[MikroTik-apparatuur] Ervaringen & Discussie

vrijdag 27 januari 2023 12:53

Acties:

+1Henk 'm!

MikroTik nerd

MikroTik
Wifi

sjaak88 schreef op vrijdag 27 januari 2023 @ 12:28:
Ik heb hier zelf ook de HEX zonder POE maar met fasttrack kan je de volle gig halen. Maar dat is echt zonder enige vorm van QoS en andere zaken die processorkracht innemen.

Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.

Eerst het probleem, dan de oplossing

vrijdag 27 januari 2023 12:58

Acties:

0Henk 'm!

sjaak88

lier schreef op vrijdag 27 januari 2023 @ 12:53:
[...]

Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.

Ik heb de default firewall aanstaan, ShieldsUP! geeft aan dat het helemaal stealth dicht zit. Fasttrack is een soort hardware versnelling volgens mij. Pakketjes die kunnen dan door je firewall heen zonder gecheckt te worden oid.

Ben pas een paar weken nieuw met mikrotik en netwerken maar het is ontiegelijk leuk om van te leren.

vrijdag 27 januari 2023 14:20

Acties:

+1Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

Hoe heb je de test uitgevoerd, @sjaak88? Kan me namelijk niet voorstellen dat het WAN-LAN performance is geweest.

Eerst het probleem, dan de oplossing

vrijdag 27 januari 2023 14:22

Acties:

0Henk 'm!

sjaak88

lier schreef op vrijdag 27 januari 2023 @ 14:20:
Hoe heb je de test uitgevoerd, @sjaak88? Kan me namelijk niet voorstellen dat het WAN-LAN performance is geweest.

Via speedtest.net en de bufferbloat test op wavevorm site.

vrijdag 27 januari 2023 15:12

Acties:

+1Henk 'm!

Thralas

MikroTik
Wifi

sjaak88 schreef op vrijdag 27 januari 2023 @ 12:28:
Ik heb hier zelf ook de HEX zonder POE

Appels en peren, die heeft een hele andere SoC.

Neemt niet weg dat ook de hEX POE met fasttrack een heel eind zou moeten komen. Zonder zou ik ook in de ordegrootte van 250 Mbit/s verwachten.

vrijdag 27 januari 2023 15:48

Acties:

0Henk 'm!

mbovenka

Thralas schreef op vrijdag 27 januari 2023 @ 15:12:
[...]
Appels en peren, die heeft een hele andere SoC.

Klopt, maar als je naar de testresultaten op de MikroTik site kijkt, lijkt dat voor de performance niet zoveel uit te maken.

vrijdag 27 januari 2023 16:14

Acties:

+1Henk 'm!

llagendijk

skwit8 schreef op donderdag 26 januari 2023 @ 22:30:
Hi,

Ik ben redelijk nieuw en hoop dat ik mijzelf kan ontwikkelen in het hele netwerken en internet gebeuren via de Mikrotik HW.

Ga mij binnenkort wagen aan de grote upgrade naar Mikrotik. Kom van simpele Mesh omgeving af en heb tmobile thuis met de"grijze"media converter (1000/1000).

Ik heb op dit moment de volgende onderdelen:

CRS-305-1G-4S (met 2 RJ45 SFP+ modules )
CRS326-24G-2S+IN
ASUS zenwifi XT12 dua (Tri-band).
NAS (ben ik nog aan het samenstellen (10gb)

Voor de time being denk ik erover om de ASUS de router functie te geven en alle switching aan de Mikrotiks over te laten ( na wat sparen wil ik een goede router van Mikrotik kopen). Wifi coverage van de ASUS is fenomenaal en dit wil ik later als AP aan de complete Mikrotik aansluiten.

Graag zou ik jullie aanbevelingen en do's en dont's vragen voor de volgende setup..

- Tmobile thuis direkt op CRS305 (SFP+)(switchOS gebruiken?/kan dit?)
- Port mirroring naar de ethernet poort ( kan ook een SFP+->RJ45 gebruiken maar 1gb is voor nu voldoende)(+ mediaconverter eruit)
- Ethernetpoort verbinden met XT12 Router en AiMesch opzetten voor WIFI en DHCP,etc..
- CRS326 via SFP+ verbinden met CRS305. (Is dit veilig zo??)
- NAS aansluiten op CRS305 (veilig?)

Kan zijn dat ik helemaal op het verkeerde pad zit (??) en zou graag advies willen vragen.

gr,Sellie

Port mirroring is niet de oplossing zoals al aangegeven. Het is niet duidelijk wat je als router wilt gebruiken. Maar je kunt wel VLAN300 van de WAN poort naar je router sturen (tagged of untagged). Je CRS305 is niet als router te gebruiken (met een CRS309 zou dat wel kunnen).
Zonder wat meer informatie over wat je wilt is het niet simpel om meer hints te geven.

vrijdag 27 januari 2023 17:02

Acties:

+1Henk 'm!

ShadowBumble

Professioneel Prutser

lier schreef op vrijdag 27 januari 2023 @ 12:53:
[...]

Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.

Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).

"Allow me to shatter your delusions of grandeur."

vrijdag 27 januari 2023 17:37

Acties:

0Henk 'm!

skwit8

llagendijk schreef op vrijdag 27 januari 2023 @ 16:14:
[...]

Port mirroring is niet de oplossing zoals al aangegeven. Het is niet duidelijk wat je als router wilt gebruiken. Maar je kunt wel VLAN300 van de WAN poort naar je router sturen (tagged of untagged). Je CRS305 is niet als router te gebruiken (met een CRS309 zou dat wel kunnen).
Zonder wat meer informatie over wat je wilt is het niet simpel om meer hints te geven.

Hmm, huiswerk voor mij om duidelijker te zijn..:).

Bedoeling was die mediaconverter eruit, (tijdelijk) Mikrotik switching met de ASUS als router en Wifi.
Met de 10g en switch hoopte ik thuis supersnel de NAS in te kunnen zetten (NAS heb ik nog niet besteld).

Bij nader inzien, zie ik nu in dat dit niet efficient is. Vandaag de knoop doorgehakt en de NAS op hold.

Heb de CCR2004-16g-2S+PC router besteld. De CSR 24port is overkill erlangs, maar ja ik heb m toch.
De 10g aspiraties komen wel later als de NAS er is (CSR305).

Van daaruit langzaam opbouwen en de NAS komt later wel.

Ik heb hopelijk alles volgende week binnen en ga ik eerst is alles via UTP aan te sluiten (geen SFP nog

) en de router up te krijgen.

Alvast bedankt voor de push en de reacties.Dit wordt nog een flinke uitdaging , maar ik ga zoveel mogelijk voorbereiden

.

gr,Sellie

vrijdag 27 januari 2023 17:44

Acties:

+3Henk 'm!

lolgast

ShadowBumble schreef op vrijdag 27 januari 2023 @ 17:02:
[...]

Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).

De default firewall config die je krijgt bij een reset (met default config aangevinkt uiteraard) is in mijn ogen dikke prima als uitgangspunt. Dan is alles van buitenaf dicht

vrijdag 27 januari 2023 22:35

Acties:

0Henk 'm!

ShadowBumble

Professioneel Prutser

lolgast schreef op vrijdag 27 januari 2023 @ 17:44:
[...]

De default firewall config die je krijgt bij een reset (met default config aangevinkt uiteraard) is in mijn ogen dikke prima als uitgangspunt. Dan is alles van buitenaf dicht

Top, dat is dan deze (alleen dan Incl Bogon & Remote Access List ), en onderstaand toegevoegd voor het archief als iemand anders het nog zoekt

https://gist.github.com/g...1f3cebd068b0e8cfc83704b2e

en anders te zien via

code:

1 2	/system default-configuration print

(moet je wel wat normalisatie doen van de code i.v.m. dat dat in script vorm is maar dat is dus hetzelfde als bovenstaan uitgaande van 1 LAN en 1WAN interface.

[Voor 5% gewijzigd door ShadowBumble op 27-01-2023 22:35]

"Allow me to shatter your delusions of grandeur."

vrijdag 27 januari 2023 22:45

Acties:

+1Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

ShadowBumble schreef op vrijdag 27 januari 2023 @ 17:02:
Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).

code:

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

[Voor 40% gewijzigd door lier op 27-01-2023 22:52]

Eerst het probleem, dan de oplossing

maandag 30 januari 2023 13:25

Acties:

0Henk 'm!

ShadowBumble

Professioneel Prutser

Nou, vandaag maar eens geprobeerd om alles netjes in banen te krijgen en dus de RB5009 gedeployed in plaats van mijn USG4-PRO.

Alles wat bekabeld was kwam redelijk okayish terug op het koste wat reboots etc maar so far so good, geen problemen met internet voor in ieder geval alles wat bekabeld was.

1 min puntje al mijn Unifi devices zijn unmanagable geworden, kan nergens meer bij en de controller die op de NAS draait ziet geen enkel device meer. Dus sneeuwbal effect is weer lekker bezig want omdat alles unmangable is geworden zijn alle twee mijn wifi netwerken down (en dus al mijn draadloze devices).

Dat wordt weer een flink middagje aan de bak, maar vooralsnog lijkt het erop alsof alles gereset gaat worden want ik krijg met geen mogelijkheid de controle terug.

Waarschijnlijk zit het probleem in de switch van untagged naar tagged maar ja zie dan maar eens je controle terug te krijgen ( immers je switches worden aangestuurd door de controller die de devices niet meer ziet

)

"Allow me to shatter your delusions of grandeur."

maandag 30 januari 2023 13:41

Acties:

0Henk 'm!

lolgast

@ShadowBumble En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.

Om dat te voorkomen heb ik destijds een extra Unifi switch gebruikt waarop ik kon testen of alles goed werkte via de Mikrotik en zodra ik overtuigd van de config was heb ik de USG pas vervangen.

maandag 30 januari 2023 14:03

Acties:

0Henk 'm!

ShadowBumble

Professioneel Prutser

lolgast schreef op maandag 30 januari 2023 @ 13:41:
@ShadowBumble En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.

Om dat te voorkomen heb ik destijds een extra Unifi switch gebruikt waarop ik kon testen of alles goed werkte via de Mikrotik en zodra ik overtuigd van de config was heb ik de USG pas vervangen.

Dat is inderdaad wel een flink domper daarvan, ik heb nu het volgende gedaan. Ik heb op mijn Mikrotik een secondary ip adress range gezet (untagged) en op de controller wat static routes opgenomen.

Ik kan nu in iedergeval met ssh bij mijn switch omgeving waardoor ik de set-inform naar de controller kan laten wijzen maar helemaal soepel gaat het (re)adopten nog niet.

/EDIT

Inmiddels 2 Switches en een AP recovered, de Flex mini's zijn een dingetje

die hebben geen SSH interface namelijk en zoeken voor adopt altijd naar http://unifi:8080/inform. De Andere AP had ik tijdens troubleshooten eerder vandaag gereset. Die zal dus in zijn default subnet zitten wat ik even nog moet toevoegen

[Voor 16% gewijzigd door ShadowBumble op 30-01-2023 14:20]

"Allow me to shatter your delusions of grandeur."

maandag 30 januari 2023 15:21

Acties:

0Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

ShadowBumble schreef op maandag 30 januari 2023 @ 13:25:
1 min puntje al mijn Unifi devices zijn unmanagable geworden, kan nergens meer bij en de controller die op de NAS draait ziet geen enkel device meer. Dus sneeuwbal effect is weer lekker bezig want omdat alles unmangable is geworden zijn alle twee mijn wifi netwerken down (en dus al mijn draadloze devices).

Dat wordt weer een flink middagje aan de bak, maar vooralsnog lijkt het erop alsof alles gereset gaat worden want ik krijg met geen mogelijkheid de controle terug.

lolgast schreef op maandag 30 januari 2023 @ 13:41:
En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.

Sorry, maar dan heb je echt iets gruwelijk verkeerd gedaan!

