[MikroTik-apparatuur] Ervaringen & Discussie

lier schreef op dinsdag 10 mei 2022 @ 12:17:
Onder Rx Stats zie ik de Rx Drop counter langzaam oplopen, onder Traffic wordt deze niet gerapporteerd. Heeft iemand enig idee waarom hierin een verschil zit?

[ Voor 15% gewijzigd door Thasaidon op 12-05-2022 19:10 ]

Zerobase schreef op zaterdag 7 mei 2022 @ 08:47:
...
Waar ik nu tegenaan loop is dat draadloze devices in huis (iPad, iPhone, Android) hun IPv6 verbinding 'spontaan' verliezen als deze een tijdje niet gebruikt zijn.

De enige manier om IPv6 weer aan de praat te krijgen is de WiFi verbinding uitzetten/aanzetten. IPv6 werkt dan weer als een speer. Leg ik deze devices een minuutje aan de kant en herlaad dan bijv ipv6.google.com (of een andere IPv6-only site), dan krijg ik geen contact.

Is er iemand die dit gedrag bekend voorkomt?

Zerobase schreef op vrijdag 13 mei 2022 @ 17:56:
Om mijn eigen vraag maar even te beantwoorden:

Het wegvallen van de IPv6 verbinding komt door IGMP snooping dat aan staat op de bridge.

Ik gebruik op de router een bridge met vlan filtering. Als ik IGMP snooping aanzet op de bridge dan werkt neighbor solicitation/advertisement niet meer (dit gaat via ff02::2 multicast).

De volgende thread op het Mikrotik forum legt uit waar ik tegenaan loop: https://forum.mikrotik.co...gmp+snooping+ipv6#p915497.

Uitzetten van IGMP snooping is geen optie omdat ik IPTV gebruik en ook van andere bronnen multicast binnenkrijg (Via een GRE tunnel).


[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[admin@router] > /interface bridge print
Flags: X - disabled, R - running
 0 R ;;; Local LAN Bridge
     name="br-lan" mtu=auto actual-mtu=1500 l2mtu=1596 arp=enabled
     arp-timeout=auto mac-address=6C:3B:6B:XX:XX:XX protocol-mode=rstp
     fast-forward=yes igmp-snooping=yes multicast-router=temporary-query
     multicast-querier=no startup-query-count=2 last-member-query-count=2
     last-member-interval=1s membership-interval=4m20s querier-interval=4m15s
     query-interval=2m5s query-response-interval=10s
     startup-query-interval=31s250ms igmp-version=2 mld-version=1
     auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s
     forward-delay=15s transmit-hold-count=6 vlan-filtering=yes
     ether-type=0x8100 pvid=1 frame-types=admit-all ingress-filtering=no
     dhcp-snooping=no

kaaas schreef op dinsdag 17 mei 2022 @ 09:29:
[...]

Wauw goed gevonden. Das dan weer een van de geneugten van ROSv7 . Weet jij of mikrotik er al mee bezig is?

Hmmbob schreef op donderdag 19 mei 2022 @ 20:42:
Heb je die rb2011 wel up to date gehouden? Of ben je nu onderdeel van een botnet / cryptofarm?

SpikeHome schreef op donderdag 19 mei 2022 @ 20:50:
[...]
nee, alles werkte totdat ik er de nieuwe ziggo modem ertussen plaatste
Die doet 't dus niet meer en de oude ook niet meer.

Hmmbob schreef op vrijdag 20 mei 2022 @ 07:28:
[...]

Dat "het werkte hiervoor" zegt niets over het up to date houden natuurlijk

Maare, staat je nieuwe Ziggo modem wel weer in bridge modus?

