[MikroTik-apparatuur] Ervaringen & Discussie

zaterdag 20 mei 2023 14:21

Acties:

0 Henk 'm!

CFMoto 650MT

Thralas schreef op zaterdag 20 mei 2023 @ 13:19:
Je 2.4 GHz config staat op 20/40 MHz. Dat is een doodzonde voor enigszins bruikbare 2.4 GHz. Zet die eens op 20 MHz.

Eventueel kun je de frequentie vastzetten op 1/6/11 (2412/2437/2462 MHz) en met een ander apparaat controleren welke het ~beste werkt (ping naar de router, kanaal zonder loss of rare uitschieters kiezen).

En ook voor die printer geldt: het aantal balkjes is niet meer dan een indicatie van de received signal strength, dat zegt niets over de bruikbaarheid van het kanaal (helemaal op 2.4 GHz).

Dank je. Naar die 20Mhz zetten maakt niks uit voor dat rapport wat ie maakt. Ik laat het erbij want het werkt.
Maar blijf apart vinden dat de WiFi overall zoveel minder schijnt te zijn dan mijn oude Netgear R7000. Voor de rest is die MikroTik superieur dus verder erg tevreden over.

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

zondag 21 mei 2023 00:31

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

MrMarcie schreef op zaterdag 20 mei 2023 @ 14:21:
Maar blijf apart vinden dat de WiFi overall zoveel minder schijnt te zijn dan mijn oude Netgear R7000.

Waarom zet je die dan niet in als extra Accesspoint nu die toch overbodig is ??

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zondag 21 mei 2023 17:40

Acties:

0 Henk 'm!

MrMarcie

CFMoto 650MT

nero355 schreef op zondag 21 mei 2023 @ 00:31:
[...]

Waarom zet je die dan niet in als extra Accesspoint nu die toch overbodig is ??

Omdat de insteek is om zo min mogelijk apparaten te hebben en zo min mogelijk stroom te gebruiken.

[ Voor 6% gewijzigd door MrMarcie op 21-05-2023 17:41 ]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

maandag 22 mei 2023 20:07

Acties:

+4 Henk 'm!

Freeaqingme

https://blog.mikrotik.com/security/cve-2023-32154.html

What this issue affects: The issue affects devices running MikroTik RouterOS versions v6.xx and v7.xx with enabled IPv6 advertisement receiver functionality. You are only affected if one of the below settings is applied:

ipv6/settings/ set accept-router-advertisements=yes

or

ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled
If the above settings are not set up like in the example, you are not affected. Note that the vulnerable setting combination is not normally found in routers and is rarely used.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 22 mei 2023 20:34

Acties:

+2 Henk 'm!

mukky

Freeaqingme schreef op maandag 22 mei 2023 @ 20:07:
https://blog.mikrotik.com/security/cve-2023-32154.html

[...]

Dank, dit stond bij mij wel aan en ik kan me niet voorstellen dat ik dit zo zelf had ingesteld. Weet ook niet of ik het nodig heb voor IPv6 tbh

dinsdag 23 mei 2023 09:27

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Voor de liefhebbers...

download: RouterOS 7.9.1

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

woensdag 24 mei 2023 13:45

Acties:

0 Henk 'm!

SpikeHome

Gisteren is mijn glas aansluiting gemaakt helaas nog niet werkend (gelukkig ziggo nog niet opgezegd).
Nu wil ik me in de hardware verdiepen.
Ik gebruik nu een 2011 die is te traag voor 1gb maar kan deze natuurlijk wel al inzetten.
Alleen ik wil direct op het glas zodat ik het nt1 niet nodig heb,

Wat heb ik daarvoor nodig en kan een RB4011iGS+5HacQ2HnD-IN ook dezelfde kabel gebruiken?

hieronder mijn glas aansluiting zonder de cover box (nt1)

Afbeeldingslocatie: https://tweakers.net/i/g9e2SGbRdTkWsekdas7pv1KoP_g=/x800/filters:strip_icc():strip_exif()/f/image/Pdg3MBZ3N84qSh2l5lJwr0T4.jpg?f=fotoalbum_large

Hier zie je de aansluiting die in de coverbox zit.

Afbeeldingslocatie: https://tweakers.net/i/6r883y_XQw1nSG2c_GWhC2xRkOg=/800x/filters:strip_icc():strip_exif()/f/image/Jo7x1YLJ3iNHN8lh88kctLX5.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/5vHBhwF_7g2Sc6yVoX7CtLI7vCg=/x800/filters:strip_icc():strip_exif()/f/image/F8V4AomxYz3XZ5s205qq258U.jpg?f=fotoalbum_large

woensdag 24 mei 2023 13:54

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Je hebt een SFP nodig in je router, deze is uitwisselbaar. FS.com levert ze voor redelijke prijzen (net als de kabels. Ihkv kabels, je hebt single mode LC-SC nodig:
https://www.fs.com/de-en/...&page=1&connector-b=24139

Hier heb ik een tijd geleden een stukje over geschreven voor Caiway/Delta:
https://gathering.tweakers.net/forum/view_message/62663644

[ Voor 13% gewijzigd door lier op 24-05-2023 13:55 ]

Eerst het probleem, dan de oplossing

woensdag 24 mei 2023 13:55

Acties:

+2 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

SpikeHome schreef op woensdag 24 mei 2023 @ 13:45:
Gisteren is mijn glas aansluiting gemaakt helaas nog niet werkend (gelukkig ziggo nog niet opgezegd).
Nu wil ik me in de hardware verdiepen.
Ik gebruik nu een 2011 die is te traag voor 1gb maar kan deze natuurlijk wel al inzetten.
Alleen ik wil direct op het glas zodat ik het nt1 niet nodig heb,

Grote kans dat je dat niet kan doen, want de nieuwste aansluitingen zijn altijd XGS-PON en dan heb je gewoon een losse ONT nodig die je gelukkig sowieso van KPN krijgt!

Hier zie je de aansluiting die in de coverbox zit.
[Afbeelding]

[Afbeelding]

Kijk uit dat er geen stof in de aansluiting komt en je straks allerlei vage problemen krijgt als die niet eerst wordt schoongemaakt VOORDAT de rest van de apparatuur erop wordt aangesloten!

lier schreef op woensdag 24 mei 2023 @ 13:54:
Je hebt een SFP nodig in je router, deze is uitwisselbaar. FS.com levert ze voor redelijke prijzen (net als de kabels. Ihkv kabels, je hebt single mode LC-SC nodig:
https://www.fs.com/de-en/...&page=1&connector-b=24139

Hier heb ik een tijd geleden een stukje over geschreven voor Caiway/Delta:
https://gathering.tweakers.net/forum/view_message/62663644

Je kan ook gewoon zo ernaar linken : lier in "[Caiway glasvezel] Ervaringen & Discussie"

Maar ik gok dus dat hij geen AON aansluiting krijgt...

[ Voor 20% gewijzigd door nero355 op 24-05-2023 13:57 ]

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

woensdag 24 mei 2023 14:04

Acties:

0 Henk 'm!

SpikeHome

lier schreef op woensdag 24 mei 2023 @ 13:54:
Je hebt een SFP nodig in je router, deze is uitwisselbaar. FS.com levert ze voor redelijke prijzen (net als de kabels. Ihkv kabels, je hebt single mode LC-SC nodig:
https://www.fs.com/de-en/...&page=1&connector-b=24139

Hier heb ik een tijd geleden een stukje over geschreven voor Caiway/Delta:
https://gathering.tweakers.net/forum/view_message/62663644

Ok even kijken welke sfp ik nodig heb en de kabel
Dat stuk ga ik nog wel even doorlezen

nero355 schreef op woensdag 24 mei 2023 @ 13:55:
Kijk uit dat er geen stof in de aansluiting komt en je straks allerlei vage problemen krijgt als die niet eerst wordt schoongemaakt VOORDAT de rest van de apparatuur erop wordt aangesloten!

De box zit er nu gewoon overheen hoor.
En 2 juni komt de monteur om te kijken waarom het niet werkt.

nero355 schreef op woensdag 24 mei 2023 @ 13:55:
Maar ik gok dus dat hij geen AON aansluiting krijgt...

Hoe kan je dat zien dan?
Woon in Nijmegen las dat daar nog AON werd opgeleverd.

[ Voor 31% gewijzigd door SpikeHome op 24-05-2023 14:08 ]

woensdag 24 mei 2023 17:38

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

SpikeHome schreef op woensdag 24 mei 2023 @ 14:04:
Hoe kan je dat zien dan?
Woon in Nijmegen las dat daar nog AON werd opgeleverd.

Je schreef :

SpikeHome schreef op woensdag 24 mei 2023 @ 13:45:
Gisteren is mijn glas aansluiting gemaakt helaas nog niet werkend (gelukkig ziggo nog niet opgezegd).

Dat kwam bij mij over alsof het net is aangelegd in de wijk

Als dat niet zo is en de FTU al enkele jaren aanwezig was dan heb je uiteraard weer wel kans op een AON aansluiting

Hoe dan ook : Niks kopen totdat de lijn door KPN is opgeleverd en met hun apparatuur werkend is aangesloten!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

woensdag 24 mei 2023 17:51

Acties:

+2 Henk 'm!

sjaak88

nero355 schreef op woensdag 24 mei 2023 @ 17:38:
[...]

Je schreef :

[...]

Dat kwam bij mij over alsof het net is aangelegd in de wijk

Als dat niet zo is en de FTU al enkele jaren aanwezig was dan heb je uiteraard weer wel kans op een AON aansluiting

Hoe dan ook : Niks kopen totdat de lijn door KPN is opgeleverd en met hun apparatuur werkend is aangesloten!

Het is heel simpel, heb je een alarm lampje of niet op je zwarte NT? Wel alarm is XGS, anders zit je op AON.

SpikeHome schreef op woensdag 24 mei 2023 @ 13:45:
Gisteren is mijn glas aansluiting gemaakt helaas nog niet werkend (gelukkig ziggo nog niet opgezegd).
Nu wil ik me in de hardware verdiepen.
Ik gebruik nu een 2011 die is te traag voor 1gb maar kan deze natuurlijk wel al inzetten.
Alleen ik wil direct op het glas zodat ik het nt1 niet nodig heb,

Wat heb ik daarvoor nodig en kan een RB4011iGS+5HacQ2HnD-IN ook dezelfde kabel gebruiken?

hieronder mijn glas aansluiting zonder de cover box (nt1)
[Afbeelding]

Hier zie je de aansluiting die in de coverbox zit.
[Afbeelding]

[Afbeelding]

Volgens mij kan je met je 2011 ook de 1gig aan, als ik het met mijn Hex lukte, dan moet dat ook met die van jou lukken! Je moet dan wel fasttrack aanzetten.

[ Voor 57% gewijzigd door sjaak88 op 24-05-2023 17:53 ]

woensdag 24 mei 2023 19:36

Acties:

+1 Henk 'm!

kaaas

@sjaak88 wat bedoel je met een alarm lampje? Ik heb xgspon maar ik heb geen lampje voor ver ik weet!

woensdag 24 mei 2023 19:41

Acties:

+1 Henk 'm!

sjaak88

kaaas schreef op woensdag 24 mei 2023 @ 19:36:
@sjaak88 wat bedoel je met een alarm lampje? Ik heb xgspon maar ik heb geen lampje voor ver ik weet!

Er zijn 2 soorten van die zwarte NT op de foto. Ze lijken heel erg op elkaar maar 1tje is voor AON en de andere voor XGSPON.
Als je bij het onderste lampje Alarm ziet staan dan is het PON en anders staat er Ethernet en dat is AON.

Het alarm lampje moet natuurlijk uitstaan.

[ Voor 4% gewijzigd door sjaak88 op 24-05-2023 19:42 ]

woensdag 24 mei 2023 19:48

Acties:

0 Henk 'm!

kaaas

Sorry ik had niet goed gelezen ik heb een witte.

woensdag 24 mei 2023 19:50

Acties:

+1 Henk 'm!

sjaak88

kaaas schreef op woensdag 24 mei 2023 @ 19:48:
Sorry ik had niet goed gelezen ik heb een witte.

Dan zit je sowieso op AON

Alleen PON heeft alarm lampjes, AON altijd een ethernet lampje als 3e.
Mits je bij KPN zit, misschien hebben andere aanbieders wel witte XGSPON kastjes.

[ Voor 13% gewijzigd door sjaak88 op 24-05-2023 19:51 ]

woensdag 24 mei 2023 20:04

Acties:

+2 Henk 'm!

kaaas

Ik heb een zte zxhn3100 ik ben er eigenlijk altijd van uit gegaan dat het xgs-pon was omdat het recent aangelegd is. Maar nu ik er op zoek lijkt het inderdaad aon te zijn

vet dan ga ik een sfp module in mijn router duwen. Thanks!

woensdag 24 mei 2023 20:04

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

sjaak88 schreef op woensdag 24 mei 2023 @ 17:51:
Volgens mij kan je met je 2011 ook de 1gig aan, als ik het met mijn Hex lukte, dan moet dat ook met die van jou lukken! Je moet dan wel fasttrack aanzetten.

De 2011 komt nog een eind met FastTrack (IPv4 only), maar de gigabit gaat 'ie absoluut niet redden. hEX is sneller.

woensdag 24 mei 2023 20:21

Acties:

+1 Henk 'm!

Yarisken

Thralas schreef op woensdag 24 mei 2023 @ 20:04:
[...]

De 2011 komt nog een eind met FastTrack (IPv4 only), maar de gigabit gaat 'ie absoluut niet redden. hEX is sneller.

Ik kan dat beamen. Ik kreeg geen het ook niet getrokken met mijn 2011.
Kwam rond de 800 - 850 Mbs uit.

woensdag 24 mei 2023 20:54

Acties:

+1 Henk 'm!

sjaak88

Ik dacht dat de 2011 sneller zou zijn dan de Hex, my bad.

woensdag 24 mei 2023 21:35

Acties:

+1 Henk 'm!

SpikeHome

@nero355
De wijk is inderdaad paar jaar geleden aangelegd, maar bij mij lag deze nog onder de stoep en is de kabel van de week naar binnen gebracht en de nt1 gemonteerde.

@sjaak88 ik heb 3 ledjes
Bovenste groen (power)
Onderste rood (alarm)
Middelste (connection) doet het nog niet omdat de aansluiting nog niet werkt, maar zou volgens de kabel monteurs groen moeten worden.

woensdag 24 mei 2023 22:04

Acties:

+1 Henk 'm!

sjaak88

SpikeHome schreef op woensdag 24 mei 2023 @ 21:35:
@nero355
De wijk is inderdaad paar jaar geleden aangelegd, maar bij mij lag deze nog onder de stoep en is de kabel van de week naar binnen gebracht en de nt1 gemonteerde.