- De WiFi netwerken horen gewoon te blijven draaien als je de UniFi Controller uitzet!
- Zolang je VLAN 1 als Management VLAN aanhoudt dan kan er weinig verkeerd gaan!
- Zelf als je de hele UniFi Controller sloopt, maar nog steeds de login details weet dan ben je weer binnen 15 minuten UP & Running door alles via de webGUI te "jatten" van je vorige installatie en hoef je alleen maar de Settings die je graag wilt hebben opnieuw toe te passen ZONDER de boel te resetten!

Hetzelfde geldt trouwens voor de TP-Link Omada reeks, waarbij alleen het laatste puntje misschien wat anders kan zijn!

ShadowBumble schreef op maandag 30 januari 2023 @ 14:03:
Inmiddels 2 Switches en een AP recovered, de Flex mini's zijn een dingetje die hebben geen SSH interface namelijk en zoeken voor adopt altijd naar http://unifi:8080/inform.

Dat ding is echt gewoon troep en had nooit mogen bestaan!

IMHO word je veel blijer van een net zo dure/goedkope TP-Link 105E of 105PE of één van de Netgear GS105 modellen voor zover die nog te koop zijn in de E of PE uitvoering

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

maandag 30 januari 2023 15:49

Acties:

0Henk 'm!

ShadowBumble

Professioneel Prutser

nero355 schreef op maandag 30 januari 2023 @ 15:21:

Sorry, maar dan heb je echt iets gruwelijk verkeerd gedaan!

Klopt, kijk nog eens naar mijn config hierboven en je spot vast mijn fout

Ik ben gegaan van een untagged naar een volledig tagged omgeving, dus na de switch storten alles langzaam in. Dat duurde even voor ik alles door had

Daarna gewoon een een untagged range op de interface gezet, daarmee kon ik mijn switch/ap omgeving herstellen (via ssh) naar de al bestaande controller door set-inform te doen.

De flex mini was de meest uitdagende, dat heb ik uiteindelijk opgelost door simpel weg een DHCP server te draaien op de untagged interface en optie 43 te configuren in de DHCP server, zodat de flex mini een ip kreeg en gelijk een routed controller adres. Daarna was het kwestie van adopt drukken en dan herstelt aan de hand van het mac de controller de config het device

nero355 schreef op maandag 30 januari 2023 @ 15:21:
Dat ding is echt gewoon troep en had nooit mogen bestaan!

IMHO word je veel blijer van een net zo dure/goedkope TP-Link 105E of 105PE of één van de Netgear GS105 modellen voor zover die nog te koop zijn in de E of PE uitvoering

Ik neem aan dat je het over de flex mini hebt ach het doet waarvoor het is aangeschaft en voor die 3 tientjes een PoE powered switch met vlan support vind ik een prima aankoop

"Allow me to shatter your delusions of grandeur."

dinsdag 31 januari 2023 00:07

Acties:

0Henk 'm!

wolkewietje

Goede dag allen.
Ik ben een paar maanden terug moeten verhuizen omdat 3 hoog met boodschappen niet meer te doen was voor me.
Het overzetten naar mijn nieuwe adres van mijn Hap AC3 lukt goed en ik heb internet.
Maar omdat ik eerst altijd via een schotel keek en op dit adres meer moet gaan betalen voor canal digitaal, heb ik de TV box van T-mobiel thuis gevraagd en wil via hun (ook mijn internet provider) de TV programma's bekijken.
Gebruik ik dat zyxel modem van t-mobiel dan heb ik mijn netwerk wel werkend maar een beveiliging van lik mijn vestje maar kan wel tv kijken.

voeg ik de regels:

code:

/interface vlan
add interface=ether1 name=vlan-tv vlan-id=640

/ip dhcp-client
add disabled=no interface=vlan-tv

Dan zie ik wel een nieuw IP adres verschijnen voor het tv signaal maar met de info van netwerkje.com lukt het me niet om die media box goed naar buiten te laten kijken en trek ik soms zelfs mijn werkend netwerk er onder uit zodat ik die weer opnieuw moet laden.

Op dit moment gaat mijn woonkamer/slaapkamer internet via poort 3 door een hub/switch omdat de CAT6 kabel van uit de meterkast onder de grond door een muur moet om in mijn woning te komen
Ook poort 2 gaat via een andere pijp mijn woning in om bij mijn gewone netwerk gedeelte uit te komen
Op poort 3 zijn aangesloten: mediabox, internet radio, laptop x2 en extra NAS voor films af te spelen op mijn TV.

Poort 4 wordt mijn home assistent via een raspberry pi
Poort 5 wordt een IP beveiligings camera.
Ik hoop dat iemand mij kan helpen met de ontbrekende regels zodat ik mijn eigen netwerk weer optimaal kan gaan gebruiken en beveiligen.

dinsdag 31 januari 2023 00:54

Acties:

+1Henk 'm!

g1n0

@wolkewietje wat bedoel je met “lukt het me niet om die media box goed naar buiten te laten kijken”? Je hebt dus internet en tv goed werkend, maar mist de firewall regels?

Is altijd een tijdrovend klusje om je firewall goed in te stellen. Ik begin zelf altijd met het blocken van al het verkeer (met logging aan) en kijken wat er doorheen moet gaan. Daar maak je regels voor aan en heb je uiteindelijk een sterke firewall.

PS: gebruik de Safe-mode, dan kun je jezelf niet uitsluiten. Zelf gebruik ik het nooit, maar hoor er goede verhalen over.

dinsdag 31 januari 2023 01:32

Acties:

0Henk 'm!

wolkewietje

Internet met mikrotik werkt maar ik krijg geen IPTV signaal op de media box binnen.
De Vlan 640 verbinding gaat van af de Mikrotik niet mijn netwerk in.
Ik heb zelfs voor dat stuk geen enkele firewal regels gemaakt omdat die box nog niet gezien word in mijn netwerk.

[Voor 27% gewijzigd door wolkewietje op 31-01-2023 01:33]

dinsdag 31 januari 2023 09:02

Acties:

+1Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

Als ik kijk naar deze uitleg, dan mis je heel veel instellingen (het hele routeren staat niet in je [code] blok):
https://www.t-mobile.nl/C...modem-tv-instellingen.pdf

Daarnaast, volgens mij is netwerkje.com alleen bedoeld voor KPN, maar dat kan ik verkeerd hebben.

Eerst het probleem, dan de oplossing

dinsdag 31 januari 2023 15:08

Acties:

+1Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

wolkewietje schreef op dinsdag 31 januari 2023 @ 00:07:
Maar omdat ik eerst altijd via een schotel keek en op dit adres meer moet gaan betalen voor canal digitaal, heb ik de TV box van T-mobiel thuis gevraagd en wil via hun (ook mijn internet provider) de TV programma's bekijken.

Je bent dus een nieuwe klant

Dan kan je gewoon via je WAN IPTV kijken als het goed is!

Tagged VLAN 300 op DHCP zetten en gaan met die banaan!

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

dinsdag 31 januari 2023 19:36

Acties:

0Henk 'm!

wolkewietje

Dat werkt dus niet.
Ik ga mijn computer die ik boven heb staan miet gebruiken als tv decoder met een belabberde resolutie en mijn 10 jaar oude laptop houd dat ook niet vol.

Ja ik weet dat er een TV app is maar die eist versie 4 van mijn tv os terwijl die op 3 blijft staan omdat hij schijnbaar net te oud is toen ik hem 2 jaar terug kocht.

VLAN 300 = internet en dat werkt
VLAN 640 = TV en dit heeft op de buiten connectie een ip nummer maar gaat niet verder mijn netwerk in

dinsdag 31 januari 2023 19:49

Acties:

+1Henk 'm!

sjaak88

wolkewietje schreef op dinsdag 31 januari 2023 @ 19:36:
Dat werkt dus niet.
Ik ga mijn computer die ik boven heb staan miet gebruiken als tv decoder met een belabberde resolutie en mijn 10 jaar oude laptop houd dat ook niet vol.

Ja ik weet dat er een TV app is maar die eist versie 4 van mijn tv os terwijl die op 3 blijft staan omdat hij schijnbaar net te oud is toen ik hem 2 jaar terug kocht.

VLAN 300 = internet en dat werkt
VLAN 640 = TV en dit heeft op de buiten connectie een ip nummer maar gaat niet verder mijn netwerk in

Je hebt geen VLAN 640 meer nodig bedoelt nero355, bij nieuwe klanten werkt alles op VLAN 300, ook iTV.

dinsdag 31 januari 2023 19:54

Acties:

0Henk 'm!

wolkewietje

Dan ben ik dus duidelijk een oude klant.
Ik heb al 2 jaar of iets langer T-mobiel als provider.
Alleen die TV stuk werkt bij mij via hun oude settop box en die zit via de zelfde switch als waar mee ik radio via internet luister als anime filmpjes via mijn laptop kijk.
En dat het stukje met de switch werkt weet ik omdat het zyxel modem geplaatst wel TV oplevert maar mijn mikrotik modem niet.

dinsdag 31 januari 2023 20:04

Acties:

+1Henk 'm!

sjaak88

wolkewietje schreef op dinsdag 31 januari 2023 @ 19:54:
Dan ben ik dus duidelijk een oude klant.
Ik heb al 2 jaar of iets langer T-mobiel als provider.
Alleen die TV stuk werkt bij mij via hun oude settop box en die zit via de zelfde switch als waar mee ik radio via internet luister als anime filmpjes via mijn laptop kijk.
En dat het stukje met de switch werkt weet ik omdat het zyxel modem geplaatst wel TV oplevert maar mijn mikrotik modem niet.

Dan moet je inderdaad wel VLAN640 gebruiken, maar als ik het zo even snel lees werkt het toch anders dan bij KPN.
Zit je op DSL of glas? Kennelijk moet je bij DSL ip adressen routen.

Van T-mobile forum geplukt;

In de router staat een default route die aangeeft dat al het verkeer naar het internet VLAN moet gaan. Daar moeten de volgende routes worden toegevoegd zodat verkeer dat naar een IP-adres uit de adresreeksen gaat, over het TV_VLAN gestuurd wordt. Dit geldt alleen voor DSL. Maak je gebruik van Glasvezel? Dan hoeven er geen specifieke TV-VLAN settings ingesteld te worden. Had je dit voorheen met Interactieve TV wel? Dan kan je deze settings dus verwijderen.

In de router moeten de volgende routes worden ingesteld als route naar het TV-VLAN (640):

10.12.255.0 255.255.255.0 /24

10.10.254.0 255.255.255.0 /24

10.10.26.0 255.255.255.0 /24

10.10.108.0 255.255.255.0 /24

10.18.0.0 255.255.240.0 /20

10.12.254.0 255.255.255.0 /24

10.10.24.0 255.255.255.192 /26

10.200.0.0 255.255.252.0 /22

Zie ook; https://community.t-mobil...-modem-324520/index1.html

dinsdag 31 januari 2023 20:09

Acties:

0Henk 'm!

wolkewietje

Ik heb alleen een glas verbinding naar buiten.
De originele verbinding liep eerst via KPN op dit adres maar de monteur van T-mobiel heeft dat netjes in orde gemaakt.

[edit]
Ik ga morgen even kijken hoe het zit met al deze extra ip nummers.

[Voor 19% gewijzigd door wolkewietje op 31-01-2023 20:11]

dinsdag 31 januari 2023 21:31

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

Ben nu 2 weken verder en die MikroTik ax3 werkt erg goed. Maar dat instellen is nog wat. Heb o.a. DoH geprobeerd maar toch maar weer verwijderd. Lees/hoor er teveel nadelen over. Hoop dat ik het goed heb gedaan dat verwijderen. Binnenkort dan maar eens in de weer met Wireguard e.d.

Onderstaand mijn config, hoor graag als ik daar nog rare dingen in heb zitten.

code:

1
2
3

Op verzoek ander uitdraai gemaakt, 
zie paar posts hieronder, 
nu staat de aangepaste versie in pastebin: https://pastebin.com/DEGjJiP5

[Voor 98% gewijzigd door MrMarcie op 01-02-2023 10:24. Reden: code aangepast]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

dinsdag 31 januari 2023 21:45

Acties:

+1Henk 'm!