HTML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429

# may/20/2022 14:02:01 by RouterOS 6.49.5 # software id = S62Z-5GTT # # model = 2011UiAS-2HnD # serial number = 4D4B0465FEA6 /interface bridge add name=bridge-guest add fast-forward=no name=bridge-lan /interface ethernet set [ find default-name=ether1 ] mac-address=00:F2:90:65:64:DC name=\ ether01-wan speed=100Mbps set [ find default-name=ether2 ] name=ether02 speed=100Mbps set [ find default-name=ether3 ] name=ether03 speed=100Mbps set [ find default-name=ether4 ] name=ether04 speed=100Mbps set [ find default-name=ether5 ] name=ether05 speed=100Mbps set [ find default-name=ether6 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether06 set [ find default-name=ether7 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether07 set [ find default-name=ether8 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether08 set [ find default-name=ether9 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether09 set [ find default-name=ether10 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full poe-out=off set [ find default-name=sfp1 ] name=sfp /interface vlan add interface=bridge-guest name=vlan30-bridge-guests use-service-tag=yes \ vlan-id=30 add name=vlan30-wlan-guest use-service-tag=yes vlan-id=30 /interface list add exclude=dynamic name=discover add name=mactel add name=mac-winbox add name=WAN add name=LAN add name=GUEST /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\ dynamic-keys supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=\ allowed mode=dynamic-keys name=profile-guest supplicant-identity="" add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed mode=dynamic-keys name=profile-private-wifi \ supplicant-identity="" add authentication-types=wpa-psk eap-methods="" management-protection=allowed \ mode=dynamic-keys name=profile-gaming supplicant-identity="" /interface wireless set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n \ basic-rates-a/g=24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=5.5Mbps,11Mbps \ country=no_country_set disabled=no frequency=2462 mac-address=\ 4C:5E:0C:49:43:54 mode=ap-bridge name=wlan-private-wifi radio-name="" \ security-profile=profile-private-wifi ssid=private-wifi station-roaming=enabled \ supported-rates-a/g=24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b=\ 5.5Mbps,11Mbps tx-power=27 tx-power-mode=all-rates-fixed wps-mode=\ disabled add disabled=no keepalive-frames=disabled mac-address=4E:5E:0C:49:43:54 \ master-interface=wlan-private-wifi multicast-buffering=disabled name=\ wlan-guest security-profile=profile-guest ssid=guest-wifi vlan-id=\ 30 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled /ip dhcp-server option add code=150 name=customtftp value=0xC0A806D2 add code=67 name=bootfile value="'pxelinux.0'" /ip pool add name=pool-lan ranges=192.168.6.20-192.168.6.49 add name=pool-vpn ranges=192.168.89.20-192.168.89.29 add name=pool-guests ranges=192.168.66.10-192.168.66.50 add name=pool-vpn-home ranges=192.168.80.20-192.168.80.29 /ip dhcp-server add address-pool=pool-lan authoritative=after-2sec-delay disabled=no \ interface=bridge-lan lease-time=5m name=dhcp-lan add address-pool=pool-guests disabled=no interface=bridge-guest lease-time=1h \ name=dhcp-guest /ppp profile set *0 local-address=192.168.89.1 remote-address=pool-vpn add change-tcp-mss=yes local-address=192.168.80.1 name="vpn profile home" \ remote-address=pool-vpn-home add local-address=pool-guests name=profile-ppoe remote-address=pool-guests \ use-encryption=yes set *FFFFFFFE local-address=192.168.89.1 remote-address=pool-vpn /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\ sword,web,sniff,sensitive,api,romon,dude,tikapp" /interface bridge filter # no interface add action=drop chain=forward in-interface=*E # no interface add action=drop chain=forward out-interface=*E /interface bridge port add bridge=bridge-lan interface=ether03 add bridge=bridge-lan interface=ether04 add bridge=bridge-lan interface=ether07 add bridge=bridge-lan interface=ether06 add bridge=bridge-lan interface=ether08 add bridge=bridge-lan interface=ether09 add bridge=bridge-lan interface=ether10 add bridge=bridge-lan interface=sfp add bridge=bridge-lan interface=wlan-private-wifi add bridge=bridge-lan interface=ether02 add bridge=bridge-guest interface=vlan30-bridge-guests add bridge=bridge-guest interface=vlan30-wlan-guest add bridge=bridge-guest interface=wlan-guest add bridge=bridge-lan interface=ether05 /ip neighbor discovery-settings set discover-interface-list=none /interface detect-internet set detect-interface-list=all /interface l2tp-server server set authentication=chap,mschap2 default-profile="vpn profile home" \ enabled=yes max-sessions=5 use-ipsec=yes /interface list member add interface=sfp list=discover add interface=ether02 list=discover add interface=ether03 list=discover add interface=ether04 list=discover add interface=ether05 list=discover add interface=ether06 list=discover add interface=ether07 list=discover add interface=ether08 list=discover add interface=ether09 list=discover add interface=ether10 list=discover add interface=wlan-private-wifi list=discover add interface=bridge-lan list=discover add interface=vlan30-bridge-guests list=discover add interface=ether02 list=mac-winbox add interface=ether03 list=mac-winbox add interface=ether04 list=mac-winbox add interface=ether05 list=mac-winbox add interface=ether06 list=mac-winbox add interface=ether07 list=mac-winbox add interface=ether08 list=mac-winbox add interface=ether09 list=mac-winbox add interface=ether10 list=mac-winbox add interface=sfp list=mac-winbox add interface=wlan-private-wifi list=mac-winbox add interface=ether01-wan list=WAN add interface=bridge-lan list=LAN add interface=bridge-guest list=GUEST /interface ovpn-server server set auth=sha1 certificate=Server cipher=aes256 default-profile=\ "vpn profile home" require-client-certificate=yes /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default /interface sstp-server server set default-profile=default-encryption /interface wireless access-list /ip address add address=192.168.6.165/24 interface=bridge-lan network=192.168.6.0 add address=192.168.66.165/24 interface=bridge-guest network=192.168.66.