
Hmm, die zien wij werkelijkwaar nooit. Maar, fair to say: ik draai 7.1.1 en we kijken zelden op 2 kastjes tegelijk TV (ok, rephrase: we kijken zelden lineaire TV, laat staan op 2 kastjes tegelijk)

nescafe schreef op maandag 14 februari 2022 @ 16:14:
En waarom überhaupt een bridge voor vlan1.4-TV? Je kunt toch ook zonder bridge de interface vlan1.4-TV gebruiken in je dhcp-client en igmp-proxy?

[ Voor 22% gewijzigd door Hmmbob op 14-02-2022 20:14 ]

Dutchylex schreef op maandag 14 februari 2022 @ 20:03:
Beste tweakers,

Ik heb net de RB5009UG gekocht en ben al een paar dagen aan het inlezen en filmpjes op youtube aan het kijken. Ik begin een en ander een beetje te snappen maar het wil nog niet vlotten. Om te beginnen wil ik mijn Tmobile modem vervangen (die met het Zyxel modem) Ik heb een 1Gb glas verbinding ZONDER tv etc. dus alleen internet.

Nu krijg ik, als ik onderstaande code invoer op de basis configuratie (fabrieksinstellingen dus) via de terminal, op de eth1 poort (waar mijn tmobile WAN kabel ingaat) een verbinding en kan ik pingen naar 8.8.8.8. Ook krijg ik een ip adres op eth2 (en andere poorten) maar ik krijg het niet voor elkaar internet op de PC te krijgen. Er mist ergens een "link" tussen de eth1 WAN verbinding (in VLAN 300) en de LAN verbinding. Wellicht de FW? Iemand een tip?

code:

1 2 3 4 5 6 7 8 9 10

# DHCP client # De interface moet een VLAN300 zijn op de poort waar de glasvezel op binnen komt. In dit voorbeeld VLAN60 op poort 1. # Wijzig dit naar je eigen setup. # # Maak eerst het VLAN aan. /interface vlan add interface=ether1 name=vlan300 vlan-id=300 # De bridge voor de LAN poorten moet IGMP snooping hebben. Als de bridge al bestaat # maak dan alleen de aanpassing IGMP-snooping=yes. /interface bridge add arp=proxy-arp igmp-snooping=yes name=bridge-LAN protocol-mode=none # DHCP client op VLAN300 /ip dhcp-client option add code=60 name=option60-vendorclass value="'IPTV_RG'" /ip dhcp-client add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no \     interface=vlan300 use-peer-dns=no use-peer-ntp=no

Serefsiz schreef op maandag 14 februari 2022 @ 20:27:
[...]


Heb je een bridge aangenaakt en je lan interfaces daar aan gekoppeld? Heb je al een dhcp server geconfigureerd?

nescafe schreef op maandag 14 februari 2022 @ 15:43:
Je kunt je port forwards via Quick Set instellen.

Waarom arp=proxy-arp? En waarom überhaupt een bridge voor vlan1.4-TV?

Hmmbob schreef op maandag 14 februari 2022 @ 20:09:
Nee, dat kant niet.

Dutchylex schreef op maandag 14 februari 2022 @ 20:31:
[...]

Ja, vanuit de default config is een bridge gemaakt en DHCP. Mijn client krijgt ook netjes een 192.168.88.x adres. En deze kan ook pingen naar het gateway adres.

Thralas schreef op maandag 14 februari 2022 @ 20:36:
Volgens mij wordt die arp-proxy door iedereen gekopiëerd uit die config van Netwerkje waar wat schoonheidsfoutjes inzitten.

Goed kijken wat er staat: je interface is nog enslaved, en dáárom mag het niet. Als je eerst de bridge port weghaalt kan het wel.

[ Voor 10% gewijzigd door Hmmbob op 14-02-2022 21:00 ]

Thralas schreef op maandag 14 februari 2022 @ 20:36:


Ik denk dat het nuttig is als je een config export deelt. Er kan vanalles loos zijn.

Toch zonder glazen bol: heb je het vlan (waar je internet over krijgt) wel toegevoegd aan de WAN address list? Dat is waar hij default op firewallt dacht ik.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141

# jan/02/1970 00:01:03 by RouterOS 7.0.5
# software id = 7N42-V029
#
# model = RB5009UG+S+
# serial number = EC190F8CXXXX
/interface bridge
add admin-mac=DC:2C:6E:43:C6:CD auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan300 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add default-route-distance=210 dhcp-options=option60-vendorclass interface=\
    vlan300 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system routerboard settings
set cpu-frequency=auto
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Thralas schreef op maandag 14 februari 2022 @ 20:36:
Heb je het vlan (waar je internet over krijgt) wel toegevoegd aan de WAN address list? Dat is waar hij default op firewallt dacht ik.

Thralas schreef op maandag 14 februari 2022 @ 21:40:
[...]


Dat dus.

kaaas schreef op dinsdag 15 februari 2022 @ 13:15:
@martinschilder
Is dit voor KPN?
Waarom heb je ip TV in een aparte bridge zitten?
Kan gewoon allemaal in 1 bridge.

[ Voor 4% gewijzigd door martinschilder op 15-02-2022 14:35 ]

martinschilder schreef op dinsdag 15 februari 2022 @ 11:46:
Dat zou ook kunnen maar dan heb je weer een extra component in je netwerk.
Als ik het zo de laatste paar dagen lees heeft ieder toch zijn eigen mening over wat beter is.
Het is wellicht een idee om een basis config te maken waar ieder achter staat en wat werkt bij bijvoorbeeld KPN.

Een SSD aan de Raspberry Pi plakken kan ook, maar is ook zo houtje touwtje IMHO

S4All schreef op dinsdag 15 februari 2022 @ 15:09:
@Hmmbob: In jouw aangepaste config staat nog een aantal keer bridge-WAN-VLAN4, moet dit niet ook vlan1.4-TV of ether1-WAN zijn?