Thralas

MikroTik
Wifi

MrMarcie schreef op dinsdag 31 januari 2023 @ 21:31:
Onderstaand mijn config, hoor graag als ik daar nog rare dingen in heb zitten.

Maak daar eens een 'gewone' export van. Een verbose export is per definitie onleesbaar en vervuilt het topic..
Daarnaast vrees ik dat je zonder specifiekere vragen niet veel feedback krijgt. Op de firewall na is het al snel oké als het werkt.

dinsdag 31 januari 2023 22:24

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

Thralas schreef op dinsdag 31 januari 2023 @ 21:45:
[...]

Maak daar eens een 'gewone' export van. Een verbose export is per definitie onleesbaar en vervuilt het topic..
Daarnaast vrees ik dat je zonder specifiekere vragen niet veel feedback krijgt. Op de firewall na is het al snel oké als het werkt.

Wat is een 'gewone' export? Lijkt me dat dit er een is toch?

code:

1	export file=filename verbose

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

dinsdag 31 januari 2023 22:33

Acties:

+1Henk 'm!

Thralas

MikroTik
Wifi

MrMarcie schreef op dinsdag 31 januari 2023 @ 22:24:
[...]

Wat is een 'gewone' export? Lijkt me dat dit er een is toch?
code:
1
export file=filename verbose

Zonder 'verbose'.

[Voor 19% gewijzigd door Thralas op 31-01-2023 22:34]

dinsdag 31 januari 2023 23:12

Acties:

0Henk 'm!

Jazco2nd

Wifi

lier schreef op vrijdag 27 januari 2023 @ 11:27:
Je zou je huidige configuratie kunnen posten, dan kunnen we kijken hoe je het opgezet hebt. De hEX POE is eigenlijk meer een switch (met routing capabilities). Het verbaast me dat je de 880Mbps hebt gehaald. Als ik kijk naar de testresultaten zou ik niet meer dan 600 Mbps verwachten.

Tav config (haal even alle persoonlijke gegevens weg):

[...]

Bij deze:

https://pastebin.com/U1UENVBu

_{Ik gebruik een script die checkt of mijn server nog wel DNS requests kan handelen (AdGuard Home), zo niet, valt hij terug op de DNS servers die in de router zijn ingesteld via NAT regel. Zoja, blokkeert hij poort 53 en stuurt deze door naar mijn server via NAT regels. Echter 1 regeltje heb ik per ongeluk gewist (die terugvalt naar de router) dus die zit hier niet tussen.}

Gek genoeg haal ik nu 's avonds laat 1.1 Gbps/710Gbps (down/up) via Fast.com en 810/690 via KPN speedtest. Dit komt redelijk overeen met wat ik vorig jaar haalde.
Vanochtend 2x en in de middag 2x getest, altijd ruim onder de 250mbps down/up.
Het lijkt me dus echt een probleem dat KPN zelf heeft veroorzaakt, teveel klanten op de lijn?

Aan de andere kant, misschien is de hEX POE gewoon niet meer 100% ofzo?

dinsdag 31 januari 2023 23:52

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

Thralas schreef op dinsdag 31 januari 2023 @ 22:33:
[...]

Zonder 'verbose'.

https://pastebin.com/DEGjJiP5
Korter.

[Voor 225% gewijzigd door MrMarcie op 01-02-2023 00:15]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

woensdag 1 februari 2023 08:39

Acties:

+2Henk 'm!

Thralas

MikroTik
Wifi

MrMarcie schreef op dinsdag 31 januari 2023 @ 23:52:
https://pastebin.com/DEGjJiP5
Korter.

Veel beter inderdaad.

Als je die nu even in de plaats van de verbose export zet

Ik heb er vluchtig naar gekeken, maar het lijkt me een prima basisconfiguratie voor KPN (of iets dat erop lijkt). Je hebt de interface lists gebruikt zoals het hoort en de default firewall staat nog.

Volgens mij is 't prima.

woensdag 1 februari 2023 10:19

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

Thralas schreef op woensdag 1 februari 2023 @ 08:39:
[...]

Veel beter inderdaad.

Als je die nu even in de plaats van de verbose export zet

Ik heb er vluchtig naar gekeken, maar het lijkt me een prima basisconfiguratie voor KPN (of iets dat erop lijkt). Je hebt de interface lists gebruikt zoals het hoort en de default firewall staat nog.

Volgens mij is 't prima.

Dank je, dat wilde ik even horen. Omdat dat RouterOS nieuw is voor me. Maar begin er langzaam aan aan te wennen. En ik moet nog wel e.e.a. leren over de mogelijkheden. Maar dat vind ik alleen maar leuk. En ja is config voor KPN internet-only.

EDIT
Vanavond de eerste hikup gehad. Hoop niet dat dat gewoonte wordt. Kom thuis, heb IP ook de PC's en TV maar toch geen internet. Inloggen op die ax3 maar niks bijzonders. Herstart en alles werkt weer. Dat dan weer wel gelukkig.

[Voor 14% gewijzigd door MrMarcie op 01-02-2023 22:36. Reden: Edit toegevoegd]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

dinsdag 7 februari 2023 18:21

Acties:

+1Henk 'm!

sjaak88

Over een paar dagen krijg ik mijn MikroTik RB5009UG+S+IN binnen. Ik keek vandaag voor de gein op getic.com en er waren er gewoon 3 op voorraad

Hopelijk is deze wel in staat om de volle 1 gig met QoS te doen, dat was namelijk niet mogelijk met mijn Hex, die kwam stabiel tot 200mbit.

Ik kan niet wachten om ermee te spelen!

donderdag 9 februari 2023 18:41

Acties:

0Henk 'm!

sjaak88

Op dit moment zijn er nog 7 stuks van RB5009UG+S+IN bij Getic. Dus voor degene die nog opzoek zijn;

https://www.getic.com/product/mikrotik-rb5009ug-s-in

donderdag 23 februari 2023 10:16

Acties:

+1Henk 'm!

tikkietrugjaap

Goedemorgen,

Na wat wikken en wegen heb ik niet al te lang geleden ook een Mikrotik router (RB750Gr3 / Hex) gekocht om de Experiabox te vervangen. Ik heb al een Ubiquiti EdgeSwitch en 3 AC-Lite's waardoor een EdgeRouter een logische keuze was geweest maar gezien de ontwikkelingen bij Ubi heb ik daar maar van afgezien.

Aanvankelijk had ik netwerkje.com gevonden maar het lijkt erop dat de informatie op die site wat achterhaald is. Gelukkig heb ik onlangs de Github pagina van project 'Eigenrouter' gevonden: https://github.com/Eigenr...tree/main/guides/mikrotik.
Ik gok dat de auteurs van die pagina hier ook wel te vinden zijn, dus hartelijk bedankt!

Na die stappen te hebben gevolg heb ik nog mijn firewall aangevuld met hetgeen Mikrotik zelf aangeeft op https://help.mikrotik.com...lding+Your+First+Firewall. Ook heb ik de nodige zaken uitgezet na het lezen van een site zoals https://www.manitonetwork...mikrotik-router-hardening. Mijn beveiliging lijkt nu redelijk solide in elkaar te steken.

Het enige wat ik nu nog wil doen is:

VLAN's uitvogelen zodat ik de verschillende zaken van mijn LAN kan scheiden (TV-kastje, Chromecast, Gast-netwerk, etc).
Port forwarding voor mijn Ubuntu server.
Wireguard verbinding voor mijn Ubuntu server.
DNS via zoiets als Pi-hole laten lopen.
Deze RB750Gr3/Hex is een probeersel. Daarna wil ik de router upgraden naar een zwaarder model zodra ik vind ik dat genoeg kennis/controle heb over RouterOS.

Hieronder mijn export bestand. Ik zou het tof vinden als jullie hem kunnen bekijken en kritiek/tips zouden kunnen geven.

code:

# feb/23/2023 09:28:06 by RouterOS 7.7
# software id = 
#
# model = RB750Gr3
# serial number = 
/interface bridge
add arp=proxy-arp name=local
/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=ppoe-client user=kpn
/interface list
add comment="ether2 - ether5" name=LAN
add comment="Only ether1" include=static name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.0.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcppoolhome ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcppoolhome dhcp-option-set=IPTV interface=local \
    lease-time=8h name=dhcp-home
/port
set 0 name=serial0
/interface bridge port
add bridge=local interface=ether2
add bridge=local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 interface=local network=192.168.0.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=210 \
    dhcp-options=option60-vendorclass interface=vlan1.4 use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 domain=home.local gateway=\
    192.168.0.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
/ip firewall filter
add action=accept chain=input in-interface=ppoe-client protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=ppoe-client
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NATted" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ppoe-client
add action=masquerade chain=srcnat comment=IPTV dst-address=213.75.0.0/16 \
    out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV dst-address=217.166.0.0/16 \
    out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV dst-address=10.207.0.0/20 \
    out-interface=vlan1.4
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=local
/system clock
set time-zone-name=Europe/Amsterdam
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no

Prima.

donderdag 23 februari 2023 19:45

Acties:

0Henk 'm!

ronjon

Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard

donderdag 23 februari 2023 20:28

Acties:

0Henk 'm!

tikkietrugjaap

ronjon schreef op donderdag 23 februari 2023 @ 19:45:
Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard

Mijn Ubuntu-server is ooit begonnen als oefenomgeving om wat meer kennis over unix-achtige systemen op te doen. Hij is inmiddels een beetje doorgegroeid naar manusje-van-alles waaronder torrenting, Jellyfin en soms dedicated Valheim-server. Met portforwarding bedoel ik dat ik de server dus bereikbaar moet zijn vanaf het internet voor specifieke taken.

Prima.

donderdag 23 februari 2023 22:31

Acties:

0Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

ronjon schreef op donderdag 23 februari 2023 @ 19:45:
Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard

Dan moet dat UDP poortje wel OPEN staan!

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

maandag 27 februari 2023 13:13

Acties:

+3Henk 'm!

Hmmbob

MikroTik

Versie 7.8 is uit:

download: RouterOS 7.8

Sometimes you need to plan for coincidence

maandag 27 februari 2023 13:25

Acties:

+1Henk 'm!

mukky

Hmmbob schreef op maandag 27 februari 2023 @ 13:13:
Versie 7.8 is uit:

download: RouterOS 7.8

Deze viel mij op: route - fixed IPv6 default route presence when received from RA

Benieuwd wat er nu precies veranderd is. Ik heb "Add Default Route" nu uitstaan bij IPv6 maar IPv6 werkt wel. Iemand enig idee wat hier nu de bedoeling van is?

maandag 27 februari 2023 15:41

Acties:

+1Henk 'm!

Freeaqingme

Ik vind het een mooie changelog. Zo op het oog zijn er geen grote wijzigingen, en betreft het vooral relatief kleine fixes. De enige die ik niet snap is:

swos - removed "/system swos" menu for CRS5xx series switches

Maakt me ook niet echt uit, maar ben wel benieuwd of dat er nou wel echt tussen hoort in het lijstje voor RouterOS.