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add disabled=no interface=ether01-wan /ip dhcp-server config set store-leases-disk=8h /ip dhcp-server lease /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.6.0/24 list=masquerade add address=192.168.66.0/24 list=masquerade add address=192.168.80.0/24 list=masquerade add address=192.168.89.0/24 list=masquerade /ip firewall filter add action=drop chain=forward comment="drop invalid state" connection-state=\ invalid add action=drop chain=input comment="drop invalid state" connection-state=\ invalid add action=drop chain=output comment="drop invalid state" connection-state=\ invalid add action=drop chain=forward comment="block network to guests" dst-address=\ 192.168.66.0/24 src-address=192.168.6.0/24 add action=drop chain=forward comment="block guests to network" dst-address=\ 192.168.6.0/24 src-address=192.168.66.0/24 add action=accept chain=input comment="input btest" disabled=yes dst-port=\ 2000 protocol=tcp src-address-list=allow-extern-ips add action=accept chain=input comment="input btest access from adreslist" \ disabled=yes dst-port=2000 protocol=tcp src-address-list=allow-extern-ips add action=accept chain=input comment="input winbox access from adreslist 80" \ disabled=yes dst-port=80 protocol=tcp src-address-list=allow-extern-ips \ src-port=8085 add action=accept chain=input comment="allow ovpn 1194" disabled=yes \ dst-port=1194 protocol=tcp add action=accept chain=input comment="allow pptp" disabled=yes dst-port=1723 \ protocol=tcp add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \ protocol=tcp add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=accept chain=input comment="input winbox access from adreslist" \ dst-port=8291 protocol=tcp src-address-list=allow-extern-ips add action=accept chain=input comment="input pptp access from adreslist" \ disabled=yes dst-port=1723 protocol=tcp src-address-list=allow-extern-ips add action=accept chain=input comment="allow l2tp udp 1701" dst-port=1701 \ protocol=udp add action=accept chain=input comment="allow l2tp udp 4500" dst-port=4500 \ protocol=udp add action=accept chain=input comment="allow l2tp udp 500" dst-port=500 \ protocol=udp add action=fasttrack-connection chain=forward connection-state=\ established,related add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-nat-state=!dstnat connection-state=\ new in-interface-list=WAN add action=drop chain=input in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="masq traffic" out-interface=\ ether01-wan src-address-list=masquerade add action=masquerade chain=srcnat comment="masq. vpn traffic" disabled=yes \ src-address=192.168.89.0/24 add action=masquerade chain=srcnat comment="masq. vpn traffic home" \ disabled=yes src-address=192.168.80.0/24 add action=dst-nat chain=dstnat comment="forward to domoticz 8080 > 8080" \ dst-port=8208 protocol=tcp src-address-list=allow-extern-ips \ to-addresses=192.168.6.208 to-ports=8080 add action=dst-nat chain=dstnat comment="forward to domoticz 22 > 22" \ dst-port=22 protocol=tcp src-address-list=allow-extern-ips to-addresses=\ 192.168.6.208 to-ports=22 add action=dst-nat chain=dstnat comment="forward to pv-voor-logger 8081 > 80" \ dst-port=8201 protocol=tcp src-address-list=allow-extern-ips \ to-addresses=192.168.6.201 to-ports=80 add action=dst-nat chain=dstnat comment=\ "forward to pv-achter-logger 8082 >80" dst-port=8202 protocol=tcp \ src-address-list=allow-extern-ips to-addresses=192.168.6.202 to-ports=80 add action=dst-nat chain=dstnat comment=\ "forward to pv-garage2-logger 8203 >80" dst-port=8203 protocol=tcp \ src-address-list=allow-extern-ips to-addresses=192.168.6.203 to-ports=80 add action=dst-nat chain=dstnat comment=\ "forward to shelly-vloerverwarmin 8121 >80" dst-port=8121 protocol=tcp \ src-address-list=allow-extern-ips to-addresses=192.168.6.121 to-ports=80 add action=dst-nat chain=dstnat comment="forward to nas 5000>5000" dst-port=\ 5000 protocol=tcp src-address-list=allow-extern-ips to-addresses=\ 192.168.6.240 to-ports=5000 add action=dst-nat chain=dstnat comment="forward to nas 80>80" disabled=yes \ dst-port=80 protocol=tcp src-address-list=allow-extern-ips to-addresses=\ 192.168.6.240 to-ports=80 add action=dst-nat chain=dstnat comment="forward to nas 5000>5000 nzbget" \ dst-port=6789 protocol=tcp src-address-list=allow-extern-ips \ to-addresses=192.168.6.240 to-ports=6789 add action=dst-nat chain=dstnat comment="forward rsync nijm82 -> nas" \ disabled=yes dst-port=873 protocol=tcp src-address-list=allow-extern-ips \ to-addresses=192.168.6.240 to-ports=873 add action=dst-nat chain=dstnat comment=\ "forward to winbox 8292 > 8291 ip 166" dst-port=8292 protocol=tcp \ src-address-list=allow-extern-ips to-addresses=192.168.6.166 to-ports=\ 8291 add action=dst-nat chain=dstnat comment=\ "forward to winbox 8293 > 8291 