@sjaak88 ik heb 3 ledjes
Bovenste groen (power)
Onderste rood (alarm)
Middelste (connection) doet het nog niet omdat de aansluiting nog niet werkt, maar zou volgens de kabel monteurs groen moeten worden.

Dan zit je op XGSPON. Naar mijn weten zijn daar nog geen werkende SFP modules voor, of in ieder geval is het een stuk lastiger dan met AON helaas.

donderdag 25 mei 2023 07:34

Acties:

0 Henk 'm!

SpikeHome

sjaak88 schreef op woensdag 24 mei 2023 @ 22:04:
[...]

Dan zit je op XGSPON. Naar mijn weten zijn daar nog geen werkende SFP modules voor, of in ieder geval is het een stuk lastiger dan met AON helaas.

tnx helaas
zag wel dat de fritzbox dat wel heeft, maar daar kan je niet zoveel mee als met een mikrotik

edit:
ik vind een ander topic iemand die deze module heeft gevonden:
https://www.fs.com/de-en/...?attribute=8084&id=383283

zou die werken in een 2011 en later in de 4011

[ Voor 20% gewijzigd door SpikeHome op 25-05-2023 08:18 ]

donderdag 25 mei 2023 11:21

Acties:

0 Henk 'm!

MrMarcie

CFMoto 650MT

Wat is het voordeel van een SPF module t.o.v. een LAN kabel? Je haalt daar ook makkelijk 1G mee en je hoeft geen extra kosten te maken. En stroomtechnisch maakt het volgens mij ook niet uit. Of mis ik iets?

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

donderdag 25 mei 2023 11:36

Acties:

+5 Henk 'm!

mukky

MrMarcie schreef op donderdag 25 mei 2023 @ 11:21:
Wat is het voordeel van een SPF module t.o.v. een LAN kabel? Je haalt daar ook makkelijk 1G mee en je hoeft geen extra kosten te maken. En stroomtechnisch maakt het volgens mij ook niet uit. Of mis ik iets?

Functioneel maakt het niets uit, je haalt jezelf mogelijk ellende op de hals als je in een passief netwerk een eigen ONT wilt gebruiken en de instellingen van dat netwerk worden veranderd. Dat gezegd hebbende is het voor Tweakers natuurlijk leuk om de immer groeiende stapel hardware in je meterkast te consolideren

Ik heb een GPON netwerk van E-Fiber met een Huawei ONT aangesloten op een MikroTik HAP ax3. Werkt prima

donderdag 25 mei 2023 11:44

Acties:

0 Henk 'm!

MrMarcie

CFMoto 650MT

mukky schreef op donderdag 25 mei 2023 @ 11:36:
[...]

Functioneel maakt het niets uit, je haalt jezelf mogelijk ellende op de hals als je in een passief netwerk een eigen ONT wilt gebruiken en de instellingen van dat netwerk worden veranderd. Dat gezegd hebbende is het voor Tweakers natuurlijk leuk om de immer groeiende stapel hardware in je meterkast te consolideren

Ik heb een GPON netwerk van E-Fiber met een Huawei ONT aangesloten op een MikroTik HAP ax3. Werkt prima

Clear. Tweaken is leuk. Heb ook een MikroTik hAP ax3 aangesloten met LAN op die ONT. Werkt super. Maar dat SPF wacht ik wel mee. Ik heb liever een device minder dat stroom gebruikt. Maar dat kan dus helaas nog niet.

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

donderdag 25 mei 2023 13:50

Acties:

0 Henk 'm!

SpikeHome

@MrMarcie ja misschien is het inderdaad wel beter om even te wachten met een spf.
Ga gewoon starten met een 2011 daarvan heb ik er nog 1tje liggen, config maken tot t werkt en dan 4011 bestellen om de config daarop te zetten.
Dat zal toch zo 1 op 1 werken?

donderdag 25 mei 2023 13:54

Acties:

+2 Henk 'm!

mukky

MrMarcie schreef op donderdag 25 mei 2023 @ 11:44:
[...]

Clear. Tweaken is leuk. Heb ook een MikroTik hAP ax3 aangesloten met LAN op die ONT. Werkt super. Maar dat SPF wacht ik wel mee. Ik heb liever een device minder dat stroom gebruikt. Maar dat kan dus helaas nog niet.

Een SPF verbruikt stroom, of-ie nu in een ONT zit of in een router. Er zal zeker wat verlies zijn met 2 voedingen maar of dat nou zoveel is...

donderdag 25 mei 2023 14:27

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Een actief component dat door de provider gemanaged wordt in huis...ik ben voor de SFP gegaan.

Eerst het probleem, dan de oplossing

donderdag 25 mei 2023 14:30

Acties:

0 Henk 'm!

mukky

lier schreef op donderdag 25 mei 2023 @ 14:27:
Een actief component dat door de provider gemanaged wordt in huis...ik ben voor de SFP gegaan.

Ik dacht dat de ONT van de belichter was en niet van de provider?

donderdag 25 mei 2023 14:32

Acties:

+2 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

SpikeHome schreef op donderdag 25 mei 2023 @ 07:34:
tnx helaas
zag wel dat de fritzbox dat wel heeft, maar daar kan je niet zoveel mee als met een mikrotik

Dat is inderdaad sowieso rommel voor consumenten!

edit:
ik vind een ander topic iemand die deze module heeft gevonden:
https://www.fs.com/de-en/...?attribute=8084&id=383283

zou die werken in een 2011 en later in de 4011

Dat is geen ONT en heb je dus niks aan!

De enige module die misschien zou kunnen werken kost op dit moment iets van € 400+ en is dus eigenlijk totaal niet interessant voor de meesten van ons...

Voor een heleboel info omtrent dit hele gedoe kan je rondkijken/lezen/searchen in :
- [KPN WBA] Ervaringen XGS.PON direct op glas (zonder NTU/ONT)
- [Delta glasvezel] Eigen router installeren

MrMarcie schreef op donderdag 25 mei 2023 @ 11:21:
Wat is het voordeel van een SPF module t.o.v. een LAN kabel?

Je geeft zelf al het antwoord :

MrMarcie schreef op donderdag 25 mei 2023 @ 11:44:
Ik heb liever een device minder dat stroom gebruikt.

En stroomtechnisch maakt het volgens mij ook niet uit.

mukky schreef op donderdag 25 mei 2023 @ 13:54:
Een SPF verbruikt stroom, of-ie nu in een ONT zit of in een router.
Er zal zeker wat verlies zijn met 2 voedingen maar of dat nou zoveel is...

Minder is gewoon beter IMHO maar als ik KPN zou hebben of Delta maar dan niet via Delta zelf dan zou ik gewoon lekker die Genexis/Nokia ONT al het werk laten doen!

mukky schreef op donderdag 25 mei 2023 @ 11:36:
Functioneel maakt het niets uit, je haalt jezelf mogelijk ellende op de hals als je in een passief netwerk een eigen ONT wilt gebruiken en de instellingen van dat netwerk worden veranderd.

Als je een eigen ONT hebt op het Delta netwerk dan wordt die in feite door je ISP onderhouden en zal dus altijd de juiste instellingen krijgen!

Dat het nog steeds een beetje een puinhoop is bij Delta qua opzet van het geheel is een ander verhaal...

mukky schreef op donderdag 25 mei 2023 @ 14:30:
Ik dacht dat de ONT van de belichter was en niet van de provider?

Nee dus

Ik heb een GPON netwerk van E-Fiber met een Huawei ONT aangesloten op een MikroTik HAP ax3.
Werkt prima

Voor GPON is er wel een oplossing i.c.m. MikroTik en staat ergens in dit topic genoemd!

[ Voor 3% gewijzigd door nero355 op 25-05-2023 14:34 ]

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 25 mei 2023 15:23

Acties:

0 Henk 'm!

superyupkent

Ik heb hier al ruim 3 jaar de glaskabel rechtreeks in mijn switch zitten. Geen enkel probleem. Je moet inderdaad wel eerst goed de kabels uitzoeken en de SPF module. En natuurlijk niet op een xGPON netwerk zitten.

Het is op zich nergens voor nodig maar staat wel netter

donderdag 25 mei 2023 15:42

Acties:

+6 Henk 'm!

EnigmA-X

Samengevat: heb je AON, dan kan je de ONT er makkelijk uitlaten. Ik doe het ook (al jaren).

Verder nog een vraag: ben ik de enige die me helemaal scheel zit te irriteren aan de posts waarin gesproken wordt over SPF in plaats van SFP?

Mensen, in de context van mikrotik gaat het over een SFP transceiver: small formfactor pluggable transceiver.

Dank u

donderdag 25 mei 2023 16:23

Acties:

+2 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

superyupkent schreef op donderdag 25 mei 2023 @ 15:23:
Ik heb hier al ruim 3 jaar de glaskabel rechtreeks in mijn switch zitten. Geen enkel probleem.

Eigenlijk wel één probleem dat je misschien niet door had :

De ARP Cache / MAC Adressen Tabel van je Switch zal dus ook een heleboel meuk van het netwerk van je ISP bevatten en dat moet je maar net willen!

Het is in ieder geval de reden dat ik ervan heb afgezien, want UniFi Switch en dan zou dus mijn Clients overzicht in de UniFi Controller propvol met onbekende apparaten komen te zitten...

Een Media Converter of aparte Switch die buiten zo'n systeem zit kan dus juist wenselijk zijn in zo'n situatie!

EnigmA-X schreef op donderdag 25 mei 2023 @ 15:42:
Verder nog een vraag: ben ik de enige die me helemaal scheel zit te irriteren aan de posts waarin gesproken wordt over SPF in plaats van SFP?

AMEN!

Mensen, in de context van mikrotik gaat het over een SFP transceiver: small formfactor pluggable transceiver.

Alle merken noemen zo'n ding een SFP dan wel SFP+ module/transceiver

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 25 mei 2023 23:39

Acties:

+1 Henk 'm!

MrMarcie

CFMoto 650MT

mukky schreef op donderdag 25 mei 2023 @ 13:54:
[...]

Een SPF verbruikt stroom, of-ie nu in een ONT zit of in een router. Er zal zeker wat verlies zijn met 2 voedingen maar of dat nou zoveel is...

Alle beetjes helpen

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi

vrijdag 26 mei 2023 08:06

Acties:

+2 Henk 'm!

SpikeHome

MrMarcie schreef op donderdag 25 mei 2023 @ 23:39:
[...]

Alle beetjes helpen

inderdaad en weer een stopcontact vrij in de meterkast.

vrijdag 26 mei 2023 10:50

Acties:

+1 Henk 'm!

superyupkent

nero355 schreef op donderdag 25 mei 2023 @ 16:23:
[...]

Eigenlijk wel één probleem dat je misschien niet door had :

De ARP Cache / MAC Adressen Tabel van je Switch zal dus ook een heleboel meuk van het netwerk van je ISP bevatten en dat moet je maar net willen!

Ik heb 6 entries van 3 unieke adressen. Dat lukt mijn CRS328 wel :-)

vrijdag 26 mei 2023 23:33

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Voor wie het nog niet gezien had:
v7.10rc is released!

Eerst het probleem, dan de oplossing

zondag 28 mei 2023 23:21

Acties:

+1 Henk 'm!

EnigmA-X

nero355 schreef op donderdag 25 mei 2023 @ 16:23:
[...]

Eigenlijk wel één probleem dat je misschien niet door had :

De ARP Cache / MAC Adressen Tabel van je Switch zal dus ook een heleboel meuk van het netwerk van je ISP bevatten en dat moet je maar net willen!

PPPoE is een point-to-point protocol en maakt geen gebruik van MAC-adressen. Afgezonderd van mijn eigen netwerk, zie ik in totaal 1 item in mijn arp tabel, die is van iptv.

Valt erg mee dus.

maandag 29 mei 2023 17:30

Acties:

+2 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

EnigmA-X schreef op zondag 28 mei 2023 @ 23:21:
PPPoE is een point-to-point protocol en maakt geen gebruik van MAC-adressen. Afgezonderd van mijn eigen netwerk, zie ik in totaal 1 item in mijn arp tabel, die is van iptv.

Valt erg mee dus.

PPPoE is alleen bij KPN van toepassing of ISP's die via KPN leveren...

Bijvoorbeeld een Delta/Caiway/T-Mobile en nog een aantal kleine Glasvezel ISP's doen gewoon VLAN Taggen + DHCP op je WAN en gaan met die banaan!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

dinsdag 30 mei 2023 13:39

Acties:

+1 Henk 'm!

EnigmA-X

nero355 schreef op maandag 29 mei 2023 @ 17:30:
[...]

PPPoE is alleen bij KPN van toepassing of ISP's die via KPN leveren...

Bijvoorbeeld een Delta/Caiway/T-Mobile en nog een aantal kleine Glasvezel ISP's doen gewoon VLAN Taggen + DHCP op je WAN en gaan met die banaan!

Ohja, dat is waar ook! Goed punt. Dan zal je idd heel wat meer terugvinden in de arp tabel.

vrijdag 2 juni 2023 19:10

Acties:

0 Henk 'm!

rolelael

Vraag ; ik heb hier in t verleden al eens een vraag gesteld ivm metm ijn hAP ( outdoor ) .. Deze hangt nu binnen achter de modemprovider ( wifi modem uit ) en staat in bridge. Alles werkt ok, wifi ook etc.
Krijg dus ip van modem en dns ook.

Maar ik wil deze van buitenaf bereiken, en dat werkte voorheen dmv portfwd te doen op providers modem op poort 98 ( www staat erop ) naar het bridge adres van de router.

Vanaf het wifi netwerk kan ik prima surfen naar 192.168.0.98:98. gebruik ik vanaf mijn wifi netwerk een ext ddns net fqdn bv xxxxx.ddns.net:98 lukt dat ook ( maar ik vermoed dat hij dan via de binnenkant v d wan komt ) .
Maar vanaf extern krijg ik steevast geen antwoord ( fwr op modem staat uit ) , op hAP ook.

Andere portfwd naar wifi camera's op zelfde fqdn met poort 30 , 31, 32 werkt ook .. Dus specifiek de fwd naar mijn routerOS noppes. En ik weet wel zeker dat dit voorheen werkte

Aan wat zou dit nog kunnen liggen? Kan ik op routerOS nog iets van extra logs opzetten? Staat al heel wat op. Om uit te sluiten dat het daar aan ligt, dat ik hem toch daar zie binnenkomen?

tx

vrijdag 2 juni 2023 19:26

Acties:

+1 Henk 'm!

AttiX

Heb je een firewall rule gemaakt om vanaf een wan connectie toegang te krijgen tot de HAP?

Poort 8291 voor winbox en 80 voor web interface volgens mij.

https://www.2gcomputer.co...winbox-over-the-internet/

Maar of dat optimaal veilig is, weet ik niet. Ik gebruik hiervoor Wireguard.

O, ik moest beter lezen. Firewalls staan uit. Dan hoop ik dat iemand anders het weet.

[ Voor 39% gewijzigd door AttiX op 02-06-2023 19:41 ]

vrijdag 2 juni 2023 23:53

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

rolelael schreef op vrijdag 2 juni 2023 @ 20:20:
hier is btw mijn config

offtopic:
Doe die eens tussen CODE tags en daar weer QUOTE tags omheen!

code:

Dan
krijg
je
dus
zoiets
en
wordt
lange
tekst
afgekapt
ergens
vanaf
hier
denk
ik ?!
Toch ?!
Of
toch
niet ?!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zaterdag 3 juni 2023 07:46

Acties:

0 Henk 'm!

rolelael

morgend, problem solved. En hoe dit nu gekomen is, geen idee

ik dacht laat ik eens een update doen --> geen dns -> maar via wifi ( of vpn ) kreeg ik wel dns
Denk dat zet ik er een statische host is, de update host van mikrotik . Stapje verder, kon resolven, maar dan geen internet connection . huh ...

ik ga kijken bij de routes... en ja hoor er stond geen default route 0.0.0.0 -> mijn modem

Update gerunnen en ok

Maar aan de basis lag dus de routering. Geen route terug naar mijn modem , lees internet

zaterdag 3 juni 2023 19:27

Acties:

+1 Henk 'm!

SpikeHome

SpikeHome schreef op donderdag 11 mei 2023 @ 14:49:
@lier tnx
ik heb nu 300mb van ziggo als ik die dicht trek dan zit de 2011 ook bijna vol.
De L009 zou 4x zo snel zijn dus zou 1gb moeten kunnen.
de 2.4 wifi alleen is geen probleem ik heb in de woonkamer daarvoor een andere mikrotik staan hap ac2.
Maar ik ben de de snelheiden aan t vergelijk en ik denk inderdaad dat deze te traag is.

@mbovenka ik wilde eigenlijk gelijk op glas vandaar als optie de fritzbox 5590 die kan gelijk op glas.
De 4011 is inderdaad dan het mikrotik laternatief, zou ook de 5009 kunnen maar dan geen wifi erop.

gemiddeld bij mij minimaal 20 devices op wifi waar van 2 op de 5ghz
en dan komen mobiele telefoons, tablets en tv's erbij.
veel domotica spul (shelly) werkt alleen op 2.4ghz wifi.

Inmiddels de kpn werkend op mijn 2011 heb de wan poort veranderd, nat, en nog wat.
Ging redelijk vlot.
Ben aan t testen betreft snelheden.
Bekabeld haal ik tussen 500 en 700Mbps
Ook als ik bekabeld op de hAP ac2 zit die als ap werkt en die bekabeld op de 2011 zit.
Echter als ik op de 5ghz WiFi zit haal ik niet sneller dan een 70 a 100Mbps cpu is dan maar 4% ook bekabeld.
De 2011 gaat naar de 85%.

Waarom lukt het niet om via WiFi sneller te gaan?
Volgens de specs moet de hap ac2 boven de 800Mbps kunnen

zaterdag 3 juni 2023 22:11

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

SpikeHome schreef op zaterdag 3 juni 2023 @ 19:27:
Waarom lukt het niet om via WiFi sneller te gaan?
Volgens de specs moet de hap ac2 boven de 800Mbps kunnen

Heel veel redenen te bedenken dat je niet de verwachte snelheid haalt...begin bij het begin met de config van je wireless:

code:

1	/ip/wireless/export

Met welke datarate is je client verbonden met de hAP ac2? En hoe test je exact? Idealiter met iPerf naar een server die met een kabel is aangesloten!?

De specs hebben het over een max datarate van 866Mbps, dat is iets anders dan de overdrachtsnelheid. In de praktijk zou je tot ongeveer 2/3 van je max datarate moeten kunnen komen. Maar dan moeten de omstandigheden ook goed zijn.

[ Voor 11% gewijzigd door lier op 03-06-2023 22:12 ]

Eerst het probleem, dan de oplossing

zondag 4 juni 2023 12:24

Acties:

0 Henk 'm!

SpikeHome

@lier tnx

ik was overigens verbonden met de 5ghz band en zat op 1 meter van de ap (hap ac2)

hier mijn config (al zie ik alleen standaard iets):

code:

# jun/04/2023 12:18:07 by RouterOS 7.8
# software id = MFLS-W0BH
#
# model = RBD52G-5HacD2HnD
# serial number = nvt
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=profile-guest supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name="profile nvt" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=profile-bridge-nvt \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-g/n country=\
    no_country_set disabled=no frequency=auto mac-address=4C:5E:0C:49:43:56 \
    mode=ap-bridge name=wlan-nvt radio-name=22040C494353 \
    security-profile="profile nvt" ssid=nvt station-roaming=enabled \
    wps-mode=disabled
add keepalive-frames=disabled mac-address=BA:69:F4:4D:4D:1D master-interface=\
    wlan-nvt mode=bridge multicast-buffering=disabled name=\
    wlan-nvt-bridge security-profile=profile-bridge-nvt ssid=\
    bridge-nvt wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac country=\
    no_country_set disabled=no frequency=5260 frequency-mode=manual-txpower \
    mode=ap-bridge name=wlan-nvt5 radio-name=22040C494355 \
    security-profile="profile nvt" ssid=nvt station-roaming=enabled \
    wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=BA:69:F4:4D:4D:1B \
    master-interface=wlan-nvt multicast-buffering=disabled name=\
    wlan-guest security-profile=profile-guest ssid=nvt-gast vlan-id=\
    30 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=BA:69:F4:4D:4D:1C \
    master-interface=wlan-nvt5 multicast-buffering=disabled name=\
    wlan5-guest security-profile=profile-guest ssid=nvt-gast vlan-id=\
    30 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

[ Voor 3% gewijzigd door SpikeHome op 04-06-2023 12:26 ]

zondag 4 juni 2023 14:57

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Antenne gain staat niet juist (is volgens mij default), maar op zich heb je daar geen last van...
Country code is niet gezet, om te voldoen aan de regels moet je deze zeker zetten.
Ik mis de extension channels op 5GHz , dat betekent dat je nu op 20MHz zit (als je dit verhoogt naar 80 MHz dan gaat dat enorm veel performance winst opleveren).

Elk SSID neemt een beetje bandbreedte in, heb je ze allemaal nodig?

Eerst het probleem, dan de oplossing

zondag 4 juni 2023 18:02

Acties:

0 Henk 'm!

SpikeHome

@lier dank je.
ssid heb ik er maar 2 eigenlijk maar wel 2 voor 2.4 em 5ghz een gebruikers ssid en een gast ssid
ow 1 tje staat uit zie ik die verwijderd nu
no_country aangezet idd lekker op 1W blazen toch?

als ik kijk bij de 80mhz zie ik een bulk aan soorten.
welke is de juiste?
mijn kennis daarvan is beperkt.

edit:
wat 20/40/80 opties geprobeerd (Ceee, eCee, eeCe, eeeC en xxxx) ook met de 5ghz instellingen only-AC b.v
maar krijg geen verbinding meer op de 5gz interface

edit2:
hmm lijkt dat de laptop (die wat ouder is) niet de 5hgz interface te accepteren met de Ceee instelling.
Mijn s20fe en ipad doen het wel aan haal ik nu 300 a 400Mbps

edit3:
wat wel mooi van mikrotik is dat ik niet eens de router heb hoeven resetten uptime gewoon op 95dagen.
misschien dat ik een 2e poort configureer voor de ziggo, zodat ik makkelijk heen en weer kan gaan tussen de providers

[ Voor 68% gewijzigd door SpikeHome op 05-06-2023 09:08 ]

donderdag 8 juni 2023 09:40

Acties:

0 Henk 'm!

DRAFTER86

Hm zijn hier mensen die Wireguard op MT gebruiken in combinatie met de Wireguard client voor Android?
Ik zie hier dat het 'even' werkt, maar de volgende dag opeens niet meer. Als ik dan de keys voor de Android peer opnieuw generate werkt het weer ff, daarna gaat het weer mis...
Apart toch?

donderdag 8 juni 2023 09:48

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Jazeker, @DRAFTER86. Probleemloos. Wat je beschrijft is inderdaad "apart".

Als je je config kan delen (zonder keys, die boeien niet zo), dan kunnen we een blik werpen:

code:

1	/interface wireguard export

En ook graag de config van je Android device.

Eerst het probleem, dan de oplossing

donderdag 8 juni 2023 10:04

Acties:

0 Henk 'm!

Freeaqingme

@DRAFTER86 welke versie van routeros draai je?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

donderdag 8 juni 2023 10:11

Acties:

+1 Henk 'm!

orvintax

www.fab1an.dev

DRAFTER86 schreef op donderdag 8 juni 2023 @ 09:40:
Hm zijn hier mensen die Wireguard op MT gebruiken in combinatie met de Wireguard client voor Android?
Ik zie hier dat het 'even' werkt, maar de volgende dag opeens niet meer. Als ik dan de keys voor de Android peer opnieuw generate werkt het weer ff, daarna gaat het weer mis...
Apart toch?

Werkt hier zonder problemen. Heb nog nooit keys opnieuw moeten genereren.

https://dontasktoask.com/

donderdag 8 juni 2023 10:13

Acties:

+2 Henk 'm!

Raymond P

@DRAFTER86 Dat klinkt als een tijd issue. Hoe laat is het volgens je Mikrotik?

- knip -

donderdag 8 juni 2023 11:37

Acties:

+1 Henk 'm!

GarBaGe

Yeah, eindelijk is het zover.
Sinds gisterenavond heb ik mijn oude EdgeOS ERX vervangen door een Mikrotik RouterOS.
Ik wilde exact dezelfde configuratie op mijn nieuwe router, zodat ik zonder (al te veel) problemen een instant verwissel actie kon doen.

Grofweg is de configuratie vrij simpel.
1 hoofdnetwerk, 2 VLANs, klein beetje static DNS, klein beetje static DHCP.
1 poort op de router is een VLAN access port, waarmee mijn omvormer direct op een VLAN kan (untagged)

Nu het eenmaal "in productie" is, kan ik langzaam aan de configuratie verbeteren en optimaliseren.
Zijn er nog specifieke configuraties of settings die jullie aanraden?

Edit: ik heb al wel 1 nadeel gevonden. Ik heb een 10" patchkastje in mijn meterkast hangen, maar de router is breder dan 21cm en past niet goed...
Oh wacht, de router is een hap ac3 (met wifi disabled)

[ Voor 13% gewijzigd door GarBaGe op 08-06-2023 11:38 ]

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

donderdag 8 juni 2023 11:44

Acties:

+4 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Als je iets met VLAN's wil doen op RouterOS, dan is dit forum topic een must:
https://forum.mikrotik.com/viewtopic.php?f=23&t=143620

Mijn tip: maak voor elk netwerk een VLAN aan, bijvoorbeeld CORPORATE/GUEST/IOT (of elke andere willekeurige naam).

Eerst het probleem, dan de oplossing

donderdag 8 juni 2023 15:07

Acties:

0 Henk 'm!

DRAFTER86

lier schreef op donderdag 8 juni 2023 @ 09:48:
Jazeker, @DRAFTER86. Probleemloos. Wat je beschrijft is inderdaad "apart".

Als je je config kan delen (zonder keys, die boeien niet zo), dan kunnen we een blik werpen:
code:
1
/interface wireguard export
En ook graag de config van je Android device.

code:

/interface wireguard
add listen-port=51821 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=S23 interface=wireguard1 public-key=\
    "..."
add allowed-address=0.0.0.0/0 comment=Ipad interface=wireguard1 public-key=\
    "..."
add allowed-address=0.0.0.0/0 comment="Macbook M" interface=wireguard1 \
    public-key="..."

Verder alleen:
- een input rule in de firewall voor poort 51821
- wireguard1 interface toegevoegd aan de LAN interface list

Android kant (overigens, net hetzelfde gezien met een Macbook M1):

code:

[Interface]
Address = 10.10.200.123/24
DNS = 192.168.1.1
PrivateKey = ...

[Peer]
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mijnurl.duckdns.org:51821
PublicKey = ...

Raymond P schreef op donderdag 8 juni 2023 @ 10:13:
@DRAFTER86 Dat klinkt als een tijd issue. Hoe laat is het volgens je Mikrotik?

Goed idee om daar eens naar te kijken! Als het goed is doet mijn RB5009 NTP, tijd lijkt ook te kloppen:

code:

/system ntp client
set enabled=yes
/system ntp client servers
add address=pool.ntp.org

Freeaqingme schreef op donderdag 8 juni 2023 @ 10:04:
@DRAFTER86 welke versie van routeros draai je?

7.9.2, had dit probleem met eerdere versies ook al.

[ Voor 6% gewijzigd door DRAFTER86 op 08-06-2023 15:19 ]

donderdag 8 juni 2023 15:29

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

DRAFTER86 schreef op donderdag 8 juni 2023 @ 15:07:

code:

/interface wireguard
add listen-port=51821 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=S23 interface=wireguard1 public-key=\
    "..."
add allowed-address=0.0.0.0/0 comment=Ipad interface=wireguard1 public-key=\
    "..."
add allowed-address=0.0.0.0/0 comment="Macbook M" interface=wireguard1 \
    public-key="..."

Volgens mij zou de allowed-address moeten corresponderen met het IP adres van de peer, oftewel:

10.10.200.123/32

Wat is de ouput van:

code:

1	/ip address export

Zie ook deze tutorial:
https://help.mikrotik.com...oadWarriorWireGuardtunnel

Eerst het probleem, dan de oplossing

donderdag 8 juni 2023 15:52

Acties:

+2 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

SpikeHome schreef op zondag 4 juni 2023 @ 18:02:
no_country aangezet idd lekker op 1W blazen toch?

Dat is dus echt een slecht idee en zelfs wettelijk verboden IIRC

als ik kijk bij de 80mhz zie ik een bulk aan soorten.
welke is de juiste?
mijn kennis daarvan is beperkt.

Welke keuzes heb je dan precies ?!

Is het niet gewoon een lijstje zoals je die bijvoorbeeld kan vinden op : Wikipedia: List of WLAN channels

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 8 juni 2023 15:58

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

nero355 schreef op donderdag 8 juni 2023 @ 15:52:
Welke keuzes heb je dan precies ?!

Ceee, eCee, eeCe en eeeC. De C staat voor het control channel, de overige 3 letters voor de extension channels.

Eerst het probleem, dan de oplossing

donderdag 8 juni 2023 16:01

Acties:

0 Henk 'm!

Raymond P

@lier 0.0.0.0/0 valt toch binnen elke range? Zolang er een (dedicated) ip range aan de wireguard interface zit zou dat volgens mij niet uit moeten maken.
Ben ook wel benieuwd naar die export.

@DRAFTER86 Een log rule maken voor wireguard en (system/logging tipic wireguard > memory) en morgen (als het weer faalt) checken of daar wat nuttigs te vinden is?

- knip -

donderdag 8 juni 2023 16:15

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Kan me voorstellen dat Wireguard aan de MikroTik kant dan de weg kwijt raakt. Waar bevindt zich welk IP adres. Uiteraard valt 0.0.0.0/0 binnen elke ranch...dat is evident. Maar dat is het enige in de config waarvan ik denk dat het niet klopt.

Eerst het probleem, dan de oplossing

donderdag 8 juni 2023 16:53

Acties:

0 Henk 'm!

Raymond P

@lier Getest, veelvuldig verbinden werkt (hier) gewoon. Logisch ook, alles is allowed en niets wordt gedropt.

In mijn ip/addresses heb ik wel een /24 aan interface wireguard1 gekoppeld. Disable ik die dan wordt er alsnog verbonden maar is er (uiteraard) geen routing.

- knip -

donderdag 8 juni 2023 17:24

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

lier schreef op donderdag 8 juni 2023 @ 15:58:
Ceee, eCee, eeCe en eeeC.

De C staat voor het control channel, de overige 3 letters voor de extension channels.

Wat een vaag systeem om zoiets te omschrijven...

Is het niet vele malen simpeler om te zeggen welke Channels een Accesspoint moet gebruiken op een bepaalde frequentie zonder deze hele toestand

/EDIT :

Raymond P schreef op donderdag 8 juni 2023 @ 18:49:
Natuurlijk is dat er. Maar op de command line is zo'n methode een stukje simpeler in gebruik.
C = center channel, een e-tje links of rechts erbij is een extra 20MHz minder (links) of meer (rechts). Als ik mij niet vergis.

Sorry, maar wat mij betreft moet dat toch echt veel handiger kunnen door gewoon direkt de channels in te kloppen

[ Voor 35% gewijzigd door nero355 op 08-06-2023 22:36 ]

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 8 juni 2023 18:28

Acties:

+1 Henk 'm!

orvintax

www.fab1an.dev

Raymond P schreef op donderdag 8 juni 2023 @ 16:53:
@lier Getest, veelvuldig verbinden werkt (hier) gewoon. Logisch ook, alles is allowed en niets wordt gedropt.

In mijn ip/addresses heb ik wel een /24 aan interface wireguard1 gekoppeld. Disable ik die dan wordt er alsnog verbonden maar is er (uiteraard) geen routing.

Hier hetzelfde.

https://dontasktoask.com/

donderdag 8 juni 2023 18:49

Acties:

0 Henk 'm!

Raymond P

nero355 schreef op donderdag 8 juni 2023 @ 17:24:
[...]

Wat een vaag systeem om zoiets te omschrijven...

Is het niet vele malen simpeler om te zeggen welke Channels een Accesspoint moet gebruiken op een bepaalde frequentie zonder deze hele toestand

Natuurlijk is dat er. Maar op de command line is zo'n methode een stukje simpeler in gebruik.
C = center channel, een e-tje links of rechts erbij is een extra 20MHz minder (links) of meer (rechts). Als ik mij niet vergis.

- knip -

donderdag 8 juni 2023 19:17

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

DRAFTER86 schreef op donderdag 8 juni 2023 @ 15:07:
7.9.2, had dit probleem met eerdere versies ook al.

Wat @lier hierboven zegt klopt: meerdere identieke prefixes (hier: 0.0.0.0/0) in AllowedIPs is fout. Gebruik voor iedere peer de /32 die je op de 'client' gebruikt en je probleem is verholpen.

Raymond P schreef op donderdag 8 juni 2023 @ 16:53:
@lier Getest, veelvuldig verbinden werkt (hier) gewoon. Logisch ook, alles is allowed en niets wordt gedropt.

Dat zal werken op basis van 'geluk' - als er meerdere gelijke prefixes matchen dan is het ongedefinieerd welke peer het verkeer ziet, maar in ieder geval niet meer dan één.

donderdag 8 juni 2023 19:42

Acties:

0 Henk 'm!

Raymond P

@Thralas Dat lijkt in ieder geval het opzetten van een verbinding niet in de weg te zitten.
Als het ip expliciet buiten de range valt connect ik gewoon maar is er geen routing.
(Als je meerdere clients hebt die dezelfde range claimen snap ik dat het stuk gaat, en dat je dat zo mitigeert snap ik ook)

Volgens docs (mikrotik/wireguard) is 0.0.0.0/0 ook gewoon valid.
Waar kijk ik dan overheen?

(nu heeft hij een hele /24 aan z'n android hangen, maar als er een hele /16 aan die wireguard interface hangt kan dat alsnog prima werken.)

- knip -

donderdag 8 juni 2023 20:03

Acties:

+2 Henk 'm!

Shinji

Volgens mij, maar pin me er niet op vast is allowed IPs source en destination allowed de tunnel op.

Dus aan Mikrotik kant is x/32 voldoende, want destination de tunnel op is alleen dat IP adres (in geval van cliënt - server/dialin vpn). En er komt alleen verkeer vanaf dat IP adres uit de tunnel aan de Mikrotik kant.

Aan de cliënt kant de tunnel op kan je 0.0.0.0/0 willen voor full tunnel, en dat verkeer vanaf het hele internet moet ook toegestaan worden vanuit de tunnel.

donderdag 8 juni 2023 21:02

Acties:

0 Henk 'm!

Raymond P

Ah dus aan de mikrotik kant definieer je expliciet welke routing de peer wilt krijgen, niet welke hij mag krijgen?
Dan gaat meerdere alles inderdaad niet lekker werken, thx voor de opheldering.

De manual klikt ook iets beter op z'n plek nu, ik heb het twee maandjes geleden snel ff bij elkaar gesprokkeld omdat m'n ipsec oplossing niet meer supported was op m'n Android en de ingebouwde IKEv2/IPSec niet wilde werken.

- knip -

donderdag 8 juni 2023 21:22

Acties:

+5 Henk 'm!

Thralas

MikroTik
Wifi

Raymond P schreef op donderdag 8 juni 2023 @ 19:42:
@Thralas Dat lijkt in ieder geval het opzetten van een verbinding niet in de weg te zitten.

Allereerst: er is bij WireGuard geen sprake van een echte 'verbinding'. Er is alleen een handshake die met een bepaalde interval plaatsvindt, maar het (externe) source IP van een peer kan ieder moment wijzigen.

Als het ip expliciet buiten de range valt connect ik gewoon maar is er geen routing.

Waar je 'verbinding' zegt bedoel je dat er een (recente) handshake heeft plaatsgevonden. Dat gebeurt inderdaad vanzelf als één van de peers iets wil sturen en 'ie de ander weet te bereiken, maar dat zegt helemaal niets over of er ook verkeer 'aankomt' aan de andere kant van de tunnel.

Toegepast op je scenario: als het source ip van verkeer van je peer (binnen de tunnel) niet strookt met de AllowedIPs van de andere peer, dan zal er een handshake plaatsvinden, maar WireGuard zal het verkeer óók meteen droppen.

Volgens docs (mikrotik/wireguard) is 0.0.0.0/0 ook gewoon valid.
Waar kijk ik dan overheen?

0.0.0.0/0 is natuurlijk opzichzelf geldig, maar het punt was dat welke reeks dan ook in principe* niet twee keer gebruiken binnen de AllowedIPs van meerdere peers op dezelfde WireGuard interface.

* In afwezigheid van specifiekere subreeksen in de AllowedIPs, ook in onderstaand voorbeeld doe ik die aanname

Als de Linux kernel van je MikroTik een pakketje aflevert op de WireGuard interface dan zal WireGuard de AllowedIPs van alle peers gebruiken om te bepalen waar hij het pakketje heen moet routeren. Daarbij gaat het altijd maar naar één peer, nooit naar meerdere.

Mag jij vertellen naar welke peer het moet als er twee peers 0.0.0.0/0 hebben. Antwoord: één van de twee, maar welke is ongedefinieerd.

Raymond P schreef op donderdag 8 juni 2023 @ 21:02:
Ah dus aan de mikrotik kant definieer je expliciet welke routing de peer wilt krijgen, niet welke hij mag krijgen?

Ik begrijp niet helemaal het onderscheid dat je hier probeert te maken met 'wil' en 'mag', maar het is in ieder geval wel meer 'mag' (vergelijk: AllowedIPs). Maar volgens mij begrijp ik wel waar je verwarring ongeveer zit, dus:

AllowedIPs zegt iets over het source-adres van verkeer dat van de peer vandaan komt en wordt voor uitgaand verkeer (vanaf de interface gezien) gebruikt om te bepalen naar welke peer verkeer met een bepaald destination IP moet worden gerouteerd.

Het zegt daarnaast niets over het toegestane destination-adres van verkeer dat van de peer vandaan komt, dat is wellicht een snel gemaakte denkfout.

donderdag 8 juni 2023 22:29

Acties:

+1 Henk 'm!

Raymond P

@Thralas Bedankt.

Met verbinding bedoel ik inderdaad de handshake. Dat er verder niet noodzakelijk iets gebeurt was mij wel opgevallen.

Het zit iig veel simpeler in elkaar dan de black magic die ik in m'n hoofd had.
Ik heb mij tijdens config ook afgevraagd waar die route advertise bleef voordat ik de peer aan beide kanten gelimiteerd heb naar een /32. Maar dat is dus helemaal niet dynamisch en kan daardoor dus niet overlappen.

Of dat voor een ander logisch klinkt betwijfel ik

- knip -

vrijdag 9 juni 2023 14:21

Acties:

+1 Henk 'm!

DRAFTER86

Thralas schreef op donderdag 8 juni 2023 @ 21:22:
[...]

Allereerst: er is bij WireGuard geen sprake van een echte 'verbinding'. Er is alleen een handshake die met een bepaalde interval plaatsvindt, maar het (externe) source IP van een peer kan ieder moment wijzigen.

[...]

Waar je 'verbinding' zegt bedoel je dat er een (recente) handshake heeft plaatsgevonden. Dat gebeurt inderdaad vanzelf als één van de peers iets wil sturen en 'ie de ander weet te bereiken, maar dat zegt helemaal niets over of er ook verkeer 'aankomt' aan de andere kant van de tunnel.

Toegepast op je scenario: als het source ip van verkeer van je peer (binnen de tunnel) niet strookt met de AllowedIPs van de andere peer, dan zal er een handshake plaatsvinden, maar WireGuard zal het verkeer óók meteen droppen.

[...]

0.0.0.0/0 is natuurlijk opzichzelf geldig, maar het punt was dat welke reeks dan ook in principe* niet twee keer gebruiken binnen de AllowedIPs van meerdere peers op dezelfde WireGuard interface.

* In afwezigheid van specifiekere subreeksen in de AllowedIPs, ook in onderstaand voorbeeld doe ik die aanname

Als de Linux kernel van je MikroTik een pakketje aflevert op de WireGuard interface dan zal WireGuard de AllowedIPs van alle peers gebruiken om te bepalen waar hij het pakketje heen moet routeren. Daarbij gaat het altijd maar naar één peer, nooit naar meerdere.

Mag jij vertellen naar welke peer het moet als er twee peers 0.0.0.0/0 hebben. Antwoord: één van de twee, maar welke is ongedefinieerd.

[...]

Ik begrijp niet helemaal het onderscheid dat je hier probeert te maken met 'wil' en 'mag', maar het is in ieder geval wel meer 'mag' (vergelijk: AllowedIPs). Maar volgens mij begrijp ik wel waar je verwarring ongeveer zit, dus:

AllowedIPs zegt iets over het source-adres van verkeer dat van de peer vandaan komt en wordt voor uitgaand verkeer (vanaf de interface gezien) gebruikt om te bepalen naar welke peer verkeer met een bepaald destination IP moet worden gerouteerd.

Het zegt daarnaast niets over het toegestane destination-adres van verkeer dat van de peer vandaan komt, dat is wellicht een snel gemaakte denkfout.

Thanks, dat was hem! En dat verklaard ook het random gedrag dat ik zag (altijd wel fijn als de oplossing matched met de symptomen)
Ik zie nog wel regelmatig dit voorbij komen:

code:

1	Retrying handshake with peer because we stopped hearing back after 15 seconds

Verbindingen worden niet gedropt, maar helemaal de bedoeling lijkt het me ook niet?
Thanks voor de hulp allemaal!

vrijdag 16 juni 2023 12:03

Acties:

+5 Henk 'm!

Freeaqingme

En toen was 7.10 al weer gerelased.

download: RouterOS 7.10

What's new in 7.10:
ipv6 - fixed DNS server processing by IPv6/ND services (CVE-2023-32154)
route - added BFD
bgp - allow to filter BGP sessions by AFI
bgp - changed default VPNv4 import distance to iBGP value (200)
bgp - do not check route distinguisher on import
bgp - fixed "as-override" and rename to "output.as-override"
bgp - fixed "remove-private-as" and rename to "output.remove-private.as"
bgp - show address family in advertisements
bgp - show approximate received prefix count by the session
branding - fixed custom logo (introduced in v7.8 )
bridge - fixed HW offloaded STP state on port disable
bridge - fixed HW offloading for vlan-filtered bridge on devices with multiple switches (introduced in v7.8 )
bridge - fixed incorrect host moving between ports with enabled FastPath
certificate - fixed displaying of certificate serial number
certificate - improved error reporting for Let's Encrypt certificate
certificate - restore available "key-usage" property options
conntrack - added read-only "active-ipv4" and "active-ipv6" fields to "/ip/firewall/connection/tracking" (CLI only)
console - added timeout error for configuration export
console - changed time format according to ISO standard
console - disable output when using "as-value" parameter
console - fixed ":terminal inkey" input when resizing terminal
console - fixed "print without-paging" output in some cases
console - hide past commands with sensitive arguments
console - improved stability when using command completion
container - fixed "container pull" to support OCI manifest format
container - fixed crash due to missing system directories
container - improved default internal environment values
defconf - allow to use device factory preset credentials in Flashfig and Netinstall configuration files
defconf - fixed default configuration for RBSXTLTE3-7
dhcp-server - fixed accounting on RADIUS interim update
dhcpv4-server - added name for "IPv6-Only Preferred" option (108) in debug logs
doh - less verbose logging
firewall - added "endpoint-independent-nat" support
firewall - added "nth" option for IPv6 firewall
gps - expose GPS port for Quectel RM520N-GL
ike2 - improved child SA delete request processing
iot - added option to send Modbus function code commands directly from RouterOS (CLI only)
ipsec - added hardware acceleration support for IPQ-5010 (hAP ax lite)
ipsec - refactor public key authentication
ipsec - removed "ec2n185" and "ec2n155" values from proposal configurations
ipv6 - fixed IPv6 address removal
l3hw - added "autorestart" option to L3HW settings
l3hw - added advanced configuration options for fine-tuning the L3HW offload (l3hw-settings are cleared after upgrade or downgrade) (CLI only)
l3hw - added error message and reset "l3-hw-offloading=no" if L3HW driver fails to start
l3hw - added monitoring options for L3HW utilization (CLI only)
l3hw - fixed /32 route deletion
l3hw - fixed IPv6 ECMP route offloading
l3hw - fixed offloading of /32 IPv4 and /128 IPv6 routes
l3hw - fixed route table offloading during large volume of route updates
l3hw - improved host and nexthop offloading
l3hw - improved offloading of IPv6 hosts after L3HW driver restart
l3hw - improved performance of partial offloading
l3hw - improved route offloading after gateway change
l3hw - improved system stability for partial routing table offload
leds - fixed modem RAT mode indication on hAP ac^3 LTE6 WPS mode button LEDs
lora - improved gateway card detection and upgrade logic
lora - updated firmware version for LoRaWAN gateway (for R11e-LoRa8, R11e-LoRa9 cards)
lte - added serving cell query for MBIM modems with necessary MBIM extension
lte - disable DHCP request filtering (UDP port 67) for Chateau 5G
lte - fixed APN authentication for R11e-LTE6 modem
lte - fixed Google Pixel 7 tethering support
lte - improved MBIM modem firmware reported error handling when settings RAT modes
lte - improved modem firmware upgrade stability for MBIM modems
lte - improved stability for Chateau 5G LTE modem firmware upgrade
lte - reduced SIM slot switchover time for MBIM modems with UUIC reset support
lte - stop "cell-monitor" on LTE interface configuration change for MBIM modems
mpls - added FastPath support
netwatch - added warning about non-running probe due to "startup-delay" (CLI only)
ovpn - added initial support for V2 data transfer protocol
ovpn - improved system stability
poe - fixed bogous "poe-in-voltage" values when using DC jack for RB5009
pppoe - fixed PPPoE client scan when server is sending PADO messages without Service-Name tag
qos-hw - added QoS marking support for 98DXxxxx switches (CLI only)
qos-hw - renamed VLAN "priority" field to "pcp" to avoid confusion
rose-storage - added support for multiple smb users and smb shares
route - improved system stability when removing multicast forwarding entries
routerboard - fixed memory test on CCR2116-12G-4S+ ("/system routerboard upgrade" required)
routerboard - improved RouterBOOT stability for Alpine CPUs ("/system routerboard upgrade" required)
routerboot - increased "preboot-etherboot" maximum value to 30 seconds ("/system routerboard upgrade" required)
scheduler - fixed incorrectly started scheduler during reboot or shutdown
sfp - fixed "rate" monitor value for SFP interface on L009UiGS series devices
sfp - fixed combo-ether link monitor for CRS328-4C-20S-4S+ switch
sfp - fixed combo-sfp linking at 1G rate for CRS312 switch
sfp - improved 10G interface stability for 98DX8208, 98DX8212, 98DX8332, 98DX3257, 98DX4310, 98DX8525, 98DX3255, 98PX1012 based switches
sfp - improved module compatibility with bad EEPROM data for RB4011, RB5009, CCR2xxx, CRS312 and CRS518 devices
sfp - improved Q/SFP interface stability for 98DX8208, 98DX8212, 98DX8332, 98DX3257, 98DX4310, 98DX8525, 98DX3255, 98PX1012 switches
sfp - improved SFP interface handling for RB4011, RB5009, CCR2xxx and CRS518 devices
sfp - improved system stability with certain SFP modules for CCR2216 and CRS518 devices
sfp - report EEPROM data even if "auto-init-failed" has occurred
smb - improved SMB v1 operation
sniffer - fixed large .pcap file limit
snmp - added "engine-id-suffix" setting and display actual "engine-id" as read-only property
snmp - added BGP peer table support IPv4 only (1.3.6.1.2.1.15.3.1)
snmp - added new "mtxrInterfaceStatsTxRx1024ToMax" OID to MIKROTIK-MIB
ssh - added inline key "passphrase" property
ssh - fixed RouterOS SSH client login when using a key (introduced in v7.9)
switch - added more precise "storm-rate" configuration options for 98DXxxxx switches (CLI only)
switch - fixed storm rate on 10G links for 98DX8208, 98DX8216, 98DX8212, 98DX8332, 98DX3257, 98DX4310, 98DX8525, 98DX3255 switches
system - improved watchdog reporting in log after reboots for several ARM and ARM64 devices
system - reduced RAM usage for SMIPS devices
tile - fixed support for microSD card
tr069 - added 5G SCC "SNR" parameter for modems that report it
upgrade - do not run manual upgrade if some packages are missing
ups - fixed updating of "battery-voltage" property
vrrp - added warning if "sync-connection-tracking=yes" while the global connection tracking is inactive
vrrp - added warning if the VRRP group is misconfigured
vrrp - added warning if VRRP or its interface does not have an IP address
vrrp - do not start connection synchronization if the global connection tracking is inactive
vrrp - fixed issue where disabled VRRP interface is affecting group
vrrp - fixed VRRP interface state on physical cable disconnection
vrrp - improved system stability on changing "group-authority" or "sync-connection-tracking"
vrrp - renamed "group-master" to "group-authority" to avoid confusion with VRRP master
vrrp - send VRRP announcements only by "group-authority"
w60g - improved interface stability for PTMP setups
webfig - added high-resolution favicon
webfig - allow limitless upper bounds for number range
webfig - allow to set "0" second time for fields with default values
webfig - changed time format according to ISO standard
webfig - display date and time in local time zone
webfig - fixed missing "WifiWave2" menu
webfig - fixed missing property names in "WifiWave2" menu
webfig - redesigned item configuration display
webfig - redesigned top menu bar
webfig - removed "Tools/Telnet" menu
webfig - removed auto-login with default credentials (admin without a password)
wifiwave2 - avoid transmitting extra bytes at the end of the packet after stripping a VLAN tag
wifiwave2 - do not show placeholder transmit power values on interface startup
wifiwave2 - fixed CAP connection when provisioning "manager=capsman"
wifiwave2 - fixed CAP interface name when using "name-format"
wifiwave2 - fixed connectivity issues wheen access-list is used
wifiwave2 - fixed DFS channel availability warning (introduced in v7.9)
wifiwave2 - fixed dynamic interface adding to bridge on CAP device
wifiwave2 - fixed inability to disable CAPsMAN when there are RADIUS-authenticated clients connected
wifiwave2 - fixed incorrect limits on number of interfaces in station mode
wifiwave2 - fixed interface name change when restoring backup
wifiwave2 - fixed key handshake timeout with re-associating clients
wifiwave2 - fixed OWE authentication compatibility with 802.11ax client devices
wifiwave2 - fixed OWE authentication compatibility with third-party client devices (introduced in v7.8 )
wifiwave2 - fixed wireless throughput issues after 802.11r client roaming events on 802.11ac devices
wifiwave2 - improve protections against DoS attacks on WPA3-PSK
wifiwave2 - improved logging when an interface is unable to assign a VLAN tag to client
wifiwave2 - improved system stability when trying to exceed virtual AP limit
wifiwave2 - less verbose logging when WPA3-PSK clients are connecting
wifiwave2 - other system stability improvements
wifiwave2 - restore interface running state when connection to CAPsMAN is lost
winbox - added "MPLS/Settings" menu
winbox - added "Queues" configuration tab when creating new entries under "IPv6/DHCP-Server" menu
winbox - rename "URL" property to "Action data" under "IP/Web-Proxy/Access" menu
wireguard - fixed IPv6 traffic processing with multiple peers
wireguard - retry "endpoint-address" DNS query on failed resolve
x86 - ice driver update to v1.11.14
zerotier - make "identity" setting sensitive

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 19 juni 2023 23:07

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Hoe kan een bedrijf als Mikrotik nou geen scheiding hebben tussen security updates en gewone updates?
Wat als ik niet telkens weer wil updaten, vooral omdat ik 0.0 gebruik maak van al die features?
Ik heb een HEX POE, die draait nog op de oude MIPS architectuur waar Mikrotik toch al niet veel meer mee doet.
Dat er af en toe een gevaarlijke bevinding kan zijn en daarvoor een fix is, snap ik. Maar dat is echt niet 12x per jaar ofzo.

Wat kan je dan het beste doen?

maandag 19 juni 2023 23:32

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op maandag 19 juni 2023 @ 23:07:
Wat kan je dan het beste doen?

Dezelfde fix is al drie weken geleden uitgebracht in drie ~stable trees. Je mag kiezen: v7.9.1, v6.49.8 of v6.48.7.

maandag 19 juni 2023 23:35

Acties:

0 Henk 'm!

Jazco2nd

Wifi

Thralas schreef op maandag 19 juni 2023 @ 23:32:
[...]

Dezelfde fix is al drie weken geleden uitgebracht in drie ~stable trees. Je mag kiezen: v7.9.1, v6.49.8 of v6.48.7.

Hoe kom je daarbij? Ik wil best geloven dat dat ergens op een forum wordt gepubliceerd. Maar in RouterOS System > Packages zie met Stable channel geselecteerd alleen de optie om van 7.8 naar 7.10 te gaan.. en daarvoor was de enige optie 7.8 naar 7.9.
Hoe krijg je de optie om bij een major versie te blijven?

dinsdag 20 juni 2023 00:22

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Jazco2nd schreef op maandag 19 juni 2023 @ 23:35:
[...]

Hoe kom je daarbij? Ik wil best geloven dat dat ergens op een forum wordt gepubliceerd.

Precies ja.

Hoe krijg je de optie om bij een major versie te blijven?

Je bedoelt vast minor

Niet.

Tenzij je nog v6 gebruikt op een oud apparaat, moet je bij een security issue gewoon updaten. Soms bieden ze nog wat speelruimte met een patch release (zoals hier v7.9.1/v7.9.2). Dat moet je dan - als je achterloopt met updaten - dan inderdaad wel zelf installeren door de packages te downloaden en dat verschijnt niet meer allemaal in het updatemenu.

Je hEX PoE is een apparaat uit 2017, méér dan zes jaar oud. Dat je überhaupt nog updates krijgt is al redelijk uniek. Nóg meer verwachten, zoals meerdere v7 stable trees is niet echt redelijk voor een apparaat van nog geen €100.

En praktisch: updaten is bij MikroTik allang niet meer zo'n gok als vroeger. Meteen bovenop een gloednieuwe release springen als het niet nodig is zou ik nog steeds niet doen, maar de kans dat je tegen een regressie aanloopt is niet zo groot.

woensdag 21 juni 2023 16:27

Acties:

0 Henk 'm!

Hayertjez

Beste tweakers,

Het lukt mij niet om te achterhalen waardoor ik wel via WinBox op MAC-adres kan connecten maar niet via het ip-adres in de browser.

Het is een ADSL verbinding waarbij het modem (Fritzbox 7581 een exposed host heeft naar de hAP).
Volgend de computer is het IP-adres van de router het IP-adres van de modem (192.168.178.1) en niet van de mikrotik die als router zou moeten dienen.

Zou iemand hier naar willen kijken hoe dat kan?

Edit:
Het ip adres van de mikrotik is 192.168.81.1 volgens winbox.

code:

# 2023-06-21 16:27:38 by RouterOS 7.10
# software id = P512-6KD2
#
# model = RB962UiGS-5HacT2HnT
# serial number = 6F120725F71B
/caps-man channel
add band=2ghz-onlyn name=2ghz
add band=5ghz-onlyac extension-channel=Ceee name=5ghz
/interface bridge
add admin-mac=64:D1:54:6C:F5:A1 auto-mac=no comment=defconf name=bridge
/interface wireless
# managed by CAPsMAN
# channel: 2452/20-Ce/gn(17dBm), SSID: Thunderbirds are go, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac/P(21dBm), SSID: Thunderbirds are go, local forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik wireless-protocol=802.11
/interface vlan
add interface=ether1 mtu=1520 name=vlan6 vlan-id=6
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath_cfg
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=cfg_sec
/caps-man configuration
add channel=2ghz country=netherlands datapath=datapath_cfg installation=\
    indoor mode=ap name=cfg_2ghz security=cfg_sec \
    security.authentication-types=wpa2-psk .encryption=aes-ccm ssid=\
    "Thunderbirds are go"
add channel=5ghz country=netherlands datapath=datapath_cfg installation=\
    indoor mode=ap name=cfg_5ghz security=cfg_sec ssid="Thunderbirds are go"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.81.10-192.168.81.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/caps-man access-list
add mac-address=84:C7:EA:CE:05:38
add allow-signal-out-of-range=10s mac-address=40:83:1D:73:7A:14
add mac-address=84:C7:EA:CE:05:38
add allow-signal-out-of-range=10s mac-address=40:83:1D:73:7A:14
/caps-man manager
set enabled=yes package-path=/ upgrade-policy=suggest-same-version
/caps-man manager interface
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    cfg_5ghz
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    cfg_2ghz
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 discovery-interfaces=bridge \
    enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.81.1/24 interface=bridge network=192.168.81.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment=defconf interface=bridge
/ip dhcp-server network
add address=192.168.81.0/24 dns-server=192.168.81.1 gateway=192.168.81.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=193.110.81.0,185.253.5.0
/ip dns static
add address=192.168.81.1 comment=defconf name=router.lan
add address=193.110.81.0 name=dns0
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="hAP Boven"
/system note
set show-at-login=no
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN

[ Voor 5% gewijzigd door Hayertjez op 21-06-2023 16:55 . Reden: update van config. ]

woensdag 21 juni 2023 16:46

Acties:

+1 Henk 'm!

wvanommen

Ik verwacht toch echt dat je mikrotik 192.168.81.1 is dat geef je tenminste via dhcp aan je clients toch?

woensdag 21 juni 2023 16:55

Acties:

0 Henk 'm!

Hayertjez

Dat klopt, post aangevuld. Volgens winbox is dat inderdaad het adres van de mikrotik. Dit is het ipadres wat ik niet kan benaderen via de browser

woensdag 21 juni 2023 18:33

Acties:

+3 Henk 'm!

UTPBlokje

Hayertjez schreef op woensdag 21 juni 2023 @ 16:27:
Beste tweakers,

Het lukt mij niet om te achterhalen waardoor ik wel via WinBox op MAC-adres kan connecten maar niet via het ip-adres in de browser.

Het is een ADSL verbinding waarbij het modem (Fritzbox 7581 een exposed host heeft naar de hAP).
Volgend de computer is het IP-adres van de router het IP-adres van de modem (192.168.178.1) en niet van de mikrotik die als router zou moeten dienen.

Zou iemand hier naar willen kijken hoe dat kan?

Edit:
Het ip adres van de mikrotik is 192.168.81.1 volgens winbox.

[...]

Ik zie in de bovenstaande config wel een paar fouten staan. Zo heb je op de bridge interface netwerk 192.168 .88.0/24 en 192.168.81.0/24 actief staan. Ook heb je op beide netwerken een dhcp server actief.

Maar stap een. Als je een ip krijgt vanuit je Fritzbox heb je de boel niet goed aangesloten staan.

Fritzbox moet in bovenstaande config op ether1 aangesloten zijn op de mikrotik. Je device op een andere interface van de mikrotik of wireless worden aangesloten. Let ook op dat je wireless van de Fritzbox en mikrotik niet gelijk zijn.

Let ook op doormiddel van deze config ga je dubbel nat dit kan voor portforward problemen zorgen.

woensdag 21 juni 2023 18:49

Acties:

+2 Henk 'm!

llagendijk

Hayertjez schreef op woensdag 21 juni 2023 @ 16:55:
Dat klopt, post aangevuld. Volgens winbox is dat inderdaad het adres van de mikrotik. Dit is het ipadres wat ik niet kan benaderen via de browser

Wat is het IP-adres van je PC? Het klinkt alsof dat een adres in de 182.168.178 reeks is? Verbinding naar de Fritz zit neem ik aan op ether1?

woensdag 21 juni 2023 20:22

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

Hayertjez schreef op woensdag 21 juni 2023 @ 16:27:
Het lukt mij niet om te achterhalen waardoor ik wel via WinBox op MAC-adres kan connecten maar niet via het ip-adres in de browser.

Omdat je PC niet twee netwerkkaarten heeft die elk met een andere Router verbonden kunnen zijn in dit soort situaties en echt vreselijk handig zijn om te hebben!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 23 juni 2023 11:22

Acties:

+1 Henk 'm!

Hayertjez

llagendijk schreef op woensdag 21 juni 2023 @ 18:49:
[...]

Wat is het IP-adres van je PC? Het klinkt alsof dat een adres in de 182.168.178 reeks is? Verbinding naar de Fritz zit neem ik aan op ether1?

Goede vraag! Deze was in het ip-adresbereik 182.168.178 reeks. Met het instellen en aansluiten op mijn computer heb ik de kabel onjuist teruggestoken. Deze zat op eht2

De mikrotik is in ieder geval weer benaderbaar via de webinterface

Ik denk dat ik twee configs heb verward met elkaar waardoor er twee ip reeksen door elkaar heen liepen.

Bedankt allen

Huidige config

code:

# model = RB962UiGS-5HacT2HnT
# serial number = 6F120725F71B
/caps-man channel
add band=2ghz-onlyn name=2ghz
add band=5ghz-onlyac extension-channel=Ceee name=5ghz
/interface bridge
add admin-mac=64:D1:54:6C:F5:A1 auto-mac=no comment=defconf name=bridge
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(17dBm), SSID: Thunderbirds are go, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac/P(21dBm), SSID: Thunderbirds are go, local forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik wireless-protocol=802.11
/interface vlan
add interface=ether1 mtu=1520 name=vlan6 vlan-id=6
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=datapath_cfg
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=cfg_sec
/caps-man configuration
add channel=2ghz country=netherlands datapath=datapath_cfg installation=indoor mode=ap name=cfg_2ghz security=cfg_sec security.authentication-types=wpa2-psk .encryption=aes-ccm ssid="Thunderbirds are go"
add channel=5ghz country=netherlands datapath=datapath_cfg installation=indoor mode=ap name=cfg_5ghz security=cfg_sec ssid="Thunderbirds are go"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/caps-man access-list
add mac-address=84:C7:EA:CE:05:38
add allow-signal-out-of-range=10s mac-address=40:83:1D:73:7A:14
add mac-address=84:C7:EA:CE:05:38
add allow-signal-out-of-range=10s mac-address=40:83:1D:73:7A:14
/caps-man manager
set enabled=yes package-path=/ upgrade-policy=suggest-same-version
/caps-man manager interface
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg_5ghz
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg_2ghz
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 discovery-interfaces=bridge enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment=defconf interface=bridge
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=193.110.81.0,185.253.5.0
/ip dns static
add address=192.168.81.1 comment=defconf name=router.lan
add address=193.110.81.0 name=dns0
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="hAP Boven"
/system note
set show-at-login=no
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN

donderdag 6 juli 2023 17:48

Acties:

0 Henk 'm!

Scidd0w

Zit te kijken naar de RB5009. Nu is het verschil tussen de versie met en zonder POE best groot (~€85).
Het gaat bij mij om het poweren van 2 of 3 APs. Wat is jullie ervaring? Kan dit ook prima met POE injectors of raden jullie toch aan om voor de RB5009UPr+S+IN te gaan?

donderdag 6 juli 2023 18:38

Acties:

+1 Henk 'm!

Kraz

Saving the world

Scidd0w schreef op donderdag 6 juli 2023 @ 17:48:
Zit te kijken naar de RB5009. Nu is het verschil tussen de versie met en zonder POE best groot (~€85).
Het gaat bij mij om het poweren van 2 of 3 APs. Wat is jullie ervaring? Kan dit ook prima met POE injectors of raden jullie toch aan om voor de RB5009UPr+S+IN te gaan?

Ik zou voor het gemak alleen al POE doen.
Scheelt weer 3x een stopcontact?

Dat ding hangt er straks 5+ jaar?
85 euro over 5 jaar is heeeel weinig?

vrijdag 7 juli 2023 00:14

Acties:

0 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

Scidd0w schreef op donderdag 6 juli 2023 @ 17:48:
Zit te kijken naar de RB5009. Nu is het verschil tussen de versie met en zonder POE best groot (~€85).
Het gaat bij mij om het poweren van 2 of 3 APs.

Wat is jullie ervaring?
Kan dit ook prima met POE injectors of raden jullie toch aan om voor de RB5009UPr+S+IN te gaan?

Een TP-Link TL-SG108PE kost geen drol voor wat het doet!

Kraz schreef op donderdag 6 juli 2023 @ 18:38:
Ik zou voor het gemak alleen al POE doen.
Scheelt weer 3x een stopcontact?

Dat ding hangt er straks 5+ jaar?
85 euro over 5 jaar is heeeel weinig?

Met een losse Switch nog minder!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

maandag 10 juli 2023 17:18

Acties:

0 Henk 'm!

Basmeg

Een korte uitleg. Ik heb twee sites: 1 in Nederland en 1 in Belgie. In Nederland een RB4011 direct middels ethernet aangesloten op de NTU via KPN glas. Een 100Mb/100Mb aansluiting met dynamisch IP-adres. In Belgie een CRS328 aangesloten op de Fritz!box van EDPnet. Fritz!box 7530 staat in "bridge" mode d.w.z. vervult enkel de modem functie voor de 85Mb/32Mb VDSL2 lijn met een dynamisch ip-adres. Tussen de beide sites een VPN van het type PPP L2TP. Een stabiele verbinding die probleemloos werkt. Klein minpuntje is de snelheid van het VPN. Deze bedraagt zo'n 20Mb/20Mb. De reden daarvan is mij bekend: een CRS328 is in essentie een switch en geen router en heeft te weinig rekencapaciteit voor het VPN.

Afbeeldingslocatie: https://tweakers.net/i/z4h2pYKuoQN2x6EArobWtb02sw0=/800x/filters:strip_exif()/f/image/y5u13lijoBvSwcQTx6OqwCS4.png?f=fotoalbum_large

Ik heb de volgende wens. Als ik op de PC werk (in Belgie), LAN IP 192.168.2.200, zou ik graag willen dat deze PC het externe IP-adres krijgt van Nederland, dus 18.18.19.19. M.a.w. zodat het lijkt alsof ik in Nederland ben. Enkel de PC moet het Nederlandse WAN IP-adres krijgen. Alle andere devices in Belgie kunnen direct het internet op met het Belgische WAN IP-adres, 26.26.13.13.
Ben in Winbox bezig geweest met IP>Routes maar het is me niet gelukt om de Belgische PC het Nederlandse IP adres te laten verkrijgen. Wat moet ik doen zodat ik op m'n Belgische PC het Nederlandse IP ades krijg? Bij voorbaat dank voor de genomen moeite.
Bijgaand de Nederlanse en Belgische configuraties. Van de laatste heb ik op internet niet veel kunnen vinden. Wellicht kan iemand hier zijn voordeel mee doen.

Nederlandse configuratie RB4011

code:

# jun/16/2023 17:38:14 by RouterOS 7.9
# software id = L27S-J717
#
# model = RB4011iGS+5HacQ2HnD
# serial number = great
/interface bridge
add name=bridge-GAST
add name=bridge1-LAN
add name=bridge2-WAN
/interface vlan
add interface=ether1 name=vlan1.6 vlan-id=6
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Inlogww supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=geengast \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=5ghz-n/ac channel-width=\
    20/40/80mhz-eCee comment=50 country=no_country_set disabled=no frequency=\
    auto frequency-mode=manual-txpower mode=ap-bridge secondary-frequency=\
    auto security-profile=Inlogww ssid=MikroTik50 station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=0 band=2ghz-g/n comment=24 \
    country=no_country_set disabled=no distance=indoors frequency=2422 mode=\
    ap-bridge security-profile=Inlogww ssid=MikroTik24 station-roaming=\
    enabled wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1:2:3:4:5:6:7 \
    master-interface=wlan2 multicast-buffering=disabled name=wlan3 \
    security-profile=geengast ssid=GastVanElsEnBas24 wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1:2:3:4:5:6:7 \
    master-interface=wlan1 multicast-buffering=disabled name=wlan4 \
    security-profile=geengast ssid=GastVanElsEnBas50 wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/interface wireless manual-tx-power-table
set wlan1 comment=50
set wlan2 comment=24
/interface wireless nstreme
set wlan1 comment=50
set wlan2 comment=24
/ip pool
add name=dhcp_pool0 ranges=192.168.1.1-192.168.1.254
add name=dhcp_pool1 ranges=192.168.37.2-192.168.37.254
add name=dhcp_pool2 ranges=192.168.37.2-192.168.37.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1-LAN lease-time=23h name=dhcp1
add address-pool=dhcp_pool2 interface=bridge-GAST lease-time=10m name=dhcp2
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
add change-tcp-mss=yes name=profile1-KPN only-one=yes use-compression=yes \
    use-ipv6=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-out1-KPN \
    profile=profile1-KPN user=pietje@puk
/routing bgp template
set default disabled=yes output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/system logging action
set 0 memory-lines=2000
set 1 disk-lines-per-file=2000
/zerotier
set zt1 comment="ZeroTier Central controller - https://my.zerotier.com/" \
    disabled=yes disabled=yes name=zt1 port=9993
/interface bridge port
add bridge=bridge1-LAN ingress-filtering=no interface=ether2
add bridge=bridge1-LAN ingress-filtering=no interface=ether3
add bridge=bridge1-LAN ingress-filtering=no interface=ether4
add bridge=bridge1-LAN ingress-filtering=no interface=ether5
add bridge=bridge1-LAN ingress-filtering=no interface=ether6
add bridge=bridge1-LAN ingress-filtering=no interface=ether7
add bridge=bridge1-LAN ingress-filtering=no interface=ether8
add bridge=bridge1-LAN ingress-filtering=no interface=ether9
add bridge=bridge1-LAN ingress-filtering=no interface=ether10
add bridge=bridge1-LAN ingress-filtering=no interface=wlan1
add bridge=bridge1-LAN ingress-filtering=no interface=wlan2
add bridge=bridge-GAST interface=wlan3
add bridge=bridge-GAST interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge1-LAN list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1-KPN list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge1-LAN network=192.168.1.0
add address=192.168.37.1/24 interface=bridge-GAST network=192.168.37.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add disabled=yes interface=ether1 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.250 client-id=1:2:3:4:5:6:7 mac-address=\
    1:2:3:4:5:6:7 server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.252,9.9.9.9 gateway=\
    192.168.1.1
add address=192.168.37.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.37.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.252,9.9.9.9
/ip firewall address-list
add address=192.168.84.12 list=drop_traffic_telnet
add address=192.168.85.12 list=drop_traffic_ssh
add address=nl.sn.mynetname.net list=NLexternIP
add address=be.sn.mynetname.net list=BEexternIP
add address=192.168.84.12 list=drop_traffic_ftp
add address=192.168.84.12 list=drop_traffic_winbox
/ip firewall filter
add action=drop chain=input log-prefix="Drop ssh" src-address-list=\
    drop_traffic_ssh
add action=drop chain=input log-prefix="Drop winbox" src-address-list=\
    drop_traffic_winbox
add action=drop chain=input log-prefix="Drop telnet" src-address-list=\
    drop_traffic_telnet
add action=drop chain=input log-prefix="Drop telnet" src-address-list=\
    drop_traffic_ftp
add action=drop chain=forward log=yes log-prefix="Poging nas" src-address=\
    188.65.190.35
add action=accept chain=input comment=L2TP-IPSec dst-port=1701,500,4500 \
    protocol=udp
add action=accept chain=input comment=L2TP-IPSec protocol=ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="DNS van buiten UDP" dst-port=53 \
    in-interface=pppoe-out1-KPN log=yes log-prefix="DNS poging" protocol=udp
add action=tarpit chain=input comment="DNS van buiten TCP" dst-port=53 \
    in-interface=pppoe-out1-KPN log=yes log-prefix="DNS poging" protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="Winbox doorlaten" dst-port=8291 \
    protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=add-src-to-address-list address-list=drop_traffic_telnet \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende inlog telnet op poort 23 na 5 minuten" dst-port=23 \
    log-prefix="Telnet inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ssh \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ssh inlog op poort 22 na 5 minuten" dst-port=22 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_winbox \
    address-list-timeout=none-static chain=prerouting comment=\
    "Winbox inlog poort 8291 poging" dst-port=8291 log-prefix=\
    "Winbox inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ftp \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ftp inlog op poort 21 na 5 minuten" dst-port=21 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-KPN
add action=dst-nat chain=dstnat comment="Portforwarding Plex" dst-port=32400 \
    in-interface=pppoe-out1-KPN protocol=tcp to-addresses=192.168.1.252 \
    to-ports=32400
add action=dst-nat chain=dstnat dst-address=!192.168.1.252 dst-port=53 \
    protocol=udp src-address=!192.168.1.252 to-addresses=192.168.1.252
add action=dst-nat chain=dstnat dst-address=!192.168.1.252 dst-port=53 \
    protocol=tcp src-address=!192.168.1.252 to-addresses=192.168.1.252
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=udp src-address=192.168.1.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=udp src-address=192.168.37.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=tcp src-address=192.168.1.0/24
/ip proxy
set cache-on-disk=yes src-address=0.0.0.0
/ip service
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=172.16.1.1 name=nlbe profile=default-encryption \
    remote-address=172.16.1.2 routes=192.168.2.0/24 service=l2tp
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=MTRB4011
/system leds
add interface=*D leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,w\
    lan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=*D leds=wlan2_tx-led type=interface-transmit
add interface=*D leds=wlan2_rx-led type=interface-receive
/system logging
add disabled=yes topics=ipsec
add disabled=yes topics=account
add action=echo disabled=yes topics=account
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=216.239.35.12
add address=162.159.200.123
/system resource irq rps
set sfp-sfpplus1 disabled=no

Belgische configuratie CRS328

code:

# 2023-06-16 17:41:52 by RouterOS 7.10
# software id = 6FN3-DRDU
#
# model = CRS328-24P-4S+
# serial number = veel
/caps-man channel
add band=2ghz-g/n frequency=2412 name=channel1
add band=2ghz-g/n frequency=2462 name=channel11
add band=2ghz-g/n frequency=2437 name=channel6
add band=5ghz-n/ac frequency=5580 name=channel116
add band=5ghz-n/ac frequency=5620 name=channel124
add band=5ghz-n/ac frequency=5680 name=channel136
/interface bridge
add name=bridge1
add name=bridgeGasten
/interface l2tp-client
add allow=chap,mschap1,mschap2 allow-fast-path=yes connect-to=\
    nummertje.sn.mynetname.net disabled=no name=naarNL use-ipsec=yes user=\
    nlbe
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    nobody@nergens
/caps-man datapath
add bridge=bridge1 name=datapathEDPnet
add bridge=bridgeGasten name=datapathGasten
/caps-man configuration
add channel=channel1 country=belgium datapath=datapathGasten mode=ap name=\
    2Ghz-channel1-gasten ssid=GastVanElsEnBasInSoy24
add channel=channel11 country=belgium datapath=datapathGasten mode=ap name=\
    2Ghz-channel11-gasten ssid=GastVanElsEnBasInSoy24
add channel=channel6 country=belgium datapath=datapathGasten mode=ap name=\
    "2Ghz-channel6=gasten" ssid=GastVanElsEnBasInSoy24
add channel=channel116 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel116-gasten ssid=GastVanElsEnBasInSoy50
add channel=channel124 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel124-gasten ssid=GastVanElsEnBasInSoy50
add channel=channel136 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel136-gasten ssid=GastVanElsEnBasInSoy50
/caps-man security
add authentication-types=wpa2-psk encryption="" name=Gasten
add authentication-types=wpa2-psk encryption=aes-ccm name=EDPnet
/caps-man configuration
add channel=channel1 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel1-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel11 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel11-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel6 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel6-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel116 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel116-EDPnet security=EDPnet ssid=MikrotikBE50
add channel=channel124 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel124-EDPnet security=EDPnet ssid=MikrotikBE50
add channel=channel136 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel136-EDPnet security=EDPnet ssid=MikrotikBE50
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.2.3-192.168.2.254
add name=dhcp_poolGasten ranges=192.168.69.20-192.168.69.254
/ip dhcp-server
add address-pool=dhcp interface=bridge1 lease-time=3d name=dhcp1
add address-pool=dhcp_poolGasten interface=bridgeGasten lease-time=3d name=\
    dhcp2
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=2Ghz-channel11-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:EB:57 slave-configurations=\
    2Ghz-channel11-gasten
add action=create-dynamic-enabled master-configuration=5Ghz-channel136-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:EB:58 slave-configurations=\
    5Ghz-channel136-gasten
add action=create-dynamic-enabled master-configuration=2Ghz-channel6-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:F3:06 slave-configurations=\
    "2Ghz-channel6=gasten"
add action=create-dynamic-enabled master-configuration=5Ghz-channel124-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:F3:07 slave-configurations=\
    5Ghz-channel124-gasten
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 ingress-filtering=no interface=ether3
add bridge=bridge1 ingress-filtering=no interface=ether4
add bridge=bridge1 ingress-filtering=no interface=ether5
add bridge=bridge1 ingress-filtering=no interface=ether6
add bridge=bridge1 ingress-filtering=no interface=ether7
add bridge=bridge1 ingress-filtering=no interface=ether8
add bridge=bridge1 ingress-filtering=no interface=ether9
add bridge=bridge1 ingress-filtering=no interface=ether10
add bridge=bridge1 ingress-filtering=no interface=ether11
add bridge=bridge1 ingress-filtering=no interface=ether12
add bridge=bridge1 ingress-filtering=no interface=ether13
add bridge=bridge1 ingress-filtering=no interface=ether14
add bridge=bridge1 ingress-filtering=no interface=ether15
add bridge=bridge1 ingress-filtering=no interface=ether16
add bridge=bridge1 ingress-filtering=no interface=ether17
add bridge=bridge1 ingress-filtering=no interface=ether18
add bridge=bridge1 ingress-filtering=no interface=ether19
add bridge=bridge1 ingress-filtering=no interface=ether20
add bridge=bridge1 ingress-filtering=no interface=ether21
add bridge=bridge1 ingress-filtering=no interface=ether22
add bridge=bridge1 ingress-filtering=no interface=ether23
add bridge=bridge1 ingress-filtering=no interface=ether24
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus4
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set max-neighbor-entries=8192
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
add address=192.168.69.1/24 interface=bridgeGasten network=192.168.69.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.2.254 client-id=1:2:3:4:5:6:7 mac-address=\
    1:2:3:4:5:6:7 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
add address=192.168.69.0/24 gateway=192.168.69.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,9.9.9.9
/ip firewall address-list
add address=192.168.84.12 list=drop_traffic_telnet
add address=192.168.85.12 list=drop_traffic_ssh
add address=nummertje.sn.mynetname.net list=NLexternIP
add address=192.168.84.12 list=drop_traffic_ftp
add address=192.168.84.12 list=drop_traffic_winbox
add address=nummertje2.sn.mynetname.net list=BEexternIP
/ip firewall filter
add action=drop chain=input src-address-list=drop_traffic_ssh
add action=drop chain=input src-address-list=drop_traffic_telnet
add action=drop chain=input src-address-list=drop_traffic_ftp
add action=drop chain=input src-address-list=drop_traffic_winbox
add action=accept chain=input comment=L2TP-IPsec dst-port=1701,500,4500 \
    protocol=udp
add action=accept chain=input comment=L2TP-IPsec protocol=ipsec-esp
add action=accept chain=input disabled=yes protocol=udp src-port=123
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp \
    src-port=""
add action=tarpit chain=input dst-port=53 in-interface=pppoe-out1 protocol=\
    tcp
add action=drop chain=input log-prefix="Drop ssh" src-address-list=\
    drop_traffic
add action=drop chain=forward connection-state=invalid log-prefix=\
    Forward_invalid_drop
add action=drop chain=input log-prefix="SSH inlog poging" src-address-list=\
    drop_traffic_ssh
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=new
add action=drop chain=forward connection-state=untracked log-prefix=\
    Forward_untracked_drop
add action=drop chain=input connection-state=invalid log-prefix=\
    Input_invalid_drop
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=new
add action=drop chain=input connection-state=untracked log-prefix=\
    Input_untracked_drop
add action=drop chain=output connection-state=invalid log-prefix=\
    Output_invalid_drop
add action=accept chain=output connection-state=established
add action=accept chain=output connection-state=related
add action=accept chain=output connection-state=new
add action=drop chain=output connection-state=untracked
add action=drop chain=forward
add action=drop chain=input
add action=drop chain=output
add action=add-src-to-address-list address-list=Portgescanned \
    address-list-timeout=none-dynamic chain=forward disabled=yes protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list=Portgescanned \
    address-list-timeout=none-dynamic chain=input disabled=yes protocol=tcp \
    psd=21,3s,3,1
add action=drop chain=forward disabled=yes protocol=tcp src-address-list=\
    Portgescanned
add action=drop chain=input disabled=yes protocol=tcp src-address-list=\
    Portgescanned
/ip firewall mangle
add action=add-src-to-address-list address-list=drop_traffic_ftp \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ftp inlog op poort 21 na 5 minuten" dst-port=21 \
    log-prefix="FTP  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ssh \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ssh inlog op poort 22 na 5 minuten" dst-port=22 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_telnet \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende telnet inlog op poort 23 na 5 minuten" dst-port=23 \
    log-prefix="Telnet inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_winbox \
    address-list-timeout=none-dynamic chain=prerouting comment=\
    "Wachttijd volgende winbox inlog op poort 8291 " dst-port=8291 \
    log-prefix="Winbox inlog poging" protocol=tcp src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment="NTP NAT masquerade " dst-port=123 \
    protocol=udp to-ports=12300-12390
add action=masquerade chain=srcnat out-interface-list=WAN
/ip proxy
set cache-administrator=""
/ip route
add disabled=no dst-address=192.168.1.0/24 gateway=naarNL
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=naarNL pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Brussels
/system identity
set name=MT328
/system logging
add topics=timer
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=216.239.35.12
add address=162.159.200.123
/system routerboard settings
set boot-os=router-os

maandag 10 juli 2023 20:59

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

Basmeg schreef op maandag 10 juli 2023 @ 17:18:
De reden daarvan is mij bekend: een CRS328 is in essentie een switch en geen router en heeft te weinig rekencapaciteit voor het VPN.

Doe jezelf een plezier en gooi l2tp eruit voor WireGuard. Dat is zeer waarschijnlijk een stuk sneller en ook nog eens veilig.

Wat moet ik doen zodat ik op m'n Belgische PC het Nederlandse IP ades krijg?

Een extra routetabel aanmaken op je Belgische router, zodat je daarna met een routing rule ervoor kunt zorgen dat alleen de gewenste PC via die routabel (met een default route over je VPN) wordt gerouteerd.

Maak op je BE-router een nieuwe routetabel 'vpn' aan (/routing/table/add) en voeg er een default route aan toe over de VPN (dwz. via 172.16.1.1)
Maak op je BE-router een routing rule (/routing/rule/add) met strekking from 192.168.2.100 lookup vpn
Maak op de NL-router een route aan voor 192.168.2.0/24 via 172.16.1.2

Update dan de firewall waar nodig (die heb ik niet gelezen, dat is je huiswerk) - zet tijdelijk een FORWARD accept op in/out voor de VPN interface als het niet werkt om de firewall uit te sluiten.

maandag 10 juli 2023 23:02

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Netwerk switches
Netwerkaccessoires
Accesspoints
MikroTik
Modems en routers

Basmeg schreef op maandag 10 juli 2023 @ 17:18:
[Afbeelding]

offtopic:
TIP #1 : Crop de whitespace weg en dan hou je een nog duidelijkere afbeelding over!

code:

# jun/16/2023 17:38:14 by RouterOS 7.9
# software id = L27S-J717
#
# model = RB4011iGS+5HacQ2HnD
# serial number = great
/interface bridge
add name=bridge-GAST
add name=bridge1-LAN
add name=bridge2-WAN
/interface vlan
add interface=ether1 name=vlan1.6 vlan-id=6
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Inlogww supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=geengast \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=5ghz-n/ac channel-width=\
    20/40/80mhz-eCee comment=50 country=no_country_set disabled=no frequency=\
    auto frequency-mode=manual-txpower mode=ap-bridge secondary-frequency=\
    auto security-profile=Inlogww ssid=MikroTik50 station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=0 band=2ghz-g/n comment=24 \
    country=no_country_set disabled=no distance=indoors frequency=2422 mode=\
    ap-bridge security-profile=Inlogww ssid=MikroTik24 station-roaming=\
    enabled wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1:2:3:4:5:6:7 \
    master-interface=wlan2 multicast-buffering=disabled name=wlan3 \
    security-profile=geengast ssid=GastVanElsEnBas24 wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1:2:3:4:5:6:7 \
    master-interface=wlan1 multicast-buffering=disabled name=wlan4 \
    security-profile=geengast ssid=GastVanElsEnBas50 wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/interface wireless manual-tx-power-table
set wlan1 comment=50
set wlan2 comment=24
/interface wireless nstreme
set wlan1 comment=50
set wlan2 comment=24
/ip pool
add name=dhcp_pool0 ranges=192.168.1.1-192.168.1.254
add name=dhcp_pool1 ranges=192.168.37.2-192.168.37.254
add name=dhcp_pool2 ranges=192.168.37.2-192.168.37.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1-LAN lease-time=23h name=dhcp1
add address-pool=dhcp_pool2 interface=bridge-GAST lease-time=10m name=dhcp2
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
add change-tcp-mss=yes name=profile1-KPN only-one=yes use-compression=yes \
    use-ipv6=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-out1-KPN \
    profile=profile1-KPN user=pietje@puk
/routing bgp template
set default disabled=yes output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/system logging action
set 0 memory-lines=2000
set 1 disk-lines-per-file=2000
/zerotier
set zt1 comment="ZeroTier Central controller - https://my.zerotier.com/" \
    disabled=yes disabled=yes name=zt1 port=9993
/interface bridge port
add bridge=bridge1-LAN ingress-filtering=no interface=ether2
add bridge=bridge1-LAN ingress-filtering=no interface=ether3
add bridge=bridge1-LAN ingress-filtering=no interface=ether4
add bridge=bridge1-LAN ingress-filtering=no interface=ether5
add bridge=bridge1-LAN ingress-filtering=no interface=ether6
add bridge=bridge1-LAN ingress-filtering=no interface=ether7
add bridge=bridge1-LAN ingress-filtering=no interface=ether8
add bridge=bridge1-LAN ingress-filtering=no interface=ether9
add bridge=bridge1-LAN ingress-filtering=no interface=ether10
add bridge=bridge1-LAN ingress-filtering=no interface=wlan1
add bridge=bridge1-LAN ingress-filtering=no interface=wlan2
add bridge=bridge-GAST interface=wlan3
add bridge=bridge-GAST interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge1-LAN list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1-KPN list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge1-LAN network=192.168.1.0
add address=192.168.37.1/24 interface=bridge-GAST network=192.168.37.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add disabled=yes interface=ether1 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.250 client-id=1:2:3:4:5:6:7 mac-address=\
    1:2:3:4:5:6:7 server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.252,9.9.9.9 gateway=\
    192.168.1.1
add address=192.168.37.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.37.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.252,9.9.9.9
/ip firewall address-list
add address=192.168.84.12 list=drop_traffic_telnet
add address=192.168.85.12 list=drop_traffic_ssh
add address=nl.sn.mynetname.net list=NLexternIP
add address=be.sn.mynetname.net list=BEexternIP
add address=192.168.84.12 list=drop_traffic_ftp
add address=192.168.84.12 list=drop_traffic_winbox
/ip firewall filter
add action=drop chain=input log-prefix="Drop ssh" src-address-list=\
    drop_traffic_ssh
add action=drop chain=input log-prefix="Drop winbox" src-address-list=\
    drop_traffic_winbox
add action=drop chain=input log-prefix="Drop telnet" src-address-list=\
    drop_traffic_telnet
add action=drop chain=input log-prefix="Drop telnet" src-address-list=\
    drop_traffic_ftp
add action=drop chain=forward log=yes log-prefix="Poging nas" src-address=\
    188.65.190.35
add action=accept chain=input comment=L2TP-IPSec dst-port=1701,500,4500 \
    protocol=udp
add action=accept chain=input comment=L2TP-IPSec protocol=ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="DNS van buiten UDP" dst-port=53 \
    in-interface=pppoe-out1-KPN log=yes log-prefix="DNS poging" protocol=udp
add action=tarpit chain=input comment="DNS van buiten TCP" dst-port=53 \
    in-interface=pppoe-out1-KPN log=yes log-prefix="DNS poging" protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="Winbox doorlaten" dst-port=8291 \
    protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=add-src-to-address-list address-list=drop_traffic_telnet \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende inlog telnet op poort 23 na 5 minuten" dst-port=23 \
    log-prefix="Telnet inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ssh \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ssh inlog op poort 22 na 5 minuten" dst-port=22 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_winbox \
    address-list-timeout=none-static chain=prerouting comment=\
    "Winbox inlog poort 8291 poging" dst-port=8291 log-prefix=\
    "Winbox inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ftp \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ftp inlog op poort 21 na 5 minuten" dst-port=21 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-KPN
add action=dst-nat chain=dstnat comment="Portforwarding Plex" dst-port=32400 \
    in-interface=pppoe-out1-KPN protocol=tcp to-addresses=192.168.1.252 \
    to-ports=32400
add action=dst-nat chain=dstnat dst-address=!192.168.1.252 dst-port=53 \
    protocol=udp src-address=!192.168.1.252 to-addresses=192.168.1.252
add action=dst-nat chain=dstnat dst-address=!192.168.1.252 dst-port=53 \
    protocol=tcp src-address=!192.168.1.252 to-addresses=192.168.1.252
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=udp src-address=192.168.1.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=udp src-address=192.168.37.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=53 \
    protocol=tcp src-address=192.168.1.0/24
/ip proxy
set cache-on-disk=yes src-address=0.0.0.0
/ip service
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=172.16.1.1 name=nlbe profile=default-encryption \
    remote-address=172.16.1.2 routes=192.168.2.0/24 service=l2tp
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=MTRB4011
/system leds
add interface=*D leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,w\
    lan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=*D leds=wlan2_tx-led type=interface-transmit
add interface=*D leds=wlan2_rx-led type=interface-receive
/system logging
add disabled=yes topics=ipsec
add disabled=yes topics=account
add action=echo disabled=yes topics=account
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=216.239.35.12
add address=162.159.200.123
/system resource irq rps
set sfp-sfpplus1 disabled=no

Belgische configuratie CRS328

code:

# 2023-06-16 17:41:52 by RouterOS 7.10
# software id = 6FN3-DRDU
#
# model = CRS328-24P-4S+
# serial number = veel
/caps-man channel
add band=2ghz-g/n frequency=2412 name=channel1
add band=2ghz-g/n frequency=2462 name=channel11
add band=2ghz-g/n frequency=2437 name=channel6
add band=5ghz-n/ac frequency=5580 name=channel116
add band=5ghz-n/ac frequency=5620 name=channel124
add band=5ghz-n/ac frequency=5680 name=channel136
/interface bridge
add name=bridge1
add name=bridgeGasten
/interface l2tp-client
add allow=chap,mschap1,mschap2 allow-fast-path=yes connect-to=\
    nummertje.sn.mynetname.net disabled=no name=naarNL use-ipsec=yes user=\
    nlbe
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    nobody@nergens
/caps-man datapath
add bridge=bridge1 name=datapathEDPnet
add bridge=bridgeGasten name=datapathGasten
/caps-man configuration
add channel=channel1 country=belgium datapath=datapathGasten mode=ap name=\
    2Ghz-channel1-gasten ssid=GastVanElsEnBasInSoy24
add channel=channel11 country=belgium datapath=datapathGasten mode=ap name=\
    2Ghz-channel11-gasten ssid=GastVanElsEnBasInSoy24
add channel=channel6 country=belgium datapath=datapathGasten mode=ap name=\
    "2Ghz-channel6=gasten" ssid=GastVanElsEnBasInSoy24
add channel=channel116 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel116-gasten ssid=GastVanElsEnBasInSoy50
add channel=channel124 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel124-gasten ssid=GastVanElsEnBasInSoy50
add channel=channel136 country=belgium datapath=datapathGasten mode=ap name=\
    5Ghz-channel136-gasten ssid=GastVanElsEnBasInSoy50
/caps-man security
add authentication-types=wpa2-psk encryption="" name=Gasten
add authentication-types=wpa2-psk encryption=aes-ccm name=EDPnet
/caps-man configuration
add channel=channel1 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel1-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel11 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel11-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel6 country=belgium datapath=datapathEDPnet mode=ap name=\
    2Ghz-channel6-EDPnet security=EDPnet ssid=MikrotikBE24
add channel=channel116 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel116-EDPnet security=EDPnet ssid=MikrotikBE50
add channel=channel124 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel124-EDPnet security=EDPnet ssid=MikrotikBE50
add channel=channel136 country=belgium datapath=datapathEDPnet mode=ap name=\
    5Ghz-channel136-EDPnet security=EDPnet ssid=MikrotikBE50
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.2.3-192.168.2.254
add name=dhcp_poolGasten ranges=192.168.69.20-192.168.69.254
/ip dhcp-server
add address-pool=dhcp interface=bridge1 lease-time=3d name=dhcp1
add address-pool=dhcp_poolGasten interface=bridgeGasten lease-time=3d name=\
    dhcp2
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=2Ghz-channel11-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:EB:57 slave-configurations=\
    2Ghz-channel11-gasten
add action=create-dynamic-enabled master-configuration=5Ghz-channel136-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:EB:58 slave-configurations=\
    5Ghz-channel136-gasten
add action=create-dynamic-enabled master-configuration=2Ghz-channel6-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:F3:06 slave-configurations=\
    "2Ghz-channel6=gasten"
add action=create-dynamic-enabled master-configuration=5Ghz-channel124-EDPnet \
    name-format=identity radio-mac=48:8F:5A:76:F3:07 slave-configurations=\
    5Ghz-channel124-gasten
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 ingress-filtering=no interface=ether3
add bridge=bridge1 ingress-filtering=no interface=ether4
add bridge=bridge1 ingress-filtering=no interface=ether5
add bridge=bridge1 ingress-filtering=no interface=ether6
add bridge=bridge1 ingress-filtering=no interface=ether7
add bridge=bridge1 ingress-filtering=no interface=ether8
add bridge=bridge1 ingress-filtering=no interface=ether9
add bridge=bridge1 ingress-filtering=no interface=ether10
add bridge=bridge1 ingress-filtering=no interface=ether11
add bridge=bridge1 ingress-filtering=no interface=ether12
add bridge=bridge1 ingress-filtering=no interface=ether13
add bridge=bridge1 ingress-filtering=no interface=ether14
add bridge=bridge1 ingress-filtering=no interface=ether15
add bridge=bridge1 ingress-filtering=no interface=ether16
add bridge=bridge1 ingress-filtering=no interface=ether17
add bridge=bridge1 ingress-filtering=no interface=ether18
add bridge=bridge1 ingress-filtering=no interface=ether19
add bridge=bridge1 ingress-filtering=no interface=ether20
add bridge=bridge1 ingress-filtering=no interface=ether21
add bridge=bridge1 ingress-filtering=no interface=ether22
add bridge=bridge1 ingress-filtering=no interface=ether23
add bridge=bridge1 ingress-filtering=no interface=ether24
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge1 ingress-filtering=no interface=sfp-sfpplus4
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set max-neighbor-entries=8192
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
add address=192.168.69.1/24 interface=bridgeGasten network=192.168.69.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.2.254 client-id=1:2:3:4:5:6:7 mac-address=\
    1:2:3:4:5:6:7 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
add address=192.168.69.0/24 gateway=192.168.69.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,9.9.9.9
/ip firewall address-list
add address=192.168.84.12 list=drop_traffic_telnet
add address=192.168.85.12 list=drop_traffic_ssh
add address=nummertje.sn.mynetname.net list=NLexternIP
add address=192.168.84.12 list=drop_traffic_ftp
add address=192.168.84.12 list=drop_traffic_winbox
add address=nummertje2.sn.mynetname.net list=BEexternIP
/ip firewall filter
add action=drop chain=input src-address-list=drop_traffic_ssh
add action=drop chain=input src-address-list=drop_traffic_telnet
add action=drop chain=input src-address-list=drop_traffic_ftp
add action=drop chain=input src-address-list=drop_traffic_winbox
add action=accept chain=input comment=L2TP-IPsec dst-port=1701,500,4500 \
    protocol=udp
add action=accept chain=input comment=L2TP-IPsec protocol=ipsec-esp
add action=accept chain=input disabled=yes protocol=udp src-port=123
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp \
    src-port=""
add action=tarpit chain=input dst-port=53 in-interface=pppoe-out1 protocol=\
    tcp
add action=drop chain=input log-prefix="Drop ssh" src-address-list=\
    drop_traffic
add action=drop chain=forward connection-state=invalid log-prefix=\
    Forward_invalid_drop
add action=drop chain=input log-prefix="SSH inlog poging" src-address-list=\
    drop_traffic_ssh
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=new
add action=drop chain=forward connection-state=untracked log-prefix=\
    Forward_untracked_drop
add action=drop chain=input connection-state=invalid log-prefix=\
    Input_invalid_drop
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=new
add action=drop chain=input connection-state=untracked log-prefix=\
    Input_untracked_drop
add action=drop chain=output connection-state=invalid log-prefix=\
    Output_invalid_drop
add action=accept chain=output connection-state=established
add action=accept chain=output connection-state=related
add action=accept chain=output connection-state=new
add action=drop chain=output connection-state=untracked
add action=drop chain=forward
add action=drop chain=input
add action=drop chain=output
add action=add-src-to-address-list address-list=Portgescanned \
    address-list-timeout=none-dynamic chain=forward disabled=yes protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list=Portgescanned \
    address-list-timeout=none-dynamic chain=input disabled=yes protocol=tcp \
    psd=21,3s,3,1
add action=drop chain=forward disabled=yes protocol=tcp src-address-list=\
    Portgescanned
add action=drop chain=input disabled=yes protocol=tcp src-address-list=\
    Portgescanned
/ip firewall mangle
add action=add-src-to-address-list address-list=drop_traffic_ftp \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ftp inlog op poort 21 na 5 minuten" dst-port=21 \
    log-prefix="FTP  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_ssh \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende ssh inlog op poort 22 na 5 minuten" dst-port=22 \
    log-prefix="SSH  inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_telnet \
    address-list-timeout=5m chain=prerouting comment=\
    "Wachttijd volgende telnet inlog op poort 23 na 5 minuten" dst-port=23 \
    log-prefix="Telnet inlog poging" protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=drop_traffic_winbox \
    address-list-timeout=none-dynamic chain=prerouting comment=\
    "Wachttijd volgende winbox inlog op poort 8291 " dst-port=8291 \
    log-prefix="Winbox inlog poging" protocol=tcp src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment="NTP NAT masquerade " dst-port=123 \
    protocol=udp to-ports=12300-12390
add action=masquerade chain=srcnat out-interface-list=WAN
/ip proxy
set cache-administrator=""
/ip route
add disabled=no dst-address=192.168.1.0/24 gateway=naarNL
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=naarNL pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Brussels
/system identity
set name=MT328
/system logging
add topics=timer
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=216.239.35.12
add address=162.159.200.123
/system routerboard settings
set boot-os=router-os

offtopic:
TIP #2 : Zulke lange CODE blokken kan je beter tussen QUOTE Tags zetten om ze in te klappen

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

dinsdag 11 juli 2023 09:24

Acties:

0 Henk 'm!

zweefjr

Goedemorgen, ik zit te overwegen om een RB5009 te kopen.
Wat is jullie ervaring met Mikrotik en KPN routed iptv?

dinsdag 11 juli 2023 09:37

Acties:

+1 Henk 'm!

Erhnam

het Hardware-Hondje :]

zweefjr schreef op dinsdag 11 juli 2023 @ 09:24:
Goedemorgen, ik zit te overwegen om een RB5009 te kopen.
Wat is jullie ervaring met Mikrotik en KPN routed iptv?

Bij mij werkt alles als de brandweer. RB5009 met veel Unif spul. Alleen de access points. IPTV werkt hier prima.

http://www.xbmcfreak.nl/

dinsdag 11 juli 2023 12:59

Acties:

0 Henk 'm!

zweefjr

Erhnam schreef op dinsdag 11 juli 2023 @ 09:37:
[...]

Bij mij werkt alles als de brandweer. RB5009 met veel Unif spul. Alleen de access points. IPTV werkt hier prima.

Dat is goed om te horen, heb je misschien ook link naar een config/tutorial hiervoor?
Ik had al wel wat gevonden op github, maar weet niet of die goed is.

dinsdag 11 juli 2023 16:57

Acties:

+1 Henk 'm!

sjaak88

zweefjr schreef op dinsdag 11 juli 2023 @ 12:59:
[...]

Dat is goed om te horen, heb je misschien ook link naar een config/tutorial hiervoor?
Ik had al wel wat gevonden op github, maar weet niet of die goed is.

Github is de juiste tutorial, die van netwerkje.com is verouderd en werkte bij mij niet goed.
Ook hier draait het als een zonnetje, TV+ box van KPN via wifi 6 van z'n super wifi punt i.c.m. RB5009.

[ Voor 12% gewijzigd door sjaak88 op 11-07-2023 16:59 ]

dinsdag 11 juli 2023 17:09

Acties:

0 Henk 'm!

Basmeg

Thralas schreef op maandag 10 juli 2023 @ 20:59:
[...]

Doe jezelf een plezier en gooi l2tp eruit voor WireGuard. Dat is zeer waarschijnlijk een stuk sneller en ook nog eens veilig.

[...]
Een extra routetabel aanmaken op je Belgische router, zodat je daarna met een routing rule ervoor kunt zorgen dat alleen de gewenste PC via die routabel (met een default route over je VPN) wordt gerouteerd.

Klopt. Als zwak excuus: toen ik het VPN implementeerde was WireGuard nog niet beschikbaar in RouterOS. Wordt een volgend projectje

Zodra m'n andere gezinsleden in bed liggen ga ik met je oplossing aan de slag. Bedankt.

Onderwerpen