Nu het geheel stabieler lijkt (mijn interpretatie) te worden, ben ik benieuwd of we binnenkort ook een Long Term Support release gaan zien voor v7. Op productie draai ik nu nog 7.1.1, en heb me voorgenomen die te gaan upgraden nadat er een Long Term Release is.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 6 maart 2023 07:19

Acties:

0Henk 'm!

kariem112

Ik heb sinds enkele weken ook een MT router. Internet provider is Freedom (Glas, via Cambrium). Het internet werkt prima, maar ik krijg met geen mogelijkheid de STB aan de praat. Hij start op, kan de server bereiken en de tijd syncen... daarna het scherm met 4 blauwe ballen, verder komt die niet. Kan iemand wat vreemds in deze config zien?

code:

# mar/06/2023 07:14:55 by RouterOS 7.8
# software id = MU77-FSU5
#
# model = RB5009UG+S+

/interface bridge
add arp=proxy-arp comment="LAN bridge." igmp-snooping=yes membership-interval=5m multicast-router=permanent name=lan-bridge protocol-mode=none vlan-filtering=yes
/interface vlan
add arp=disabled comment="IPTV VLAN." interface=lan-bridge name=iptv-vlan vlan-id=4
add arp=disabled comment="Internet VLAN." interface=lan-bridge mtu=1508 name=wan-vlan vlan-id=6
/interface list
add comment="IPTV interface list." name=IPTV
add comment="LAN interface list." name=LAN
add comment="WAN interface list." name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.100.1-192.168.100.99,192.168.100.101-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=lan-bridge name=dhcp1
/ppp profile
add change-tcp-mss=no name=wan-profile use-compression=no use-encryption=yes use-mpls=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=wan-vlan name=wan-pppoe profile=wan-profile user=fake@freedom.nl
/interface bridge port
add bridge=lan-bridge interface=ether1
add bridge=lan-bridge interface=ether2
add bridge=lan-bridge interface=ether3
add bridge=lan-bridge interface=ether4
add bridge=lan-bridge interface=ether5
add bridge=lan-bridge interface=ether6
add bridge=lan-bridge interface=ether7
add bridge=lan-bridge interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=LAN protocol=""
/ip settings
set icmp-rate-mask=0x1919 max-neighbor-entries=8192 rp-filter=strict secure-redirects=no send-redirects=no tcp-syncookies=yes
/interface bridge vlan
add bridge=lan-bridge comment="Internet VLAN." tagged=ether1,lan-bridge vlan-ids=6
add bridge=lan-bridge comment="IPTV VLAN." tagged=ether1,lan-bridge,ether3 vlan-ids=4
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=iptv-vlan list=IPTV
add interface=lan-bridge list=LAN
add interface=wan-pppoe list=WAN
/ip address
add address=192.168.100.100/24 comment="LAN IPv4 address." interface=lan-bridge network=192.168.100.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no interface=iptv-vlan use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.100
/ip dns
set servers=185.93.175.43,185.232.98.76
/ip firewall address-list
add address=192.168.100.0/24 comment="LAN subnet." list=lan-subnet
/ip firewall filter
add action=fasttrack-connection chain=forward comment="FastTrack established / related forward." connection-state=established,related hw-offload=yes in-interface-list=WAN
add action=accept chain=forward comment="Established / related / untracked." connection-state=established,related,untracked in-interface-list=WAN
add action=drop chain=forward comment="Drop invalid connections." connection-state=invalid in-interface-list=WAN
add action=accept chain=forward comment="Accept DSTNATed from WAN." connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="Reject the TCP protocol to the internal network." in-interface-list=WAN protocol=tcp reject-with=tcp-reset
add action=reject chain=forward comment="Reject other protocols to the internal network." in-interface-list=WAN reject-with=icmp-host-unreachable
add action=drop chain=forward comment="Stealth to the internal network." in-interface-list=WAN
add action=accept chain=input comment="Accept established / related / untracked." connection-state=established,related,untracked in-interface-list=WAN
add action=drop chain=input comment="Drop invalid connections." connection-state=invalid in-interface-list=WAN
add action=accept chain=input comment="Accept the ICMP protocol to the router." in-interface-list=WAN protocol=icmp
add action=reject chain=input comment="Reject the TCP protocol to the router." in-interface-list=WAN protocol=tcp reject-with=tcp-reset
add action=reject chain=input comment="Reject other protocols to the router." in-interface-list=WAN reject-with=icmp-host-unreachable
add action=drop chain=input comment="Stealth to the router." in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade the local network." out-interface-list=WAN src-address-list=lan-subnet
add action=masquerade chain=srcnat comment="Masquerade to the IPTV network." out-interface-list=IPTV src-address-list=lan-subnet
add action=masquerade chain=srcnat comment="Hairpin local network." dst-address-list=lan-subnet src-address-list=lan-subnet
/ip firewall raw
add action=drop chain=prerouting comment="Drop blacklisted hosts." in-interface-list=WAN src-address-list=blacklist
add action=drop chain=prerouting comment="Drop UDP port 0." in-interface-list=WAN port=0 protocol=udp
add action=jump chain=prerouting comment="Jump to ICMP chain." in-interface-list=WAN jump-target=icmp protocol=icmp
add action=jump chain=prerouting comment="Jump to TCP chain." in-interface-list=WAN jump-target=tcp protocol=tcp
add action=accept chain=icmp comment="0:0 (Echo reply) and limit for 5 packets/sec, burst 10." icmp-options=0:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp comment="3:0 (Net Unreachable)." icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="3:1 (Host unreachable)." icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="3:2 (Protocol unreachable)." icmp-options=3:2 protocol=icmp
add action=accept chain=icmp comment="3:3 (Port unreachable)." icmp-options=3:3 protocol=icmp
add action=accept chain=icmp comment="3:4 (Fragmentation needed)." icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="3:10 (The destination host is administratively prohibited)." icmp-options=3:10 protocol=icmp
add action=accept chain=icmp comment="3:13 (Communication administratively prohibited)." icmp-options=3:13 protocol=icmp
add action=accept chain=icmp comment="8:0 (Echo request - no code) and limit for 5 packets/sec, burst 10." icmp-options=8:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp comment="11:0-255 (Time exceeded)." icmp-options=11:0-255 protocol=icmp
add action=log chain=icmp comment="ICMP IPv4 dropped." log-prefix="[ICMP IPv4 dropped]: " protocol=icmp
add action=drop chain=icmp comment="ICMP drop everything else." protocol=icmp
add action=drop chain=tcp comment="TCP drop invalid flags filter." protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=tcp protocol=tcp tcp-flags=fin,syn
add action=drop chain=tcp protocol=tcp tcp-flags=fin,rst
add action=drop chain=tcp protocol=tcp tcp-flags=fin,!ack
add action=drop chain=tcp protocol=tcp tcp-flags=fin,urg
add action=drop chain=tcp protocol=tcp tcp-flags=rst,urg
add action=drop chain=tcp protocol=tcp tcp-flags=syn,rst
add action=drop chain=tcp comment="TCP port 0 drop." port=0 protocol=tcp
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip route
add disabled=no dst-address=10.60.142.0/24 gateway=iptv-vlan
add disabled=no dst-address=217.166.224.0/21 gateway=iptv-vlan
/ip service
set telnet address=192.168.100.0/24 disabled=yes
set ftp address=192.168.100.0/24 disabled=yes
set www address=192.168.100.0/24 disabled=yes
set ssh address=192.168.100.0/24
set www-ssl address=192.168.100.0/24
set api address=192.168.100.0/24 disabled=yes
set winbox address=192.168.100.0/24
set api-ssl address=192.168.100.0/24 disabled=yes
/ip ssh
set strong-crypto=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=lan-bridge type=internal
add interface=wan-pppoe type=external
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=192.168.100.0/24 interface=lan-bridge
add alternative-subnets=217.166.224.0/21 interface=iptv-vlan upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp.time.nl
/tool bandwidth-server
set authenticate=no enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

IPTV zit intern ook op een apart VLAN.

maandag 6 maart 2023 09:18

Acties:

+1Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

kariem112 schreef op maandag 6 maart 2023 @ 07:19:
Kan iemand wat vreemds in deze config zien?

Ja, je stuurt VLAN 4 tagged door naar eth3, weet je zeker dat de STB dat begrijpt (ik denk het niet). Ik ga ervan uit dat je STB op deze poort aangesloten is? Krijgt de STB wel een IP adres? Welk IP adres?

Verder: je hebt de VLAN's op je bridge geconfigureerd, terwijl ik zou verwachten dat deze op de eth1 zou moeten staan. Daar heb je ook je DHCP client op gezet.

Samengevat klopt er, zover ik het kan overzien, volgens mij niet heel veel van. Kan je een plaatje maken van je netwerk en alle VLAN's erbij?

Waarom trouwens mtu=1508 op de Internet VLAN?

En voorkeur van mij: UPnP

Dan heb je zo'n moeite gedaan op je firewall om vervolgens alle controle te verliezen.

Eerst het probleem, dan de oplossing

maandag 6 maart 2023 13:17

Acties:

0Henk 'm!

kariem112

lier schreef op maandag 6 maart 2023 @ 09:18:
[...]

Ja, je stuurt VLAN 4 tagged door naar eth3, weet je zeker dat de STB dat begrijpt (ik denk het niet). Ik ga ervan uit dat je STB op deze poort aangesloten is? Krijgt de STB wel een IP adres? Welk IP adres?

Verder: je hebt de VLAN's op je bridge geconfigureerd, terwijl ik zou verwachten dat deze op de eth1 zou moeten staan. Daar heb je ook je DHCP client op gezet.

Samengevat klopt er, zover ik het kan overzien, volgens mij niet heel veel van. Kan je een plaatje maken van je netwerk en alle VLAN's erbij?

Waarom trouwens mtu=1508 op de Internet VLAN?

En voorkeur van mij: UPnP Dan heb je zo'n moeite gedaan op je firewall om vervolgens alle controle te verliezen.

Dank voor je uitgebreide reactie. Zal later even een plaatje maken voor het overzicht

UPnP is overbodig, die haal ik er sowieso uit. Was wat dingen aan het testen (niet IPTV gerelateerd). De STB krijgt netjes een IP adres op Poort 3 , er zit nog een unifi switch tussen die het VLAN wel snapt

Poort 1 is WAN, Poort 2 naar een switch voor de rest van het netwerk, Poort 3 naar een switch voor IPTV

maandag 6 maart 2023 13:38

Acties:

+2Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

Waarom stuur je niet beide VLAN's in een trunk naar de Unifi switch?

Ik heb nog even de helppagina van Freedom erbij gezocht:
https://helpdesk.freedom....-instellingen-eigen-modem

Nu begrijp ik een beetje beter wat je wil...je hoeft alleen aan de WAN kant met VLAN's te werken

Je zou (naar mijn idee het volgende aan moeten passen):

wan_vlan koppelen aan eth1
IPTV VLAN verwijderen
eth1 verwijderen uit de bridge

Er wordt geen gescheiden VLAN aangeboden door Freedom, IPTV gaat over hetzeldfe VLAN als Internet. Je hoeft dus geen scheiding aan te brengen. Lijkt erop alsof je je hebt laten inspireren door netwerkje.com (althans, VLAN 4 wordt gebruikt bij KPN netwerken).

Eerst het probleem, dan de oplossing

maandag 6 maart 2023 18:25

Acties:

0Henk 'm!

kariem112

lier schreef op maandag 6 maart 2023 @ 13:38:
Waarom stuur je niet beide VLAN's in een trunk naar de Unifi switch?

Ik heb nog even de helppagina van Freedom erbij gezocht:
https://helpdesk.freedom....-instellingen-eigen-modem

Nu begrijp ik een beetje beter wat je wil...je hoeft alleen aan de WAN kant met VLAN's te werken

Je zou (naar mijn idee het volgende aan moeten passen):
wan_vlan koppelen aan eth1
IPTV VLAN verwijderen
eth1 verwijderen uit de bridge
Er wordt geen gescheiden VLAN aangeboden door Freedom, IPTV gaat over hetzeldfe VLAN als Internet. Je hoeft dus geen scheiding aan te brengen. Lijkt erop alsof je je hebt laten inspireren door netwerkje.com (althans, VLAN 4 wordt gebruikt bij KPN netwerken).