ip 167" dst-port=8293 protocol=tcp \ src-address-list=allow-extern-ips to-addresses=192.168.6.167 to-ports=\ 8291 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ip upnp interfaces add interface=bridge-lan type=internal add interface=ether01-wan type=external add interface=bridge-guest type=internal /lcd set enabled=no touch-screen=disabled /ppp secret add disabled=yes name=vpn add name=user1 profile="vpn profile home" add disabled=yes name=user2 profile="vpn profile home" \ service=l2tp add disabled=yes name=user3 profile="vpn profile home" service=\ l2tp add disabled=yes local-address=192.168.89.1 name=user4 remote-address=\ 192.168.89.100 service=l2tp add disabled=yes name=user5 profile="vpn profile home" service=l2tp add disabled=yes name=user6 profile="vpn profile home" service=ovpn add disabled=yes name=user7 profile="vpn profile home" service=pptp add disabled=yes name=user8 service=l2tp add disabled=yes name=ppoe profile=profile-ppoe service=pppoe /system clock set time-zone-name=Europe/Amsterdam /system identity set name=RB2011-home /system logging set 0 disabled=yes set 1 disabled=yes set 3 disabled=yes /system ntp client set enabled=yes primary-ntp=185.51.192.34 secondary-ntp=91.148.192.49 /system scheduler add comment="Update No-IP DDNS" interval=2h name=no-ip_ddns_update on-event=\ no-ip_ddns_update policy=read,write,test start-date=mar/14/2017 \ start-time=17:45:32 add comment="static adresses naar dns" interval=3d18h name=dhcp2dns on-event=\ dhcp2dns policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=nov/29/2018 start-time=17:00:00 /system script add comment="no-ip domain update" dont-require-permissions=no name=\ no-ip_ddns_update owner=admin policy=read,write,test source="# No-IP autom\ atic Dynamic DNS update\r\ \n\r\ \n#--------------- Change Values in this section to match your setup -----\ -------------\r\ \n\r\ \n# No-IP User account info\r\ \n:local noipuser \"user-mail.nl\"\r\ \n:local noippass \"wachtwoord\"\r\ \n\r\ \n# Set the hostname or label of network to be updated.\r\ \n# Hostnames with spaces are unsupported. Replace the value in the quotat\ ions below with your host names.\r\ \n# To specify multiple hosts, separate them with commas.\r\ \n:local noiphost \"dydns.domein.nl\"\r\ \n\r\ \n# Change to the name of interface that gets the dynamic IP address\r\ \n:local inetinterface \"ether01-wan\"\r\ \n\r\ \n#-----------------------------------------------------------------------\ -------------\r\ \n# No more changes need\r\ \n\r\ \n#:global previousIP;\r\ \n\r\ \n:if ([/interface get \$inetinterface value-name=running]) do={\r\ \n# Get the current IP on the interface\r\ \n :local currentIP [/ip address get [find interface=\"\$inetinterface\"\ \_disabled=no] address];\r\ \n\r\ \n# Strip the net mask off the IP address\r\ \n :for i from=( [:len \$currentIP] - 1) to=0 do={\r\ \n :if ( [:pick \$currentIP \$i] = \"/\") do={\r\ \n :set currentIP [:pick \$currentIP 0 \$i];\r\ \n }\r\ \n }\r\ \n\r\ \n :local previousIP [:resolve \"\$noiphost\"];\r\ \n\r\ \n :log info \"DNS IP: \$previousIP, interface IP: \$currentIP\";\r\ \n\r\ \n :if (\$currentIP != \$previousIP) do={\r\ \n :log info \"No-IP: Current IP \$currentIP is not equal to previous\ \_IP \$previousIP, update needed\";\r\ \n # :set previousIP \$currentIP;\r\ \n :local url \"http://dynupdate.no-ip.com/nic/update\\3Fmyip=\$curre\ ntIP\";\r\ \n :log info \"No-IP: Sending update for \$noiphost\";\r\ \n /tool fetch url=(\$url . \"&hostname=\$noiphost\") user=\$noipuser\ \_password=\$noippass mode=http dst-path=(\"no-ip_ddns_update-\" . \$host \ . \".txt\")\r\ \n :log info \"No-IP: Host \$noiphost updated on No-IP with IP \$curr\ entIP\";\r\ \n \r\ \n } else={\r\ \n :log info \"No-IP: Previous IP \$previousIP is equal to current IP, n\ o update needed\";\r\ \n }\r\ \n} else={\r\ \n :log info \"No-IP: \$inetinterface is not currently running, so there\ fore will not update.\";\r\ \n}" add comment="local static 2 dns" dont-require-permissions=no name=dhcp2dns \ owner=admin policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\ \_Domain to be added to your DHCP-clients hostname\r\ \n:local topdomain;\r\ \n:set topdomain \"local.homeers.nl\";\r\ \n\r\ \n# Use ttl to distinguish dynamic added DNS records\r\ \n:local ttl;\r\ \n:set ttl \"00:59:59\";\r\ \n\r\ \n# Set variables to use\r\ \n:local hostname;\r\ \n:local hostip;\r\ \n:local free;\r\ \n\r\ \n# Remove all dynamic records\r\ \n/ip dns static;\r\ \n:foreach a in=[find] do={\r\ \n :if ([get \$a ttl] = \$ttl) do={\r\ \n :put (\"Removing: \" . [get \$a name] . \" : \" . [get \$a address])\ ;\r\ \n remove \$a;\r\ \n }\r\ \n}\r\ \n\r\ \n/ip dhcp-server lease ;\r\ \n:foreach i in=[find] do={\r\ \n /ip dhcp-server lease ;\r\ \n :if ([:len [get \$i host-name]] > 0) do={\r\ \n :set free \"true\";\r\ \n :set hostname ([get \$i host-name] . \".\" . \$topdomain);\r\ \n :set hostip [get \$i address];\r\ \n /ip dns static ;\r\ \n# Check if entry already exist\r\ \n :foreach di in [find] do={\r\ \n :if ([get \$di name] = \$hostname) do={\r\ \n :set free \"false\";\r\ \n :put (\"Not adding already existing entry: \" . \$hostname);\r\ \n }\r\ \n }\r\ \n :if (\$free = true) do={\r\ \n :put (\"Adding: \" . \$hostname . \" : \" . \$hostip ) ;\r\ \n /ip dns static add name=\$hostname address=\$hostip ttl=\$ttl;\r\ \n }\r\ \n }\r\ \n}" /tool bandwidth-server set authenticate=no enabled=no /tool graphing set store-every=24hours /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=LAN /tool mac-server ping set enabled=no

SpikeHome schreef op vrijdag 20 mei 2022 @ 14:25:
de code dan hier wat aangepast idd.
Ik ben niet een superbekend met dit allemaal en doe alles met de winbox dus

SpikeHome schreef op vrijdag 20 mei 2022 @ 15:55:
@nero355 hoe bedoel je dat precies? (Dan pas ik het aan). aangepast

@lier nee gebruik niet alle vpn nu alleen l2tp maar probeer OpenVPN aan de gang te krijgen.
Die interne dns is iets wat je niet makkelijk onthoud zo een nummer of is er een ezelsbruggetje voor?
Sorteren goed idee.
Tja die van is voor het gastnetwerk en had de oplossing van YouTube en het werkte:) niet meer aankomen dan
Maar heb een spare 2011 liggen voor dit soort dingen kan ik een nieuwe config bouwen.

Dutchylex schreef op vrijdag 27 mei 2022 @ 15:44:
Ik ben van plan deze te kopen: MikroTik CRS326-24G-2S+RM maar twijfel of ik niet de iets goekopere MikroTik CSS326-24G-2S+RM moet nemen aangezien ik routing op de RB5009UG+S+ doe. Aan de andere kant is het prijs verschil heel klein en misschien, to-be-sure, voor de iets duurdere gaan? Of iets heel anders doen? Liefst had ik PoE gehad (voor 2 camera's) maar vind ik een erg dure upgrade en kan met een injector ook wel opgelost worden lijkt mij.

Dutchylex schreef op vrijdag 27 mei 2022 @ 15:44:
Het zal dus een router-on-a-stick config worden (als ik het goed begrepen heb )

aequitas schreef op vrijdag 27 mei 2022 @ 16:18:
In mijn geval hangt er een RB2011 als router 'on a stick'

nero355 schreef op vrijdag 27 mei 2022 @ 18:26:
[...]


[...]

Over het algemeen gebruikt men die term voor een Router die alleen Inter-VLAN Routing doet en verder geen WAN poort heeft of LAN<>WAN verkeer afhandelt en die hebben jullie toch niet

nero355 schreef op vrijdag 27 mei 2022 @ 18:26:
[...]


[...]

Over het algemeen gebruikt men die term voor een Router die alleen Inter-VLAN Routing doet en verder geen WAN poort heeft of LAN<>WAN verkeer afhandelt en die hebben jullie toch niet

orvintax schreef op vrijdag 27 mei 2022 @ 20:33:
Denk persoonlijk dat je daar de definitie iets te scherp stelt. Zover ik weet spreek je over een router on a stick wanneer je maar 1 fysieke of logische verbinding hebt naar de rest van het netwerk. Wikipedia lijkt dat te ondersteunen

nero355 schreef op vrijdag 27 mei 2022 @ 23:14:
[...]

CISCO CCNA Exam disagrees!

Niet alles wat op Wikipedia staat klopt ook helemaal!

[ Voor 39% gewijzigd door Thasaidon op 28-05-2022 16:34 ]

Zoals ik het "vroegáh" geleerd heb is een router on a stick feitelijk een router waar verkeer heen gestuurd word en deze het (meestal) weer via dezelfde interface uit stuurt omdat deze router binnen één netwerk zit en niet routeerd tussen verschillende netwerken.

[ Voor 86% gewijzigd door MisteRMeesteR op 28-05-2022 21:18 ]

[ Voor 3% gewijzigd door g1n0 op 28-05-2022 20:39 ]

g1n0 schreef op zaterdag 28 mei 2022 @ 20:38:
Zijn er mensen die kpn iptv werkend hebben icm met routeros7.2.3? Ik had alles binnen een uurtje actief (ipv4 en ipv6) maar tv geeft enorm veel problemen. Ik twijfel aan routeros, voornamelijk omdat na een restart de problemen ineens weg zijn voor een paar minuten. Maar dat kan natuurlijk ook gewoon een expiration ergens zijn, vandaar mijn vraag

aequitas schreef op zaterdag 28 mei 2022 @ 22:52:
[...]


Ik draai op 7.2 zonder problemen KPN IPTV en IPv6, zijn je problemen ontstaan na upgraden van een lagere 7 versie of een upgrade vanuit 6?

[ Voor 11% gewijzigd door g1n0 op 28-05-2022 23:01 ]

g1n0 schreef op zaterdag 28 mei 2022 @ 20:38:
Zijn er mensen die kpn iptv werkend hebben icm met routeros7.2.3? Ik had alles binnen een uurtje actief (ipv4 en ipv6) maar tv geeft enorm veel problemen. Ik twijfel aan routeros, voornamelijk omdat na een restart de problemen ineens weg zijn voor een paar minuten. Maar dat kan natuurlijk ook gewoon een expiration ergens zijn, vandaar mijn vraag

mbovenka schreef op zaterdag 28 mei 2022 @ 09:51:
WAN vs. LAN heeft het al helemaal niets te maken; dat is een verschil wat uit de home rommel komt en bij 'echte' routers helemaal niet bestaat.

[ Voor 20% gewijzigd door lier op 31-05-2022 11:24 ]

lier schreef op dinsdag 31 mei 2022 @ 11:08:
Zodra ik met VLAN's ga werken, laat ik VLAN ID 1 buiten beschouwing (en wordt deze alleen dynamisch aan de bridge toegekend en op de interfaces met een untagged ID).

Verder zie ik dat je VLAN's koppelt aan de verschillende interfaces, dit zou de bridge moeten zijn. Alleen VLAN300 wordt gekoppeld aan de ether1 interface. Onder bridge/port stel je de standaard VLAN's in en onder bridge/vlan geef je vervolgens aan of een VLAN tagged of untagged is.