Freedom heeft op de WAN kant VLAN 6 (internet) en VLAN4 (IPTV) nodig. Ik had dit altijd in een apart intern VLAN zitten omdat de unifi USG anders niet echt lekker werkte met een hoop IGMP problemen (en een instabiele STB

). Ik zou het kunnen vereenvoudigen door dit te doen:

wan_vlan koppelen aan eth1
IPTV VLAN verwijderen
eth1 verwijderen uit de bridge

En intern krijgt de STB dan via de IGMP proxy de juiste streams door?

maandag 6 maart 2023 19:34

Acties:

+2Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

Mmm...blijkbaar moet er voor tv iets meer gedaan worden:

INSTELLINGEN VOOR TELEVISIE
Router moet DHCP-requests doen op VLAN 4* voor TV.
Er moet NAT worden toegepast voor verkeer over VLAN 4*.
Er moeten static routes worden gezet naar 10.10.0.33/32, 185.24.175.0/24 en 185.41.48.0/24 over het op VLAN 4* verkregen gateway IP. Deze routes worden ook via DHCP optie 121 doorgegeven. (Let op. Heb je een verbinding via het glasvezel Helmond netwerk of Fiber Operator? Dan hoef je geen statische routes in te stellen).
De settopboxen hangen in het normale LAN.
IGMP snooping of proxying moet worden toegepast op VLAN 4*.
RTSP connection tracking module moet ingeschakeld worden mits beschikbaar. Wanneer RTSP connection tracking niet beschikbaar is, kan een destination NAT regel aangemaakt worden richting de IP tv-ontvanger.
*Let op! Heb je een glasvezelverbinding via het glasvezel Helmond netwerk? Gebruik dan VLAN 424 i.p.v. VLAN 4 voor televisie.

Volgens mij moet je het volgende doen (even zo uit mijn hoofd):

VLAN interface (vlan_iptv) aanmaken, VLAN ID = 4 en deze koppelen aan eth1
Nieuwe DHCP Client koppelen aan vlan_iptv
Nieuwe IP NAT masquerade rule om te NAT-ten
Routes toevoegen en als gateway vlan_iptv

Nog even ter aanvulling, je hoeft geen VLAN te gebruiken in je interne netwerk. Alleen aan de WAN kant.

[Voor 4% gewijzigd door lier op 06-03-2023 19:35]

Eerst het probleem, dan de oplossing

vrijdag 10 maart 2023 14:28

Acties:

+1Henk 'm!

3dmaster

Ik heb een wireguard tunnel tussen mijn Mikrotik (RB5009UPr+S+) en een pfsense machine in een DC (vm). Eerder had ik deze tussen 2 pfsense machines maar 1 daarvan is vervangen door de Mikrotik. Het gekke nu is dat ik sindsdien het probleem heb dat mijn wireguard tunnel maar een paar seconden op full speed blijft, daarna zat deze helemaal in tot 0. Na een tijdje loopt hij weer op naar max voor een paar sec en dan weer naar 0.

code:

[  5] local 10.10.0.9 port 48138 connected to 10.10.20.9 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  73.4 MBytes   616 Mbits/sec   65    494 KBytes       
[  5]   1.00-2.00   sec  50.0 MBytes   419 Mbits/sec    1    414 KBytes       
[  5]   2.00-3.00   sec  51.2 MBytes   430 Mbits/sec    0    496 KBytes       
[  5]   3.00-4.00   sec  61.2 MBytes   514 Mbits/sec    0    577 KBytes       
[  5]   4.00-5.00   sec  67.5 MBytes   566 Mbits/sec    0    657 KBytes       
[  5]   5.00-6.00   sec  32.5 MBytes   272 Mbits/sec   72   1.34 KBytes       
[  5]   6.00-7.00   sec  0.00 Bytes  0.00 bits/sec    2   1.34 KBytes       
^[[A[  5]   7.00-8.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   8.00-9.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes

Zo zie ik dat dan ook terug in iperf3

Ik heb overal de mtu op default voor wireguard staan (1420). De verbindingen aan beide kanten zijn gewoon normaal (delta DHCP, en direct verbinding op een access router). Dus gewoon MTU 1500 op de verbinding zelf.

Heeft iemand dit vaker gezien icm mikrotik? Het lijkt alsof er ergens een buffertje overloopt of zo.

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 10 maart 2023 14:36

Acties:

+2Henk 'm!

g1n0

Vaker gezien, maar lag bij mij wel aan de mtu. Probeer eens je path zonder fragmentation te pingen om te checken of je mtu echt klopt

vrijdag 10 maart 2023 15:53

Acties:

+1Henk 'm!

3dmaster

Als ik ping zonder fragmentation gaat het goed vanaf een packetsize van 1392 (+28 = mtu 1420) dus dat lijkt wel goed te zijn. Of zie ik nu iets over het hoofd?

code:

[root@ipa2 ~]# ping 10.10.20.9 -M do -s 1393
PING 10.10.20.9 1393(1421) bytes of data.
ping: local error: message too long, mtu=1420
ping: local error: message too long, mtu=1420


[root@ipa2 ~]# ping 10.10.20.9 -M do -s 1392
PING 10.10.20.9 1392(1420) bytes of data.
1400 bytes from 10.10.20.9: icmp_seq=1 ttl=62 time=7.61 ms
1400 bytes from 10.10.20.9: icmp_seq=2 ttl=62 time=7.74 ms

[Voor 56% gewijzigd door 3dmaster op 10-03-2023 15:55]

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 10 maart 2023 16:05

Acties:

+1Henk 'm!

Thralas

MikroTik
Wifi

Dat moet je wel buiten de tunnel testen want van dat DF-vlaggetje blijft niet zoveel over na encapsulatie door WireGuard. Ik vind er wel verdacht veel verkeer doorheen gaan voor een MTU issue. Zou eens experimenteren met iperf in udp mode (eveneens binnen en buiten de tunnel).

Ook: hoe is de latency?

vrijdag 10 maart 2023 16:32

Acties:

+1Henk 'm!

3dmaster

Ik heb ff een ping sweep gedaan vanaf de pfsense naar het adres van mijn delta verbinding thuis.

code:

ping -i 0.1 -D -g 1300 -G 1500 <geheim>
<knip>
1479 bytes from <geheim>: icmp_seq=271 ttl=63 time=6.529 ms
1480 bytes from <geheim>: icmp_seq=272 ttl=63 time=6.484 ms
ping: sendto: Message too long
ping: sendto: Message too long
ping: sendto: Message too long

Die stopt dus bij 1480 (dus volgens mij is dan de mtu gewoon 1500 op dat pad).

Ping is redelijk strak net boven de 6ms continue.

ook wat iperf binnen en buitenom gedaan. Buitenom zit ik tegen een gigabit aan. zowel udp als tcp. Binnen de tunnel kakt hij in, zowel tcp als udp.

[Voor 17% gewijzigd door 3dmaster op 10-03-2023 16:36]

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

dinsdag 21 maart 2023 22:40

Acties:

+4Henk 'm!

Shinji

Nou, vorige week maar een hAP AX2 besteld en kwam vandaag binnen. Heerlijk apparaatje. Ga hem gebruiken voor mijn mobiele werkplek. Ergens wireless of wired inpluggen zodat die internet heeft en dezelfde SSIDs als thuis uitzenden. WireGuard tunnel naar huis toe waar al het verkeer over gaat en we kunnen overal werken zoals thuis

Van de week een hex bij mijn pa ingezet met WireGuard naar huis zodat de backup van mijn nas naar een nas bij hem loopt. Ideaal spul.

Moet zeggen dat die hAP wel wat steviger aanvoelt.

[Voor 22% gewijzigd door Shinji op 21-03-2023 22:41]

vrijdag 24 maart 2023 16:48

Acties:

+2Henk 'm!

Pasc66

Vandaag lijkt RouterOS 7.9beta4 uitgekomen te zijn. Er lijken een groot aantal sfp problemen aangepakt te zijn (komende week even testen met Delta fiber). Copy/paste uit de changelog:

*) sfp - added log warning about failed auto-initialization on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - allow modules that hold "TX_FAULT" high signal all the time on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - allow modules with bad or no EEPROM in forced mode on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - fixed "rate-select" functionality on CCR2004-16G-2S+ and CCR2004-1G-12S+2XS devices (introduced in v7.8);
*) sfp - fixed combo-ether link monitor for CRS328-4C-20S-4S+ switch;
*) sfp - improved module initialization and display more detailed initialization status on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - improved SFP28 interface stability with some optical modules for CRS518 switch;
*) sfp - improved system stability with some SFP GPON modules on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;

vrijdag 24 maart 2023 19:24

Acties:

0Henk 'm!

ShadowBumble

Professioneel Prutser

Pasc66 schreef op vrijdag 24 maart 2023 @ 16:48:
Vandaag lijkt RouterOS 7.9beta4 uitgekomen te zijn. Er lijken een groot aantal sfp problemen aangepakt te zijn (komende week even testen met Delta fiber). Copy/paste uit de changelog:

In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.

"Allow me to shatter your delusions of grandeur."

vrijdag 24 maart 2023 19:38

Acties:

+3Henk 'm!

lolgast

Ik update zodra het me uitkomt, maar doorgaans wel binnen 7 dagen. Ze maken die updates niet voor niets en een rollback is eventueel zo gedaan.
Ik maak 2 keer per week een backup en via SFTP komen die op mijn server, ik kan een jaar terug qua config als er iets stuk is

vrijdag 24 maart 2023 20:27

Acties:

+2Henk 'm!

Shinji

ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]

In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.

Dat ligt ook een beetje aan hoe kritiek de omgeving is natuurlijk, thuis doe ik in elk geval gelijk upgraden. Als ze zakelijk ingezet worden zou ik denk ik halfjaarlijks een ronde doen. Daar kan je dan altijd nog van af wijken indien zich er bugs voordoen of nodige features bijkomen of er een vulnerability in zit in de tussentijd.

Net een avond bezig geweest om in plaats van wat static routes alles op basis van OSPF over de wireguard tunnels te doen.

Vanaf huis draait er weer een wireguard naar kantoor waar alleen een apart vlan/subnet bij kan waar mijn werk laptop in zit en dezelfde constructie draait nu ook vanaf mijn remote werkplek hAP AX2 waarbij het verkeer dan wel via mijn huis gaat.

[Voor 22% gewijzigd door Shinji op 24-03-2023 20:30]

vrijdag 24 maart 2023 20:53

Acties:

0Henk 'm!

Pasc66

ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]

In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.

Ik upgrade direct (thuis) naar de eerstvolgende beta / release zodra beschikbaar en geen problemen ervaren - maar goed, ik heb thuis dan ook een erg eenvoudige setup..

vrijdag 24 maart 2023 22:44

Acties:

+2Henk 'm!

Freeaqingme

ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]

In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.

Hangt er een beetje van af. Op productie heb ik 2 CCR1072's draaien + 2 switches. Die draaien 7.1.1 sinds december 2021 (toen de setup opgebouwd werd), sindsdien zijn ze niet meer geupgrade. De setup draait stabiel, en als je alle services goed firewallt is er ook niet echt iets qua security dat het vereist om te upgraden.

Dus dan is de afweging vooral 'draait het stabiel?', daar op is het antwoord 'ja', dus dan ga ik niet periodiek het upgraden (met mogelijke downtime tot gevolg etc). Ik houd wel de changelogs in de gaten, zo zag ik laatst een fix dat VRF's pas vanaf 7.4 ofzo goed werkten. Dat houd ik dan wel in het achterhoofd dat als ik ooit VRF support nodig heb, dat ik dan eerst ga upgraden.

Verder had ik laatst een keer contact met support voor een random vraag. Toen gokte ik dat het antwoord ging zijn, 'je moet eerst upgraden', maar daar begonnen ze niet eens over. Stiekem zat ik te wachten op de nieuwe longterm release, maar hoe lang dat nog gaat duren...

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

vrijdag 24 maart 2023 23:04

Acties:

+1Henk 'm!

jvanhambelgium

Heb de 7.9beta4 ondertussen draaien op m'n "labo" RB3011 en die "hangt" aan een ZeroTier cloud-netwerk (via aparte PPPoE xDSL link)
Upgrade ging zonder problemen en alles werkt precies nog, inclusief de ZeroTier want ik kon er direct aan vanaf m'n thuis-LAN.

zaterdag 25 maart 2023 02:27

Acties:

0Henk 'm!