Mij heeft dit topic enorm geholpen:
https://forum.mikrotik.com/viewtopic.php?f=23&t=143620

[Update1]: ingress-filtering kan uit op de bridge.
[Update2]: is het de bedoeling dat inter VLAN verkeer geblokkeerd wordt?

[ Voor 17% gewijzigd door Dutchylex op 31-05-2022 12:53 ]

[ Voor 18% gewijzigd door sOid op 02-06-2022 21:37 ]

sOid schreef op donderdag 2 juni 2022 @ 21:36:
Ik heb blijkbaar iets stoms gedaan en kom niet meer in de beheeromgeving van m'n Mikrotik router. Ook SSH werkt niet meer. Internetverbinding, PoE etc draaien wel door. Kan 'm ook pingen, maar zowel bij SSH als bij de webinterface krijg ik timeouts.

Stroom eraf gehaald, zonder resultaat. Ook geprobeerd via andere LAN-IP's om er zeker van te zijn dat m'n huidige IP niet per ongeluk was geblockt of zo. Allemaal zonder succes.

Wat is nu handig? Factory reset en een .rsc herstellen, of kan ik nog andere dingen proberen? Gelukkig wordt er via een scriptje elke week een .rsc naar m'n mail gebackupt iig

Edit: wat ik trouwens had gedaan waarna het niet meer werkte: de firewall rules uitgeschakeld voor port knocking omdat ik ff wat wou testen zonder. Normale sequence was knock 1 op poort 555, knock 2 op poort 222 en daarna de webinterface op standaardpoort 80. Werkte altijd prima.

Coppertop schreef op donderdag 2 juni 2022 @ 21:40:
[...]


Je kunt Winbox nog proberen, heeft bij mij wel eens geholpen in dit soort gevallen...

Freeaqingme schreef op donderdag 2 juni 2022 @ 21:44:
Probeer het eens met een seriele kabel, als je Mikrotik die heeft?

[ Voor 7% gewijzigd door sOid op 02-06-2022 21:47 ]

sOid schreef op donderdag 2 juni 2022 @ 21:42:
[...]

Die service heb ik uitgeschakeld op de Mikrotik, omdat ik voornamelijk Mac gebruik en Winbox daardoor niet (/minder) handig is om te gebruiken.

aequitas schreef op donderdag 2 juni 2022 @ 21:56:
[...]


Heb je mac-telnet ook uitgezet? Je kan vanaf een andere Mikrotik (https://wiki.mikrotik.com/wiki/MAC_access#MAC_Telnet_Client) daar misschien nog bij. Er zijn ook niet-Mikrotik clients op Github, maar die werken niet meer sinds een security update een jaar of wat terug. Er is wat ontwikkeling in dit project wat wel zou moeten werken volgens mij: https://github.com/MarginResearch/mikrotik_authentication

aequitas schreef op vrijdag 3 juni 2022 @ 10:14:
Enige nadeel is denk ik dat alles wat je sinds die backup hebt veranderd er niet meer in zit. Dus daar moet je dan even overheen gaan. Voor de rest niets echt nadelig. Je zult hooguit wat state kwijt zijn, zoals DHCP leases die niet statisch waren of historische metrics van de graphs. Ik weet niet of die in een complete backup wel worden meegenomen. Wat je anders voor een volgende keer zou kunnen overwegen is om partitions te gebruiken. Dan maak je gewoon een backup van je configuratie en kan je makkelijk switchen tussen de partities. En natuurlijk volgende keer safe mode gebruiken als je wijzigingen maakt die risicovol kunnen zijn: https://wiki.mikrotik.com/wiki/Manual:Console#Safe_Mode. Vergeet hem dan niet weer uit te zetten, anders worden je changes alsnog undone .

sOid schreef op vrijdag 3 juni 2022 @ 09:38:
Ik heb alles uitgezet, behalve SSH en http. Allebei met whitelist voor LAN IP's. Ik dacht de andere services nooit nodig te hebben

Thralas schreef op vrijdag 3 juni 2022 @ 10:24:
[...]


Dat zijn allemaal IP services in het service-menu.

De MAC telnet/winbox server staat in een ander menu en je moet erg je best doen om die uit te zetten (standaard enabled op alle interfaces in de LAN interface list).

Ik zou toch eens Winbox starten en connecten op MAC, werkt prima onder wine.

sOid schreef op vrijdag 3 juni 2022 @ 10:57:
[...]

Was even vergeten dat ik gewoon een Windows 10 Virtual Machine heb. Daarmee Winbox geprobeerd, maar kan alsnog niet connecten. Ook niet op basis van MAC address van de Mikrotik. En ja, ik heb in Virtualbox bridge network geselecteerd en ipconfig geeft me een IP-adres op het juiste subnet.

Blijft er alleen nog het herstellen van een backup over, vrees ik

sOid schreef op vrijdag 3 juni 2022 @ 10:57:
[...]

Was even vergeten dat ik gewoon een Windows 10 Virtual Machine heb. Daarmee Winbox geprobeerd, maar kan alsnog niet connecten. Ook niet op basis van MAC address van de Mikrotik. En ja, ik heb in Virtualbox bridge network geselecteerd en ipconfig geeft me een IP-adres op het juiste subnet.

Blijft er alleen nog het herstellen van een backup over, vrees ik

sOid schreef op donderdag 2 juni 2022 @ 21:46:
Oh en USB! Zou ik daar nog wat mee kunnen?

kaaas schreef op vrijdag 3 juni 2022 @ 12:02:
Als je echt geen zin hebt om te restoren kun je het via de usb interface proberen. Via deze https://mikrotik.com/product/woobm.