Jazco2nd

Wifi

Shinji schreef op dinsdag 21 maart 2023 @ 22:40:
Nou, vorige week maar een hAP AX2 besteld en kwam vandaag binnen. Heerlijk apparaatje. Ga hem gebruiken voor mijn mobiele werkplek. Ergens wireless of wired inpluggen zodat die internet heeft en dezelfde SSIDs als thuis uitzenden. WireGuard tunnel naar huis toe waar al het verkeer over gaat en we kunnen overal werken zoals thuis

Van de week een hex bij mijn pa ingezet met WireGuard naar huis zodat de backup van mijn nas naar een nas bij hem loopt. Ideaal spul.

Moet zeggen dat die hAP wel wat steviger aanvoelt.

Wat is eigenlijk de reden dat je Wireguard server niet gewoon op je NAS draait?
Je hoeft toch niet al het verkeer van je pa door jouw vpn en ISP te laten lopen?
Dan is het toch simpeler als zijn nas met de jouwe verbind en de rest van zijn apparaten (zonder verdere configuratie) daar niks mee te maken hebben?

Ik vraag het vooral omdat ik het zo heb.
Weet dat ik ook Wireguard op de Mikrotik (hex poe) kan draaien maar zie nog niet in waarom ik dat zou doen..

zaterdag 25 maart 2023 07:36

Acties:

+1Henk 'm!

Shinji

Het verkeer van mijn pa gaat niet via de tunnel en mijn verbinding. De Hex die daar ligt zit achter zijn experiabox en daarna direct aan de NAS. De NAS zit ook nog met een poot aan de experiabox zodat hij er bij kan.

De NAS daar is puur voor backup, dus uiteindelijke doel is dat ik die middels WoL aan kan zetten ‘s nachts.

Voor Synology is (of was in elk geval) geen native WireGuard server dus dan zou ik die in docker moeten draaien.

Als je groot genoeg ben en bijvoorbeeld heel veel locaties aan elkaar knoopt of het als dial in van veel gebruikers gebruikt kan je misschien beter een dedicated VPN server optuigen.

Voor mij thuis en klein zakelijk is het ideaal dat het native in de Mikrotik zit. Het is set and forget wat dat betreft. Daarbij zie ik een NAS primair als storage device. Een Mikrotik als networking device en VPN is een networking service dus is daar eerder op zijn plaats als die mogelijkheid er is.

Ik heb overigens ook lang een openvpn tunnel gehad vanaf mijn nas naar de backup nas dus is zeker een use case voor maar vooral bij gebrek aan beter

zondag 26 maart 2023 11:23

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op vrijdag 24 maart 2023 @ 19:38:
Ik update zodra het me uitkomt, maar doorgaans wel binnen 7 dagen. Ze maken die updates niet voor niets en een rollback is eventueel zo gedaan.
Ik maak 2 keer per week een backup en via SFTP komen die op mijn server, ik kan een jaar terug qua config als er iets stuk is

Ben nog nieuw met die MikroTik. Heb nu zon ax3 draaien maar basis setup. Heb je voorbeeld scriptje hoe jij die backups via sftp draait?

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

zondag 26 maart 2023 11:34

Acties:

+5Henk 'm!

lolgast

@MrMarcie

:global SystemName
:global SftpUrl
:global SftpUser
:local FilePath ($SystemName . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Files [ :toarray "" ];

/export file=$FilePath;
/system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Files ($Files, ($FilePath . ".rsc"));
:set Files ($Files, ($FilePath . ".backup"));

:foreach File in=[ $Files ] do={
  /tool fetch upload=yes url=([$SftpUrl] . [$File]) src-path=$File user=$SftpUser;
  /file remove $File;
}

SftpUrl = sftp://pad-naar-share

Ik maak gebruik van authenticatie via SSH-keys dus geen wachtwoord nodig

zondag 26 maart 2023 11:38

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op zondag 26 maart 2023 @ 11:34:
@MrMarcie

:global SystemName
:global SftpUrl
:global SftpUser
:local FilePath ($SystemName . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Files [ :toarray "" ];

/export file=$FilePath;
/system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Files ($Files, ($FilePath . ".rsc"));
:set Files ($Files, ($FilePath . ".backup"));

:foreach File in=[ $Files ] do={
  /tool fetch upload=yes url=([$SftpUrl] . [$File]) src-path=$File user=$SftpUser;
  /file remove $File;
}

SftpUrl = sftp://pad-naar-share

Ik maak gebruik van authenticatie via SSH-keys dus geen wachtwoord nodig

Top, ga ik mee aan de slag

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

zondag 26 maart 2023 11:53

Acties:

+3Henk 'm!

lolgast

Het zijn overigens 2 bestanden, een export en een backup. Vergeef me momenteel de exacte reden, maar een backup heeft niet alle config onderdelen en een export ook niet. Maar beide samen bevatten wel alles. Ik “geloof” dat het een combi van geconfigureerde users en de door mij gebruikte SSH keys was/is

zondag 26 maart 2023 11:57

Acties:

0Henk 'm!

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op zondag 26 maart 2023 @ 11:53:
Het zijn overigens 2 bestanden, een export en een backup. Vergeef me momenteel de exacte reden, maar een backup heeft niet alle config onderdelen en een export ook niet. Maar beide samen bevatten wel alles. Ik “geloof” dat het een combi van geconfigureerde users en de door mij gebruikte SSH keys was/is

Ik kom er wel uit denk ik. En ik test altijd alles goed.

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

zondag 26 maart 2023 16:15

Acties:

+1Henk 'm!

ShadowBumble

Professioneel Prutser

Thanks iedereen voor alle reacties over direct upgraden of niet, de reden dat ik het vroeg was inderdaad om eens te proeven wat iedereen doet "vroegah" in de begin RouterOS6 tijd was direct upgraden echt uit den boze maar het lijkt erop dat het tegenwoordig allemaal een heel stuk stabieler is.

Ik blijf wel nog even hangen op de stable branch zolang er niks nodig is waarvoor ik directe fixes nodig heb.

"Allow me to shatter your delusions of grandeur."

dinsdag 28 maart 2023 21:36

Acties:

0Henk 'm!

TF0

Ik ben de laatste tijd (ook) bezig geweest met VPNs:
1. Er is een IPSEC site-to-site tunnel naar een andere locatie en dat werkt
2. Er is een Wireguard interface waar ik verbinding mee kan maken met o.a. mijn telefoon.
3. Ik ben ook begonnen met het maken van een Wireguard interface naar een externe VPN provider (Mullvad), maar die lijkt half te werken.

Nu heb ik nog enkele ideeën om het beter te maken:
1. Ik wil een apparaat van mijn netwerk het internet op laten gaan via de site-to-site VPN tunnel (via IPSEC)
2. Ik wil graag van een ander apparaat via Mullvad laten lopen (via Wireguard)

Ik heb allerlei methodes getest maar kom er niet uit, ik zou hulp goed kunnen gebruiken.

Ik heb onder andere hier gekeken (maar nog veel meer bronnen geraadpleegd):
YouTube: Mullvad - The World's Most Anonymous VPN on MikroTik!
zx9r_mario in "[MikroTik-apparatuur] Ervaringen & Discussie"
https://forum.mikrotik.com/viewtopic.php?t=152303

Er zijn blijkbaar verschillende manieren (VRF, routing table/rule, IPSEC policy etc) maar ik weet niet wat het verschil precies is en er werkt niets in mijn geval.

Details probleem 1:
Ik begrijp dat ik dit moet oplossen met een policy binnen ip/IPSEC.
Client met IP adres 192.168.10.103 moet via de IPSEC tunnel gaan.
Ik ben er al achter gekomen dat je daarvoor moet switchen naar 'unique' ipv 'require' maar er mist nog iets anders.

code:

/ip/ipsec/policy> print
Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
#     PEER    TUNNEL  SRC-ADDRESS        DST-ADDRESS      PROTOCOL  ACTION   LEVEL   PH2-COUNT
0 T *                 ::/0               ::/0             all                                 
1     NAAM  yes     192.168.10.103/32  0.0.0.0/32       all       encrypt  unique          0
2  A  NAAM  yes     192.168.10.0/24    192.168.11.0/24  all       encrypt  unique          1

Waarbij de eerste niet actief wordt ('no phase 2'). Het lijkt mij dat dáár het probleem is en niet zozeer de firewall.

Andere kant van de vpn tunnel heb ik 1 enkele policy gemaakt om van 192.168.11.0/24 naar mijn 192.168.10.0/24 te gaan. Mijns inziens zou dat voldoende moeten zijn, maar waarschijnlijk maak ik een denkfout:

code:

/ip/ipsec/policy> print
Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUN
T
#     PEER  TUNNEL  SRC-ADDRESS      DST-ADDRESS      PROTOCOL  ACTION   LEVEL   P
0 T *               ::/0             ::/0             all                         
1  A  NAAM yes     192.168.11.0/24  192.168.10.0/24  all       encrypt  unique  1

Ik weet niet welke informatie nog meer relevant is om hier in te duiken, dat hoor ik graag!

Probleem 2 begin ik wel over op het moment dat ik probleem 1 opgelost heb, anders wordt het een te grote post.

offtopic:
Ik heb voor IPSEC site-to-site gekozen omdat de MikroTiks daar HW ondersteuning voor hebben (twee keer RB750Gr3).
Om dingen voor mezelf relatief simpel te houden (2 verschillende protocollen voor 2 verschillende doelen) en wegens de goede recensies over Wireguard ben ik daarna begonnen met Wireguard --> dat beviel heel goed met de juiste tutorial en maakt snel verbinding.
Als het blijkt dat de site-to-site met Wireguard (veel) beter te beheren is, dan kan ik uiteraard alles omzetten, maar het gaat me ook om het leren

.

dinsdag 28 maart 2023 23:39

Acties:

+2Henk 'm!

Thralas

MikroTik
Wifi

TF0 schreef op dinsdag 28 maart 2023 @ 21:36:
Er zijn blijkbaar verschillende manieren (VRF, routing table/rule, IPSEC policy etc) maar ik weet niet wat het verschil precies is en er werkt niets in mijn geval.

VRF's heb je in ieder geval niet snel nodig, eerder wat routing rules.

Hele belangrijke notie voor IPsec: de policies die je daar definieert maken dat je routetabel niet meer de autoratieve bron is voor wat er met verkeer gebeurt. Daar zijn aardige flowcharts van: volgens mij gaat IPsec vóór routing decisions - met andere woorden: verkeer kan een tunnel in verdwijnen ondanks wat je routetabel zegt.

Nu niet per se je probleem, maar wel iets dat op de loer ligt als je met verschillende routes in de weer bent - ik heb een paar uur gespendeerd aan me afvragen waarom verkeer een Wireguard tunnel niet verliet terwijl de routetabel klopte, dat wil ik eenieder besparen (hint: er was een IPsec tunnel policy die te ruim stond).

Details probleem 1:
Ik begrijp dat ik dit moet oplossen met een policy binnen ip/IPSEC.
Client met IP adres 192.168.10.103 moet via de IPSEC tunnel gaan.
Ik ben er al achter gekomen dat je daarvoor moet switchen naar 'unique' ipv 'require' maar er mist nog iets anders.

Als ik de beschrijving van unique lees geloof ik van niet:

unique - drop the packet and acquire a unique SA that is only used with this particular policy. It is used in setups where multiple clients can sit behind one public IP address (clients behind NAT).

Dat lijkt me bedoeld voor meerdere IPsec clients - jij wil gewoon één machine door een bestaande tunnel routeren.

Waarbij de eerste niet actief wordt ('no phase 2'). Het lijkt mij dat dáár het probleem is en niet zozeer de firewall.

Dit is iets waarvan ik het antwoord zou hebben als ik IPsec zou begrijpen, maar dat doe ik niet. Ik zou IPsec logging eens op debug zetten en kijken wat dat zegt.

Ik weet niet welke informatie nog meer relevant is om hier in te duiken, dat hoor ik graag!

Doe eens een /export van alle relevante IPsec settings en je routetabel?

offtopic:
Als het blijkt dat de site-to-site met Wireguard (veel) beter te beheren is, dan kan ik uiteraard alles omzetten, maar het gaat me ook om het leren .