Wat ook kan is een usb naar seriele kabel aan sluiten op je mikrotik en de rs232 kant aan een apparaat hangen die dat nog heeft. of daar weer een RS232 naar usb aan hangen en zo naar je computer te gaan.

[ Voor 4% gewijzigd door kaaas op 03-06-2022 19:02 ]

kaaas schreef op vrijdag 3 juni 2022 @ 18:54:
De grote merken worden ondersteund dacht ik dus als je een ftdi gebaseerde kabel hebt werkt het wel.

Ik heb het toevallig laatst een keer getest en bij mijn router RB5009 (ros v7) was het zo dat er automatisch een seriële console geopend werd op het moment dat er een usb-serieel kabel werd aangesloten. Of dat altijd standaard is durf ik niet te zeggen.

Je kunt zo'n kabel ook zelf maken met 2 van die usb serieel kabels met een adapter er tussen of een zootje breadbord draadjes.

[ Voor 11% gewijzigd door Verwijderd op 04-06-2022 16:48 ]

nero355 schreef op vrijdag 3 juni 2022 @ 18:18:
[...]

Ik zat dus ook aan zoiets te denken :

[...]

Er bestaan namelijk P2P RS232 achtige USB Kabels maar dan moet de Kernel van de MikroTik die wel goed herkennen via een aanwezige Driver en ik heb geen idee of ze die wel of niet hebben

Zoiets : https://img2.photo137.com/GT1/ZB75700-ALL-31-2.jpg

Maar zo te zien erg lastig te verkrijgen tegenwoordig, want ik heb me echt rot gezocht naar een foto!

1. Reset router door stroom eraf te halen > resetbutton indrukken > stroom erop > ~6sec vasthouden tot SFP-ledje gaat knipperen
2. Router benaderen op 192.168.88.1 (=default IP)
3. Toevoegen aan bovenste lijn van laatste backup.rsc :delay 30s (Anders wordt het script te snel geladen en werkt de procedure niet!)
4. Backup.rsc via ftp uploaden naar de /flash folder
5. In de Mikrotik webinterface naar System > Reset configuration > No default configuration > Run after reset > backup.rsc selecteren

[ Voor 10% gewijzigd door Erhnam op 07-06-2022 10:20 ]

Erhnam schreef op dinsdag 7 juni 2022 @ 10:20:
Zijn er hier mensen die een RB5009 in combinatie met KPN glasvezel en IPTV gebruiken? Zo ja, zou iemand de config willen delen (incl firmware versienummer)?

Coppertop schreef op dinsdag 7 juni 2022 @ 10:43:
[...]


Ik gebruik dit, wat wil je weten/zien? Ik gebruik RouterOS 7.2.3

[ Voor 9% gewijzigd door Erhnam op 07-06-2022 11:04 ]

Erhnam schreef op dinsdag 7 juni 2022 @ 11:02:
[...]


Heb je voor mij een overzicht van de configuratie of alle CLI commando's? Je kan dit ook generen door export file=config.txt in te voeren: YouTube: YouTube

Erhnam schreef op dinsdag 7 juni 2022 @ 10:20:
Zijn er hier mensen die een RB5009 in combinatie met KPN glasvezel en IPTV gebruiken? Zo ja, zou iemand de config willen delen (incl firmware versienummer)?

ShadowBumble schreef op donderdag 9 juni 2022 @ 14:14:
Ik heb jaren geleden mijn Mikrotik omgeving ingeruild voor het Unifi ecosysteem, maar nu er tegenwoordig glas hier ligt en ik daarop ga overstappen gaat in ieder geval de USG Pro vervangen worden.

lier schreef op donderdag 9 juni 2022 @ 14:45:
Op dit moment zou ik voor accespoints niet kiezen voor MikroTik. CAPsMAN is echt heel mooi (als je daar je weg in weet te vinden, jouw probleem situatie kan al tijden prima geconfigureerd worden). Maar de hardware (en software die overigens met de wave2 package een stuk beter performt, maar nog niet door CAPsMAN ondersteunt wordt) is de beperkende factor. Ik zou bijvoorbeeld minimaal 802.11ax als eis hebben...

nero355 schreef op donderdag 9 juni 2022 @ 15:14:
[...]

Zolang je niet meer dan 1 Gbps wilt NAT'ten of IDS/IPS toestanden wilt draaien op volle 1 Gbps snelheid is er eigenlijk geen reden voor een upgrade hoe mooi zo'n RB5009 ook is!

lier schreef op donderdag 9 juni 2022 @ 14:45:
Op dit moment zou ik voor accespoints niet kiezen voor MikroTik. CAPsMAN is echt heel mooi (als je daar je weg in weet te vinden, jouw probleem situatie kan al tijden prima geconfigureerd worden). Maar de hardware (en software die overigens met de wave2 package een stuk beter performt, maar nog niet door CAPsMAN ondersteunt wordt) is de beperkende factor. Ik zou bijvoorbeeld minimaal 802.11ax als eis hebben...

[ Voor 26% gewijzigd door ShadowBumble op 09-06-2022 16:04 ]

Bierkameel schreef op donderdag 9 juni 2022 @ 15:48:
Wifi is nooit hun sterktste punt geweest, ik had een paar jaar geleden ook een paar MikroTik AP's besteld omdat ik al een RB3011 had draaien, het was een behoorlijke achteruitgang van de Unifi's die ik toen had.

ShadowBumble schreef op donderdag 9 juni 2022 @ 16:03:
IDS zal ik nooit willen draaien op 1 Gbit, in mijn huidige setup is er een losse sensor via een port mirror voor de WAN interface ) maar dat is meer voor de spielerij want er zijn geen servers meer hier die van buiten af benaderd dienen te worden.

1 Gbps is ook op de USG al een uitdaging naar wat ik begreep

Los daarvan de hoofd reden om richting een RB5009 te stappen is op wireguard vpn te kunnen gebruiken. Ik reis nogal veel en dan vind ik het persoonlijk heel fijn om encrypted naar huis te gaan om te streamen of iets dergelijks.

En dan begin je wel langzaam tegen beperkingen aan te lopen met de USG Pro ondanks dat het een fijn apparaat is.

Unifi werkt opzich prima hier net als de switch laag dus het was nog niet zeker om dat te doen, maar waarschijnlijk wordt het enkel een router swap als ik het zo lees.

nero355 schreef op donderdag 9 juni 2022 @ 16:09:
[...]

Dankzij de Offloading mag dat geen probleem heten!

nero355 schreef op donderdag 9 juni 2022 @ 16:09:
[...]

Pak een willekeurige oplossing die Linux kan draaien en daarop PiVPN en gaan met die banaan!

ShadowBumble schreef op donderdag 9 juni 2022 @ 16:13:
Dan moet ik eerst weer een Linux bak hier ergens gaan draaien ik probeer te consolideren juist

ShadowBumble schreef op donderdag 9 juni 2022 @ 14:14:
enige nadeeltje was dat een SSID niet zowel van de 2.4 als de 5ghz band gebruik kon maken

ShadowBumble schreef op donderdag 9 juni 2022 @ 14:14:
[...]Ik heb jaren geleden mijn Mikrotik omgeving ingeruild voor het Unifi ecosysteem, maar nu er tegenwoordig glas hier ligt en ik daarop ga overstappen gaat in ieder geval de USG Pro vervangen worden.

Erhnam schreef op vrijdag 10 juni 2022 @ 08:53:
De Unifi USG 3p gooi ik eruit zodra hier glasvezel 1gbit is aangesloten.

lier schreef op zaterdag 11 juni 2022 @ 13:52:
Specifiek voor een RB3011 icm een SFP module. Dus qua QA valt het wel mee, @orvinax. Er is een manier om het probleem te verhelpen en de (hot)fix was er binnen 2 dagen (uit mijn hoofd).

Vooral vervelend voor de auto-upgraders...

1
2

dst-address 0.0.0.0/0 gw 192.168.8.1 (default gw LTE dongle)
dst-address 185.x.x.0/24  gw  wg0

1
2
3
4
5

chain=srcnat action=masquerade  src-address=192.168.89.0/24 out-interface=lte1 log=no log-prefix="" 
      ipsec-policy=out,none

 chain=srcnat action=masquerade src-address=192.168.89.0/24 
      out-interface=wg0 log=no log-prefix="" ipsec-policy=out,none

1
2
3

/routing table add name=wireguard-wan fib
/ip route add dst-address 0.0.0.0/0 gateway=wg0 routing-table=wireguard-wan
/routing rule add action=lookup src-address=192.168.89.0/24 table=wireguard-wan

[ Voor 16% gewijzigd door zx9r_mario op 13-06-2022 12:42 ]

quote: normis

https://help.mikrotik.com/docs/display/ROS/WifiWave2

Yes, this is not yet AX, since that requires new devices, but they are coming soon. Then this package will come in handy.

[ Voor 9% gewijzigd door lier op 18-06-2022 09:20 ]

lier schreef op zaterdag 18 juni 2022 @ 09:19:
Eindelijk vanuit MikroTik een informele aankondiging dat zij ook op de 802.11ax tour gaan:


[...]


Doe mij maar 3x wAP ax (deze verzin ikzelf!)

lier schreef op zaterdag 18 juni 2022 @ 09:19:
Eindelijk vanuit MikroTik een informele aankondiging dat zij ook op de 802.11ax tour gaan:


[...]


Doe mij maar 3x wAP ax (deze verzin ikzelf!)

lier schreef op dinsdag 5 juli 2022 @ 12:21:
Inmiddels is versie v7.4rc1 uit:
https://forum.mikrotik.com/viewtopic.php?t=187351

lier schreef op dinsdag 5 juli 2022 @ 13:14:
Geen idee, @Freeaqingme, denk dat ze vooralsnog wel bij de 6.4x blijven voor de LTS tak.
Nog een specifieke reden voor je vraag?

[ Voor 9% gewijzigd door Miki op 06-07-2022 15:24 ]

Miki schreef op woensdag 6 juli 2022 @ 14:49:
[YouTube: MikroTik products news: RB5009UPr+S+IN]
Potverdikkie wat is dit een mooi sub-model van de 5009, POE in/out op alle poorten

Misschien moet ik toch maar eens overstappen.

[ Voor 12% gewijzigd door ShadowBumble op 06-07-2022 16:05 ]

lolgast schreef op woensdag 6 juli 2022 @ 16:41:
Voor iedereen die geen zin heeft om Youtube te kijken, maar wel de specs wil weten:
https://box.mikrotik.com/...35/RB5009UPr%2BS%2BIN.pdf

Ik kon in ieder geval niets direct op de website van Mikrotik vinden

1

Bad access token