Niets mis mee hoor, maar als je IPsec niet dagelijks instelt blijft het wel iets waar je altijd eerst een hele studie van moet maken om weer te herinneren hoe het werkt, en daarna altijd uitgebreid debuggen omdat allerlei proposals mismatchen.

Geeft wel voldoening als het werkt, maar een beetje masochistisch is het wel..

woensdag 29 maart 2023 09:54

Acties:

0Henk 'm!

TF0

Thralas schreef op dinsdag 28 maart 2023 @ 23:39:
[...]

Bedankt! Goed om te lezen dat anderen ook uren spenderen om iets in te stellen wat op het eerste oog redelijk simpel zou moeten zijn

.

Doe eens een /export van alle relevante IPsec settings en je routetabel?

code:

/ip ipsec mode-config
add connection-mark=Site-to-siteVPN name=Site-to-siteVPN responder=no
/ip ipsec peer
add address=EXTERN.IP/32 exchange-mode=ike2 name=NAAM
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 dpd-interval=30s dpd-maximum-failures=3 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=myproposal pfs-group=modp2048
/ip ipsec identity
add peer=NAAM
/ip ipsec policy
add dst-address=0.0.0.0/32 level=unique peer=NAAM proposal=myproposal src-address=192.168.10.103/32 tunnel=yes
add dst-address=192.168.11.0/24 level=unique peer=Ouders proposal=myproposal src-address=192.168.10.0/24 tunnel=yes

Zal ik hem terug zetten naar 'require'? Of kan het geen kwaad om hem op unique te laten staan?

code:

/routing table
Flags: D - DYNAMIC; X, I, A - ACTIVE; c, s, d, y - COPY
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS        GATEWAY            DISTANCE
;;; Misschien nodig voor routing via site-to-site
0  Xs 0.0.0.0/0          192.168.11.1              1
1  Xs 0.0.0.0/0          192.168.11.1              5
;;; Mullvad
2  Xs 0.0.0.0/0          wireguard_Mullvad         1
  DAd 0.0.0.0/0          192.168.2.254             1
  DAc 10.65.165.130/32   wireguard_Mullvad         0
;;; Mullvad
3  As 146.70.188.130/32  192.168.2.254             1
  DAc 192.168.2.0/24     ether1                    0
  DAc 192.168.10.0/24    bridge                    0
  DAc 192.168.100.0/24   wireguard1

De eerste drie zijn uitgeschakeld en de MikroTik zit achter een KPN router (2.254) om in een redelijk veilige omgeving te kunnen spelen (poort forwarding voor IPSEC en Wireguard is dus allemaal al OK).
146.70.188.130 is het Mullvad Wireguard ip adres en moet via 192.168.2.254 om zeker te zijn dat hij via het 'normale' internet gaat. In mijn geval waarschijnlijk niet nodig aangezien ik alleen specifieke clients via vpn wil laten lopen, maar het kan geen kwaad.

Dit is iets waarvan ik het antwoord zou hebben als ik IPsec zou begrijpen, maar dat doe ik niet. Ik zou IPsec logging eens op debug zetten en kijken wat dat zegt.

In de logging (/system logging add topics=ipsec,!packet) zie ik telkens 'got error: TS_Unacceptable' voorbij komen. Op het moment dat ik de policy voor 10.103 uitzet gaat de error weg, het zit dus echt in die policy.
Ik heb op Google geen antwoord kunnen vinden waar die error wordt opgelost: ze gaan of 1-op-1 chatten of de TS stopt er mee.

Geeft wel voldoening als het werkt, maar een beetje masochistisch is het wel..

Ja, daar kom ik ook achter

.

woensdag 29 maart 2023 11:53

Acties:

+1Henk 'm!

Laagheim

@TF0 Vorig jaar een nieuwe telefoon dus ben toen ook bezig geweest om vpn weer werkend te krijgen.Met deze instructies was het zo gepiept 👍

https://forum.mikrotik.com/viewtopic.php?f=23&t=175656#

woensdag 29 maart 2023 21:22

Acties:

+1Henk 'm!

Thralas

MikroTik
Wifi

TF0 schreef op woensdag 29 maart 2023 @ 09:54:
In de logging (/system logging add topics=ipsec,!packet) zie ik telkens 'got error: TS_Unacceptable' voorbij komen. Op het moment dat ik de policy voor 10.103 uitzet gaat de error weg, het zit dus echt in die policy.
Ik heb op Google geen antwoord kunnen vinden waar die error wordt opgelost: ze gaan of 1-op-1 chatten of de TS stopt er mee.

Kijk, dat is al nuttige informatie. TS is Traffic Selector (blijkt uit de RFC - en dat is dus het probleem met IPsec, valt niet te debuggen zonder de RFC in de hand).

Traffic selectors zijn inderdaad de policies die over en weer worden gestuurd. De 'andere zijde' keurt je policy af. Mijn eerste reactie was: hoe ziet IPsec config aan de andere zijde eruit?

Maar toen wierp ik nog een blik op je config, en zie dat je 0.0.0.0/32 als destination address hebt staan. Dat lijkt me niet zo handig

Probeer eens met 0.0.0.0/0?

donderdag 30 maart 2023 08:06

Acties:

+1Henk 'm!

TF0

Laagheim schreef op woensdag 29 maart 2023 @ 11:53:
@TF0 Vorig jaar een nieuwe telefoon dus ben toen ook bezig geweest om vpn weer werkend te krijgen.Met deze instructies was het zo gepiept 👍

https://forum.mikrotik.com/viewtopic.php?f=23&t=175656#

Bedankt! Maar dit is toch een iets ander scenario?

@Thralas Bedankt, dat is een goede opmerking waar ik stom over heen heb gekeken

! (kan te maken hebben met het tijdstip waarop ik met de MikroTik werk)
Ik heb deze aangepast naar 0.0.0.0/0 maar het werkte nog steeds niet, ik heb toen logging bekeken van de andere MikroTik en vervolgens een nieuwe policy gemaakt op site B en toen werkte het!

Voor de mensen die interesse hebben, dit zijn de policies die je nodig hebt om twee netwerken met elkaar te verbinden en om het verkeer van een specifiek apparaat het internet op te laten gaan middels de tunnel:
Site A = 192.168.10.0/24
Site B = 192.168.11.0/24
Device = 192.168.10.103/32

Site A:

code:

/ip ipsec policy
add comment="Single client via IPSEC" disabled=yes dst-address=0.0.0.0/0 level=\
    unique peer=NAAM proposal=myproposal src-address=192.168.10.103/32 \
    tunnel=yes
add dst-address=192.168.11.0/24 level=unique peer=NAAM proposal=myproposal \
    src-address=192.168.10.0/24 tunnel=yes

Site B:

code:

1
2
3

/ip ipsec policy
add dst-address=192.168.10.0/24 level=unique peer=NAAM proposal=myproposal src-address=192.168.11.0/24 tunnel=yes
add dst-address=192.168.10.103/32 level=unique peer=NAAM proposal=myproposal src-address=0.0.0.0/0 tunnel=yes

Dan kan ik nu naar de volgende verbetering: verkeer van een specifieke client via Mullvad laten lopen.

Wat is de beste manier hiervoor? Routes, Mangle, NAT, of iets anders? Dan kan ik daarna wel een export draaien.

donderdag 30 maart 2023 15:40

Acties:

+2Henk 'm!

kaaas

cap ax is uit aangekondigd
https://mikrotik.com/product/cap_ax
YouTube: MikroTik product news: cAP ax

[Voor 6% gewijzigd door kaaas op 30-03-2023 15:43]

donderdag 30 maart 2023 16:33

Acties:

0Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

kaaas schreef op donderdag 30 maart 2023 @ 15:40:
cap ax is uit aangekondigd
https://mikrotik.com/product/cap_ax

Leuk voor op een kantoor, maar voor thuis vind ik dat soort "schotel" modellen ondertussen echt achterhaald sinds je dit soort modellen bij de concurrenten kan kopen :
- Ubiquiti UniFi AC In-Wall (per stuk)
- TP-Link EAP615-WALL

Hopelijk komen ze ook met zoiets, want de concurrenten missen wat opties en dan vooral aan de kant van de Switch IMHO

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 31 maart 2023 14:22

Acties:

+1Henk 'm!

TF0

TF0 schreef op donderdag 30 maart 2023 @ 08:06:
[...]
Dan kan ik nu naar de volgende verbetering: verkeer van een specifieke client via Mullvad laten lopen.

Wat is de beste manier hiervoor? Routes, Mangle, NAT, of iets anders? Dan kan ik daarna wel een export draaien.

Dit werkt als je de /24 vervangt door bijvoorbeeld 192.168.10.102./32 (volg wel de Mullvad Wireguard setup):

code:

/interface wireguard add listen-port=51820 name=wireguard-inet private-key="xxx" comment="Internet through WireGuard commercial VPN provider"
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=xxx.xxx.xxx.xxx endpoint-port=51820 interface=wireguard-inet persistent-keepalive=25m \
    preshared-key="xxx" public-key="xxx" comment="Internet through WireGuard commercial VPN provider"
/interface list member add interface=wireguard-inet list=WAN comment="Internet through WireGuard commercial VPN provider"
###
/ip address add address=xxx.xxx.xxx.xxx/32 interface=wireguard-inet comment="Internet through WireGuard commercial VPN provider"
/routing table add name=wireguard-wan fib comment="Internet through WireGuard commercial VPN provider"
/ip route add dst-address=0.0.0.0/0 gateway=wireguard-inet routing-table=wireguard-wan comment="Internet through WireGuard commercial VPN provider"
# xxx.xxx.xxx.xxx/24 replace to your local network
/routing rule add action=lookup src-address=192.168.xxx.0/24 table=wireguard-wan comment="Internet through WireGuard commercial VPN provider"
# Add connection speed limit if CPU load 100%, depends from mikrotik hardware
# /queue simple add max-limit=0/4500k name=queue-vpn target=wireguard-inet
# Add DNS from VPN service
/ip/dhcp-server/network/set dns-server=10.xxx.0.1 0
# Need to reconnect your device(PC, PHONE) for receive new DNS server from router

Bron: https://forum.mikrotik.com/viewtopic.php?t=184767
En waarbij de laatste regel gewoon naar 192.168.10.1 kan verwijzen (in mijn geval de MikroTik router).

Nu heb ik via Opdrachten in iOS een twee-keuze menu gemaakt om de /routing/rule enable/disable te doen waarmee ik snel via Mullvad naar het buitenland kan gaan om daar TV te kijken zonder dat me dat batterijduur of een extra Wireguard key kost (je krijgt er maar 5)

.

SSH code in Opdrachten voor de geïnteresseerden:

code:

1 2	/routing/rule/enable numbers=0 /routing/rule/disable numbers=0

Waarbij 0 het id is van de routeringsregel.
Ik heb er ook één voor een andere client en daar geldt 'numbers=1'.

Was allemaal eigenlijk niet nodig (geen gebrek aan Wireguard keys + batterij is wel OK van de tablet), maar wel leuk om te doen, gewoon omdat het kán.

De IPSEC tunnel gebruik ik voor de Apple TV waarmee we Netflix kijken waar ik geen dev account voor heb, als je begrijpt wat ik bedoel

.

Ik heb vooralsnog wat ik wil, bedankt voor het lezen en meedenken!

vrijdag 31 maart 2023 17:38

Acties:

+1Henk 'm!

Pasc66

Zojuist RouterOs 7.9rc1 geinstalleerd maar het is dus nog steeds een no-go met de delta sfp adapters. Heel teleurstellend.

Bijgaand het interface waar ik dus (na het plaatsen van de sfp adapter) de bridge heb omgezet van ether8 naar sfpplus. Er was vervolgens geen enkele traffic waar te nemen.

[Voor 18% gewijzigd door Pasc66 op 31-03-2023 17:40]

vrijdag 31 maart 2023 17:40

Acties:

+1Henk 'm!

jvanhambelgium

Pasc66 schreef op vrijdag 31 maart 2023 @ 17:38:
Zojuist RouterOs 7.9rc1 geinstalleerd maar het is dus nog steeds een no-go met de delta sfp adapters. Heel teleurstellend.

Het lijkt alsof de helft van de zozeged "fixed" zaken helemaal niet fixed zijn als je de MT-fora wat in het oog houd.

Wat doen die mannen toch van quality-control voor ze weer eens een release pushen ?

vrijdag 31 maart 2023 17:43

Acties:

+2Henk 'm!

Pasc66

Ik denk dat ze flink last hebben van personeelstekort samen met de migratie naar een nieuwe plaform (ARM64). Gelukkig doet het met een tp-link media converter prima maar irritant is het wel.

Ik wacht rustig af - ben nu een config aan het ontwikkelen voor thuis met vlans, radius en parental controls... die ga ik later nog wel delen.

vrijdag 31 maart 2023 19:25

Acties:

+2Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

jvanhambelgium schreef op vrijdag 31 maart 2023 @ 17:40:
Wat doen die mannen toch van quality-control voor ze weer eens een release pushen ?

Inderdaad! Het lijkt Ubiquiti wel!

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zaterdag 1 april 2023 10:54

Acties:

+5Henk 'm!

Pasc66

Inderdaad - maar ik denk ook dat we Mikrotik zoveel mogelijk moeten steunen - het is een van de weinige europese fabrikanten van netwerk apparatuur en het is ons eigen belang dat ze niet ten onder gaan tov de ZTE/Huawei/Xiaomi ed.

zaterdag 1 april 2023 11:34

Acties:

+1Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi

Pasc66 schreef op vrijdag 31 maart 2023 @ 17:38:
Zojuist RouterOs 7.9rc1 geinstalleerd maar het is dus nog steeds een no-go met de delta sfp adapters. Heel teleurstellend.

Bedoel je de SFP die in de Genexis zit?
Welke is dat exact?
Hoe heb je de werking exact gecontroleerd?

nero355 schreef op vrijdag 31 maart 2023 @ 19:25:
Inderdaad! Het lijkt Ubiquiti wel!

Maar goed dat je een smiley toe hebt gevoegd...de bedrijven zijn, afgezien van het marktsegment, nogal...verschillend

Eerst het probleem, dan de oplossing

zaterdag 1 april 2023 13:33

Acties:

0Henk 'm!

Pasc66

Nee ik bedoel de fs.com adapter die ik wel werkend in de hexS en tp-link media converter heb. Van het delta modem en bijbehorende adapter blijf ik af ivm seal/sticker (geen zin om later een onzinrekening te krijgen).

Ik zal vanavond een supout.rif export maken en mikrotik vragen wel adapter het dan wel zou moeten doen…

zaterdag 1 april 2023 13:36

Acties:

0Henk 'm!

lolgast

Pasc66 schreef op zaterdag 1 april 2023 @ 13:33:
Nee ik bedoel de fs.com adapter die ik wel werkend in de hexS en tp-link media converter heb. Van het delta modem en bijbehorende adapter blijf ik af ivm seal/sticker (geen zin om later een onzinrekening te krijgen).

Ik zal vanavond een supout.rif export maken en mikrotik vragen wel adapter het dan wel zou moeten doen…

Mijn SFP module van FS werkt probleemloos in een RB4011 op ROS 7.8

Nvm, dat is gewoon ARM

[Voor 3% gewijzigd door lolgast op 01-04-2023 13:38]

zaterdag 1 april 2023 16:27

Acties:

+1Henk 'm!

jvanhambelgium

Pasc66 schreef op zaterdag 1 april 2023 @ 10:54:
Inderdaad - maar ik denk ook dat we Mikrotik zoveel mogelijk moeten steunen - het is een van de weinige europese fabrikanten van netwerk apparatuur en het is ons eigen belang dat ze niet ten onder gaan tov de ZTE/Huawei/Xiaomi ed.

Een Mikrotik kan je natuurlijk niet vergelijken met ZTE/Huawei. Da's zo'n beetje de lokale kruidenier vergelijken met de grootste shopping-malls die je kan vinden...

ZTE = 80.000 medewerkers
Huawei = 192.000 medewerkers, 107.000 in R&D !!
Mikrotik = +- 300 medewerkers, geen idee hoeveel er daadwerkelijk in R&D/DEV zitten.

Gelukkig hebben we de Nokia/Ericsson nog in "Europa" en deze jongens moet je eerder vergelijken met eerder genoemde Sjinezen.
Ons (vast) core netwerk "TITAN" is allesinds "Europeesch" en met Nokia opgezet. We waren een van de eerste operatoren in de wereld die de Nokia Multi-Terabit routers SR-14 in gebruik genomen heeft.

zaterdag 1 april 2023 17:43

Acties:

0Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Access points
Modems en routers

lier schreef op zaterdag 1 april 2023 @ 11:34:
Maar goed dat je een smiley toe hebt gevoegd...de bedrijven zijn, afgezien van het marktsegment, nogal...verschillend

Ik zie alleen maar steeds meer bedrijven die een slechte Quality Control hebben en dan heb ik het niet alleen over netwerkapparatuur...

Pasc66 schreef op zaterdag 1 april 2023 @ 10:54:
Inderdaad - maar ik denk ook dat we Mikrotik zoveel mogelijk moeten steunen - het is een van de weinige europese fabrikanten van netwerk apparatuur en het is ons eigen belang dat ze niet ten onder gaan tov de ZTE/Huawei/Xiaomi ed.

Ik zie Estland/Letland/Litouwen meer als Oost Europees dan echt "Core Europees" zeg maar dus ik vraag me af hoeveel dat wel of niet toevoegt aan Europa als geheel

Niet dat ik de EU zo geweldig vind of zo, maar als je het over dat soort dingen hebt dan zijn er grotere landen en bedrijven die IMHO belangrijker zijn als je het op die manier bekijkt

Pasc66 schreef op zaterdag 1 april 2023 @ 13:33:
Nee ik bedoel de fs.com adapter die ik wel werkend in de hexS en tp-link media converter heb.
Van het delta modem en bijbehorende adapter blijf ik af ivm seal/sticker (geen zin om later een onzinrekening te krijgen).

Heb je het over dat rode ding om de SFP heen bij een Genexis 7840

Die kan je gerust slopen :
- Wordt soms door hun monteurs gesloopt!
- Er zijn enkele voorbeelden van ex-klanten die ondanks het slopen ervan geen rekening of iets hebben ontvangen

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zaterdag 1 april 2023 19:16

Acties:

0Henk 'm!

Pasc66

Ik ben ook niet zo heel erg fan van de politieke EU maar we moeten ergens beginnen..anders maken we geen schijn van kans tov de amerikanen en chinese toko’s. MT is wellicht niet ideaal maar desondanks de moeite waard om te behouden / te laten groeien naast de ericssons van deze wereld.
Wat de chinese telco betreft: er zit ontzettend veel kennis en ze maken mooie spullen, maar de manier van zaken doen past hier niet helemaal en we lopen het risico dan ook de ericssons ed kwijt te raken als je niet goed uitkijkt mbt level playing field ed (ik heb voor zo’n chinese telco gewerkt en wil/kan er niet teveel over uitweiden).

zondag 2 april 2023 07:36

Acties:

+1Henk 'm!

Me_dusa

Red een boom, eet een bever!

Ik heb een fs.com module SFP-GE-BX zonder issues werken op hmm de glasaansluiting van Reggefiber die weinig eisen stelt. In een RB5009.

Me_dusa

zondag 2 april 2023 10:02

Acties:

0Henk 'm!

Pasc66

Me_dusa schreef op zondag 2 april 2023 @ 07:36:
Ik heb een fs.com module SFP-GE-BX zonder issues werken op hmm de glasaansluiting van Reggefiber die weinig eisen stelt. In een RB5009.

Interessant - zou je voor mij misschien het exacte type kunnen posten en wanneer je hem ongeveer gekocht hebt? Er zijn namelijk gebruikers die hetzelfde probleem ervaren en wellicht zijn deze ermee geholpen.

Ik vermoed dat je onderstaande hebt - klopt dat?

https://www.fs.com/products/39143.html

[Voor 14% gewijzigd door Pasc66 op 02-04-2023 11:07]

zondag 2 april 2023 18:36

Acties:

+1Henk 'm!

Me_dusa

Red een boom, eet een bever!

Pasc66 schreef op zondag 2 april 2023 @ 10:02:
[...]

Interessant - zou je voor mij misschien het exacte type kunnen posten en wanneer je hem ongeveer gekocht hebt? Er zijn namelijk gebruikers die hetzelfde probleem ervaren en wellicht zijn deze ermee geholpen.

Ik vermoed dat je onderstaande hebt - klopt dat?

https://www.fs.com/products/39143.html

Natuurlijk kan ik even kijken. Nou het is m bijna, wel specs alleen dan Generic ipv Cisco Compatible. Heeft een ander #nr maar voor de rest zelfde.

Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 20km DOM Simplex LC SMF Transceiver Module #75343

FS P/N: SFP-GE-BX

Me_dusa

zondag 2 april 2023 19:51

Acties:

+2Henk 'm!

Pasc66

Me_dusa schreef op zondag 2 april 2023 @ 18:36:
[...]

Natuurlijk kan ik even kijken. Nou het is m bijna, wel specs alleen dan Generic ipv Cisco Compatible. Heeft een ander #nr maar voor de rest zelfde.

Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 20km DOM Simplex LC SMF Transceiver Module #75343

FS P/N: SFP-GE-BX

super - dankjewel - ik ga ermee aan de slag en laat het resultaat weten.

(ik heb overigens https://www.fs.com/de-en/products/75339.html)

bijzonder - ik heb dus dezelfde module alleen dan voor 10km. Die van jou is 20km range.

Nu moet ik sowieso een paar van die modules + fiber aanschaffen dus ik ga gewoon een nieuwe bestellen :-)

[Voor 21% gewijzigd door Pasc66 op 02-04-2023 19:56]

maandag 3 april 2023 14:21

Acties:

+1Henk 'm!

orvintax

www.fab1an.dev

nero355 schreef op donderdag 30 maart 2023 @ 16:33:
[...]

Leuk voor op een kantoor, maar voor thuis vind ik dat soort "schotel" modellen ondertussen echt achterhaald sinds je dit soort modellen bij de concurrenten kan kopen :
- Ubiquiti UniFi AC In-Wall (per stuk)
- TP-Link EAP615-WALL

Hopelijk komen ze ook met zoiets, want de concurrenten missen wat opties en dan vooral aan de kant van de Switch IMHO

Toch ben ik er persoonlijk wel blij mee. Die Unifi "schotel" modellen verkopen toch ook als warme broodjes en MT is toch wel meer op de zakelijkere markt gericht dan Unifi naar mijn mening. Dus dat zou dan ook al beter passen.

https://dontasktoask.com/

maandag 3 april 2023 18:37

Acties:

+1Henk 'm!

Pasc66

Net een 20km 1310/1490nm (ipv 1310/1550nm) bidi in de rb5009upr gedaan - doet het nog steeds niet. Erg vreemd (wel Tx, geen Rx).
De 1310/1490 doet het wel in de to-link media converter

maandag 3 april 2023 20:40

Acties:

+1Henk 'm!

mbovenka

Je hebt de speed & duplex wel vastgezet? Optische SFPs werken niet met autonegotiation in een SFP+ cage.

Been there, done that.

[Voor 11% gewijzigd door mbovenka op 03-04-2023 20:40]

dinsdag 4 april 2023 11:18

Acties:

+1Henk 'm!

Pasc66

Jazeker - speed op 1GBps gezet en duplex ook aangevinkt. Getest met zowel tx/rx flow contral aan en uit.

zou het misschien aan dit specifieke model kunnen liggen? Ik heb de RB5009UPr+S+IN

Hieronder de screenshots van de configuraties en stats

dinsdag 4 april 2023 11:51

Acties:

+1Henk 'm!

DJP!

Welke revisie firmware draait er? Bij mij werkte de SFP poort ook niet meer met de laatste normale release. Ik zit nu tijdelijk op een RC versie waarin dit gerepareerd is.

Onderwerpen

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden