[MikroTik-apparatuur] Ervaringen & Discussie

maandag 25 september 2023 10:29

Acties:

0 Henk 'm!

Boys, even een vraagje. Mijn zoon speelt fortnite en hij klaagt dat de ping te hoog is.
Ik ben gescheiden en mijn ex-vrouw heeft fiber met een moderne modem/router en ik heb ook fiber met een mikrotik uitvoering: MikroTik Routerboard RB2011UiAS-2HnD-IN
Dus een oud model. Ik doe hier pppoe mee.
Mijn zoon klaagt dat , via wifi, zijn ping bij mij thuis een stuk hoger is als bij de mama. Qua afstand zit hij op een paar meter.
Gaat dit beter zijn als ik een nieuwer model van mikrotik aanschaf ?

maandag 25 september 2023 10:38

Acties:

+3 Henk 'm!

Hmmbob

Kan je een kabel trekken? Da's de echte oplossing.

Sometimes you need to plan for coincidence

maandag 25 september 2023 10:44

Acties:

+1 Henk 'm!

mukky

Yarisken schreef op maandag 25 september 2023 @ 10:29:
Boys, even een vraagje. Mijn zoon speelt fortnite en hij klaagt dat de ping te hoog is.
Ik ben gescheiden en mijn ex-vrouw heeft fiber met een moderne modem/router en ik heb ook fiber met een mikrotik uitvoering: MikroTik Routerboard RB2011UiAS-2HnD-IN
Dus een oud model. Ik doe hier pppoe mee.
Mijn zoon klaagt dat , via wifi, zijn ping bij mij thuis een stuk hoger is als bij de mama. Qua afstand zit hij op een paar meter.
Gaat dit beter zijn als ik een nieuwer model van mikrotik aanschaf ?

Dat kan natuurlijk niet dat de Wifi bij mama beter is, daar komen problemen van

Wat voor Fiber provider heb je? (hun backbone kan ook voor extra latency zorgen). Een RB2011 is misschien wel wat ouder maar ik kan me niet voorstellen dat de CPU van de router zodanig overbelast is dat je ping tijden eronder gaan lijden (kijk eens in de router om dit te verifieren). Meest waarschijnlijke ookzaak is idd Wifi, kabeltje leggen (al is het maar voor de test) om uit te sluiten. Succes

maandag 25 september 2023 11:14

Acties:

+1 Henk 'm!

mbovenka

Een 2011 met PPPoE? Wat is je bandbreedte? Als het meer dan 200Mbps is, vraag je teveel van het ding. Hij haalt met wat wind mee 250Mbps, en dat is zonder PPPoE (zie de regel 'Routing - 25 IP filter rules 512 byte': https://mikrotik.com/prod...2HnD-IN#fndtn-testresults)

maandag 25 september 2023 11:29

Acties:

+2 Henk 'm!

FatalError

Heb je de Fasttrack functie aan staan?

If it ain't broken, tweak it!

maandag 25 september 2023 11:31

Acties:

+1 Henk 'm!

Yarisken

Hmmbob schreef op maandag 25 september 2023 @ 10:38:
Kan je een kabel trekken? Da's de echte oplossing.

x
Wel ik ben zijn kamer aan het renoveren ... daar ligt een kabel.

Ik heb , ben Vlaming, mobilevikings en mijn ex heeft scarlet. Beide fiber en beide zitten op dezelfde backbone van proximus.

De CPU doet niets in de router. Ik heb 150Mb down en 40Mb up. Dit zal hetzelfde zijn als bij mijn ex.

Ik zal is een kabel van de router aansluiten op zijn laptop. Is zien wat de ping dan zegt.

maandag 25 september 2023 11:32

Acties:

0 Henk 'm!

Yarisken

FatalError schreef op maandag 25 september 2023 @ 11:29:
Heb je de Fasttrack functie aan staan?

Ja staat aan !

maandag 25 september 2023 11:35

Acties:

+1 Henk 'm!

Hmmbob

Overigens doet een rb2011 alleen 2.4ghz wifi - da's wel verouderd. Wellicht zie je verbetering met 5ghz wifi, maar alleen als het access point dichtbij is (5ghz wifi gaat beperkt door muren heen).

Maar, voor gaming met lage ping is de echte oplossing een kabel.

Sometimes you need to plan for coincidence

dinsdag 26 september 2023 12:06

Acties:

0 Henk 'm!

chaoscontrol

mbovenka schreef op maandag 25 september 2023 @ 11:14:
Een 2011 met PPPoE? Wat is je bandbreedte? Als het meer dan 200Mbps is, vraag je teveel van het ding. Hij haalt met wat wind mee 250Mbps, en dat is zonder PPPoE (zie de regel 'Routing - 25 IP filter rules 512 byte': https://mikrotik.com/prod...2HnD-IN#fndtn-testresults)

Met fasttrack aan trok ik zo een 500mbit lijntje vol.

Maar ik zou het ook zoeken in het 2.4 GHz wifi. Met kabel zal beter werken.

Inventaris - Koop mijn meuk!

dinsdag 26 september 2023 12:15

Acties:

0 Henk 'm!

mbovenka

chaoscontrol schreef op dinsdag 26 september 2023 @ 12:06:
Met fasttrack aan trok ik zo een 500mbit lijntje vol.

Met PPPoE? Maar goed, gezien z'n 150/40 verbinding zal het inderdaad wel in de WiFi zitten.

dinsdag 26 september 2023 12:26

Acties:

0 Henk 'm!

chaoscontrol

mbovenka schreef op dinsdag 26 september 2023 @ 12:15:
[...]

Met PPPoE? Maar goed, gezien z'n 150/40 verbinding zal het inderdaad wel in de WiFi zitten.

Met PPPoE idd (kpn glasvezel).

Inventaris - Koop mijn meuk!

woensdag 27 september 2023 18:10

Acties:

+2 Henk 'm!

Thralas

MikroTik
Wifi

Yarisken schreef op maandag 25 september 2023 @ 10:29:
Gaat dit beter zijn als ik een nieuwer model van mikrotik aanschaf ?

Ja. De RB2011 ondersteunt enkel 2.4 GHz WiFi. Op die band is zoveel interferentie dat dit geen fijne internetervaring oplevert. Zelfs bij gewoon browsen merk je dat al, laat staan bij een shooter.

Je zou eens je router kunnen pingen om vast te stellen dat je inderdaad veel jitter ervaart. Je configuratie controleren (geen 40 MHz!) en een ander kanaal proberen (1, 6 11) scheelt soms ook heel veel. Maar dat zou ik enkel als tijdelijk lapmiddel gebruiken.

Een 5 GHz access point in dezelfde ruimte & op het juiste kanaal werkt wél betrouwbaar.

Hmmbob schreef op maandag 25 september 2023 @ 10:38:
Kan je een kabel trekken? Da's de echte oplossing.

Dat is nogal een boud statement. Natuurlijk werkt een kabel, maar er is niets mis met een goed access point. Ook dat is een echte oplossing.

code:

1
2
3

--- 192.168.0.1 ping statistics ---
426 packets transmitted, 426 received, 0% packet loss, time 425733ms
rtt min/avg/max/mdev = 1.770/2.799/12.483/1.075 ms

Daar kan 99,99% van de gamers zonder problemen een competitieve shooter over spelen.

dinsdag 3 oktober 2023 21:46

Acties:

0 Henk 'm!

Jef61

Ik heb het volgende probleem met mijn Mikrotik RB5009 (versie 7.11.2):
Sinds ik de logging van de dhcp-server heb uitgezet ben ik er achter gekomen dat twee van de interfaces enkele keren per dag down-up gaan. Één van de interfaces is de WAN interface naar het internet, aangesloten op een mediaconverter van de provider (ether2). De andere interface is aangesloten op de zonnepanelen omvormer (ether3).

Aan de interfaces zonder problemen hangen twee Raspberry Pi's en drie andere Mikrotik's.

Wat ik al geprobeerd heb:
- Auto negotiation uit.
- Loop protect uit.
- Interface ether3 en ether4 verwisseld, het probleem verplaatst dan mee.

Iemand die dit probleem herkent of beter nog een oplossing heeft?
Op de forums van Mikrotik kom ik wel wat tegen dat op het probleem lijkt, maar voor zover ik kon vinden geen oplossingen.
Eventueel dingen die ik nog kan testen om zaken uit te sluiten?

code:

10-02 16:11:03 interface,info ether2 link down
10-02 16:11:06 interface,info ether2 link up (speed 1G, full duplex)
10-02 23:04:22 interface,info ether3 link down
10-02 23:04:29 interface,info ether3 link up (speed 100M, full duplex)
07:04:06 interface,info ether3 link down
07:04:16 interface,info ether3 link up (speed 100M, full duplex)
09:58:11 interface,info ether2 link down
09:58:15 interface,info ether2 link up (speed 1G, full duplex)
21:10:49 interface,info ether3 link down
21:11:00 interface,info ether3 link up (speed 100M, full duplex)

dinsdag 3 oktober 2023 21:53

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Heb je de kabel al vervangen, @Jef61 ? Want dat is de belangrijkste tip die daar gegeven wordt.
Heb je dit gedrag niet eerder gezien?

Eerst het probleem, dan de oplossing

dinsdag 3 oktober 2023 21:55

Acties:

0 Henk 'm!

Goof2000

Ik zou ook even een andere (oude) firmware proberen, sluit je een bug ook uit.

dinsdag 3 oktober 2023 22:01

Acties:

0 Henk 'm!

Jef61

lier schreef op dinsdag 3 oktober 2023 @ 21:53:
Heb je de kabel al vervangen, @Jef61 ? Want dat is de belangrijkste tip die daar gegeven wordt.
Heb je dit gedrag niet eerder gezien?

Kabel van de omvormer kan ik niet vervangen, die zit vast aan de omvormer. Kabel naar de mediaconverter zal ik vervangen heb ik zojuist vervangen, dat is een goed idee.

Ik denk dat dit al langer speelt maar is me nooit opgevallen door de dhcp meldingen. Ik heb vaker last van korte freezes bij een 'Teams call', beeld van de anderen staat dan enkele momenten stil, Zag laatst dat dit overeen komt met een down-up in de log.

woensdag 4 oktober 2023 07:40

Acties:

+1 Henk 'm!

kaaas

Ik heb een zelfde soort probleem gehad met mijn rb3011 toen was het een bug. Maar ik zou zeker ook even je kabels checken. Dat heb ik namelijk ook te vaak mee gemaakt super vage problemen alles gecheckt en dan blijkt het gewoon een brakke kabel te zijn.

Ik heb op het moment ook een rb5009. Ik kijk vanavond de logs na of die het zelfde doet.

[ Voor 15% gewijzigd door kaaas op 04-10-2023 07:48 ]

woensdag 4 oktober 2023 12:04

Acties:

0 Henk 'm!

Fingie

** opgelost, andere PC bij de buren was de oplossing **

Na een stroomonderbreking heb ik problemen met mijn Mikrotik hap ac3: hij boot niet meer goed. Ik heb daarom een herstel geprobeerd met Netboot/Netinstall om versie 7.10.1 te herinstalleren. Deze versie stond ook op het apparaat. Ik zie het apparaat verschijnen in Netinstall, selecteer het image en druk op install. Het programma zegt vervolgens sending offer maar stopt daarna. Ik zie geen installatievoortgang of een reboot knop op een gegeven moment.

Herstart ik het apparaat dan boot hij, en gaat na een tijdje het blauwe ledje aan de voorzijde branden. Na een aantal seconden wordt deze paars en gaan alle andere lampjes ook even branden. Dan wordt de led weer blauw en blijft dit zich herhalen.

Opnieuw verbinden met Netinstall werkt, maar geeft zelfde resultaat.

Iemand suggesties voor wat te doen om het apparaat weer bedrijfsklaar te krijgen?

[ Voor 11% gewijzigd door Fingie op 04-10-2023 13:01 ]

woensdag 4 oktober 2023 20:10

Acties:

0 Henk 'm!

Jef61

lier schreef op dinsdag 3 oktober 2023 @ 21:53:
Heb je de kabel al vervangen, @Jef61 ? Want dat is de belangrijkste tip die daar gegeven wordt.
Heb je dit gedrag niet eerder gezien?

Zier er hoopvol uit $_/-\o_$ , ether2 (wan) is sinds gisterenavond niet meer down geweest. ether3 (omvormer) is één keer down geweest maar dat is verder geen probleem. Ik kan een keertje een poging wagen om de omvormer open te maken, ga ervan uit dat de kabel binnenin ook met een rj45 is aangesloten.

donderdag 5 oktober 2023 13:46

Acties:

0 Henk 'm!

Jef61

Helaas te vroeg gejuicht, interface ether2 vanmorgen down-up gegaan..

code:

1 2	09:06:00 interface,info ether2 link down 09:06:04 interface,info ether2 link up (speed 1G, full duplex)

Afbeeldingslocatie: https://tweakers.net/i/tB3Y0KaEkuXQFl7po0dy_xRqIBU=/800x/filters:strip_exif()/f/image/bDO1wX2gPEy1pmuKidEdhYSD.png?f=fotoalbum_large

[ Voor 46% gewijzigd door Jef61 op 05-10-2023 13:55 ]

donderdag 5 oktober 2023 17:03

Acties:

0 Henk 'm!

Erhnam

het Hardware-Hondje :]

Jef61 schreef op donderdag 5 oktober 2023 @ 13:46:
Helaas te vroeg gejuicht, interface ether2 vanmorgen down-up gegaan..
code:
1
2
 09:06:00 interface,info ether2 link down
 09:06:04 interface,info ether2 link up (speed 1G, full duplex)
[Afbeelding]

Welke monitor software is dit, als ik vragen mag?

http://www.xbmcfreak.nl/

donderdag 5 oktober 2023 17:36

Acties:

0 Henk 'm!

kaaas

Ik gok dat dit gewoon uit de log van de router zelf komt.

donderdag 5 oktober 2023 18:49

Acties:

0 Henk 'm!

Jef61

Erhnam schreef op donderdag 5 oktober 2023 @ 17:03:
[...]

Welke monitor software is dit, als ik vragen mag?

De meldingen komen idd uit de eigen logging van de router. De grafieken komen uit Grafana (in combinatie met InfluxDB en Telegraf).

donderdag 5 oktober 2023 21:49

Acties:

+1 Henk 'm!

kaaas

Ik heb net gecheckt ik zie geen port flaps op mijn rb5009, maar ik zat ook nog op 7.10. Ik heb hem net geupdate ik zal het de komende dagen in de gaten houden.

donderdag 5 oktober 2023 23:20

Acties:

0 Henk 'm!

Jef61

En nogmaals een down-up van beide poorten. Misschien moet ik er toch eens werk van maken om de sfp van de mediaconverter rechtstreeks in de rb5009 te steken en kijken of die herkend wordt.

vrijdag 6 oktober 2023 07:56

Acties:

0 Henk 'm!

kaaas

Had je al geprobeerd om de omvormer op een poort aan te sluiten die geen problemen vertoond?

vrijdag 6 oktober 2023 09:30

Acties:

0 Henk 'm!

ed1703

Jef61 schreef op donderdag 5 oktober 2023 @ 23:20:
En nogmaals een down-up van beide poorten. Misschien moet ik er toch eens werk van maken om de sfp van de mediaconverter rechtstreeks in de rb5009 te steken en kijken of die herkend wordt.

Mag ik vragen om welke omvormer dit gaat? Bij een solaeredge is het namelijk "normaal" gedrag dat deze de poort bij "nachtmodus" en "dagmodus" even reset. Dat doet die van mij al jarenlang, geen idee waarom SE dit zo heeft gemaakt. Je WAN poort is uiteraard niet normaal.

vrijdag 6 oktober 2023 10:10

Acties:

0 Henk 'm!

nielsn

Ik heb een hAP ax lite en wil hiermee verbinding maken met een draadloze captive portal op een camping. De ax lite moet dan ook een Wi-Fi netwerk uitzenden zodat mijn eigen devices hiermee verbinding kunnen maken.

Ik heb mee een beetje verkeken in de instellingsmogelijkheden en realiseer me dat ik mee eens heel goed moet gaan inlezen en proberen.

Er zijn voorbeelden te vinden van configuraties, maar deze werken vaak niet met WiFi Wave 2 waardoor ik er niet uit kom.

Ondank dat ik maar een Wi-Fi band heb zou het toch mogelijk moeten zijn met een VAP configuratie, maar dit werkt niet met WiFi Wave 2.

Zou iemand me in de juiste richting kunnen helpen?

vrijdag 6 oktober 2023 12:47

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Waar loop je precies op vast? Probeer het eerst eens en laat je configuratie zien als je er niet uitkomt.

Voor wat betreft het WiFi-gedeelte: er staat een basisconfiguratie op de MikroTik wiki.

Begin met de client als master interface. Zet voor de master country, ssid, passphrase, auth types en mode=station.

Werkt dat? Dan voeg je een tweede interface toe met ssid, passphrase, auth types, mode=ap en master=deandereinterface.

vrijdag 6 oktober 2023 12:53

Acties:

0 Henk 'm!

nielsn

Thralas schreef op vrijdag 6 oktober 2023 @ 12:47:
Waar loop je precies op vast? Probeer het eerst eens en laat je configuratie zien als je er niet uitkomt.

Voor wat betreft het WiFi-gedeelte: er staat een basisconfiguratie op de MikroTik wiki.

Begin met de client als master interface. Zet voor de master country, ssid, passphrase, auth types en mode=station.

Werkt dat? Dan voeg je een tweede interface toe met ssid, passphrase, auth types, mode=ap en master=deandereinterface.

Bedankt voor je reactie, wanneer ik wat meer tijd heb zal de configuratie eens plaatsen zoals ik deze nu heb.

vrijdag 6 oktober 2023 13:00

Acties:

0 Henk 'm!

Shinji

Volgens mij kan je alleen maar opvangen (station) op bijvoorbeeld 2.4GHz en weer uitzenden (ap) op 5GHz. Niet opvangen op 2.4 en ook weer uitzenden op 2.4.

Voor mijn doeleinden prima, gebruik het op de camping of klein huisje dus 5GHz is goed te doen.

Met de vorige generatie kon het wel dacht ik ergens gelezen te hebben. Dus ik was er ook vanuit gegaan dat dit op de HAP AX2 ook zou kunnen maar blijkbaar niet.

[ Voor 24% gewijzigd door Shinji op 06-10-2023 13:00 ]

vrijdag 6 oktober 2023 13:27

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Shinji schreef op vrijdag 6 oktober 2023 @ 13:00:
Volgens mij kan je alleen maar opvangen (station) op bijvoorbeeld 2.4GHz en weer uitzenden (ap) op 5GHz. Niet opvangen op 2.4 en ook weer uitzenden op 2.4.

Hoe komt je daarbij?

Wave2 ondersteunt geen wireless 'bridge' modes, maar dat is iets anders.

Ik zie geen aanwijzing dat je ap en sta modes niet simultaan zou kunnen gebruiken. Dat je er geen bridge mee kunt maken maakt niets uit als je juist wil routeren.

[ Voor 16% gewijzigd door Thralas op 06-10-2023 13:30 ]

vrijdag 6 oktober 2023 15:13

Acties:

0 Henk 'm!

Shinji

Thralas schreef op vrijdag 6 oktober 2023 @ 13:27:
[...]

Hoe komt je daarbij?

Wave2 ondersteunt geen wireless 'bridge' modes, maar dat is iets anders.

Ik zie geen aanwijzing dat je ap en sta modes niet simultaan zou kunnen gebruiken. Dat je er geen bridge mee kunt maken maakt niets uit als je juist wil routeren.

Hoe ik er bij kom? Het werkte hier niet en na wat gezoek kwam ik ook ergens tegen (tijdje terug al) dat de oude HAP modellen 3 radio's hadden waardoor je 1 voor opvangen 2.4GHz kon gebruiken en de andere voor doorzetten 2,4GHz en 5GHz.

De nieuwe HAPs hadden maar 2 radio's dacht ik.

Als iemand het wel werkend heeft op een HAP AX2 ben ik erg benieuwd

[ Voor 5% gewijzigd door Shinji op 06-10-2023 15:14 ]

vrijdag 6 oktober 2023 15:54

Acties:

0 Henk 'm!

Jef61

ed1703 schreef op vrijdag 6 oktober 2023 @ 09:30:
[...]

Mag ik vragen om welke omvormer dit gaat? Bij een solaeredge is het namelijk "normaal" gedrag dat deze de poort bij "nachtmodus" en "dagmodus" even reset. Dat doet die van mij al jarenlang, geen idee waarom SE dit zo heeft gemaakt. Je WAN poort is uiteraard niet normaal.

Ja is een Solaredge, dat zou dan een verklaring kunnen zijn voor die interface. Zal eens kijken of de tijden een beetje overeen komen.

vrijdag 6 oktober 2023 15:55

Acties:

0 Henk 'm!

Jef61

kaaas schreef op vrijdag 6 oktober 2023 @ 07:56:
Had je al geprobeerd om de omvormer op een poort aan te sluiten die geen problemen vertoond?

Ja had ik geprobeerd, probleem verhuisd dan mee.

zondag 8 oktober 2023 11:06

Acties:

0 Henk 'm!

Hayertjez

Sinds kort ben ik over naar Freedom internet en heb de FritzBox 7590 gekregen als modem. Ik wilde graag met mijn hAP ax2 een PPPoE passtrough instellen.

Het was eerst even zoeken in het menu van de Fritzbox omdat de documentatie niet up to date is.
Internet -> Toegangsgegevens -> Internettoegang -> Verbindingsinstellingen -> verbindingsinstellingen wijzigen en dan aanvinken "Aangesloten netwerkapparaten mogen ook hun eigen internetverbinding tot stand brengen"

Afbeeldingslocatie: https://tweakers.net/i/62Y316ypU1VemHV5cb7DnbjQats=/800x/filters:strip_exif()/f/image/Mkuc3OhI4S54NYwRCbFVKm4a.png?f=fotoalbum_large

Nu krijg ik de PPPoE tunnel niet aan de praat ondanks dat ik (schijnbaar) dezelfde instellingen als sommige medegebruikers op dit forum of die van Freedom overneem. Dus begin te twijfelen waar het aan ligt? heeft het wellicht te maken met de IPv6 uitrol/instellingen (geen idee of dit invloed heeft). In de Fritzbox is de IPv6 ondersteuning actief.

Welke instellingen heb ik nodig -- freedom

Nu kom ik uitgebreide en minder uitgebreide configs tegen dus ik weet niet of sommige instelligen wat uitmaken

l2mtu - als deze gedefinieerd wordt in configs wisselt de waarde tussen 1598 en 1596 is deze instelling van belang?

Poging 1 - minimalere config t.o.v. 2

code:

/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 max-mtu=1500 \
    name=freedom-pppoe profile=freedom-ipv6 use-peer-dns=yes user=fake@freedom.nl
/interface ethernet
set [ find default-name=ether1 ] arp=reply-only l2mtu=1598 loop-protect=off
/ppp profile
add name=freedom-ipv6 only-one=yes use-compression=no use-upnp=no
/interface vlan
add interface=ether1 mtu=1508 name=vlan1.6 vlan-id=6

Poging 2

code:

/interface bridge
add admin-mac=48:A9:8A:FD:EE:51 arp=proxy-arp auto-mac=no comment=defconf igmp-snooping=yes name=bridge
/interface ethernet
set [ find default-name=ether1 ] arp=reply-only auto-negotiation=no l2mtu=1596 loop-protect=off mtu=1512
/interface vlan
add interface=ether1 mtu=1508 name=vlan1.6 vlan-id=6
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wifiwave2 channel
add band=2ghz-ax disabled=no name=2ghz skip-dfs-channels=10min-cac width=20/40mhz
add band=5ghz-ax disabled=no name=5ghz skip-dfs-channels=10min-cac width=20/40/80mhz
/interface wifiwave2 security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=sec1
/interface wifiwave2 configuration
add channel=2ghz country=Netherlands disabled=no name=cfg_2ghz security=sec1 ssid=""
add channel=5ghz country=Netherlands disabled=no name=cfg_5ghz security=sec1 ssid=""
/interface wifiwave2
set [ find default-name=wifi1 ] configuration=cfg_5ghz configuration.mode=ap disabled=no
set [ find default-name=wifi2 ] configuration=cfg_2ghz configuration.mode=ap disabled=no
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/ppp profile
add change-tcp-mss=no name=freedom-ipv6 only-one=yes use-compression=no \
 use-encryption=no use-mpls=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 name=freedom-pppoe \
profile=freedom-ipv6 use-peer-dns=yes user=fake@freedom.nl
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=*6
add bridge=bridge comment=defconf interface=*7
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=freedom-pppoe list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name="hAP ax2 boven"
/system note
set show-at-login=no
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

zondag 8 oktober 2023 12:45

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Hayertjez schreef op zondag 8 oktober 2023 @ 11:06:
l2mtu - als deze gedefinieerd wordt in configs wisselt de waarde tussen 1598 en 1596 is deze instelling van belang?

Nee, die is niet van belang. Die waarde varieert omdat de maximale l2mtu afhankelijk is van hardware en dus wisselt afhankelijk van welk device je de config exporteert.

Die kun je beter op de default laten dan. Zelfde geldt voor die arp setting (een variant op arp=proxy-arp die iedereen klakkeloos kopieert van een achterhaald voorbeeld voor KPN).

'Poging 1' ziet er zo op het oog niet verkeerd uit. Zet onder logging de pppoe log aan, dan zie je snel genoeg of er iets gebeurt. Ik vermoed dat je om de paar minuten sowieso een AC announcement voorbij moet zien komen.

Zie je daar niets? Haal de Fritzbox er dan eens tussenuit.

zondag 8 oktober 2023 13:01

Acties:

0 Henk 'm!

Hayertjez

Ik heb wel de adsl aansluiting van de Fritz nodig aangezien het om VDSL gaat. Kan ik de Fritz softwarematig ertussen uit laten? De log
In de log kon ik het patroon connect, initializing, disconnected, terminated. Voorbij zien komen maar wellicht bedoel je nog een andere loggings optie.
Ik ga dit even proberen.

zondag 8 oktober 2023 13:30

Acties:

0 Henk 'm!

Hayertjez

De arp en l2mtu heb ik weer op hun default waarde staan

code:

/interface ethernet
set [ find default-name=ether1 ] loop-protect=off mtu=1508
/interface vlan
add interface=ether1 mtu=1508 name=vlan1.6 vlan-id=6
/ppp profile
add name=freedom-ipv6 only-one=yes use-compression=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 max-mtu=1500 name=freedom-pppoe profile=freedom-ipv6 use-peer-dns=yes user=fake@freedom.nl

Hierbij de logging met PPPoE aan

Afbeeldingslocatie: https://tweakers.net/i/3tqTiZLOigv6uM0WYlgZS3i72o8=/800x/filters:strip_exif()/f/image/bnM1C1dD5V6jEvrTFMGLDbHC.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/uTSAiUjJHwQ2llOZDyjGd_FTfvI=/800x/filters:strip_exif()/f/image/viFHFbr4eQoFExpPmvuaB3UJ.png?f=fotoalbum_large

[ Voor 27% gewijzigd door Hayertjez op 08-10-2023 13:41 ]

zondag 8 oktober 2023 14:54

Acties:

0 Henk 'm!

kaaas

Heb je de inlog gegevens verwijderd of fout ingesteld op de fritsbox?
Al je dat niet doet ben je een 2e ppppoe verbinding aan het opzetten waarschijnlijk mag dat niet van je provider.

zondag 8 oktober 2023 15:08

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Hayertjez schreef op zondag 8 oktober 2023 @ 13:30:
Hierbij de logging met PPPoE aan

De screenshots blinken niet uit in duidelijkheid, maar als je alleen een PADI's ziet dan komt er in ieder geval geen antwoord van de ISP, terwijl je config lijkt te kloppen.

kaaas schreef op zondag 8 oktober 2023 @ 14:54:
Heb je de inlog gegevens verwijderd of fout ingesteld op de fritsbox?
Al je dat niet doet ben je een 2e ppppoe verbinding aan het opzetten waarschijnlijk mag dat niet van je provider.

Heel goed punt. Als dat optreedt krijg je als je geluk hebt nog wel één keer een offer meen ik me te herinneren (maar die werkt niet) - en daarna word je ~5 minuten blacklisted.

Je kunt overigens geen foute credentials gebruiken, want die worden toch niet gebruikt. Ofwel: PPPoE moet echt uit op de Fritzbox om te voorkomen dat die de sessie heeft (nu ik de screenshots nog een keer bekijk lijkt passthrough niet per se te betekenen dat hij zelf geen sessie meer opbouwt).

Wacht ook zeker 5 minuten als je iets test om uit te sluiten dat men nog denkt dat je al een sessie hebt.

zondag 8 oktober 2023 20:09

Acties:

0 Henk 'm!

Hayertjez

Bedankt voor de tips, de aansluiting is nog niet live maar ik post alvast de voortgang.

Hoe ik precies de verbinding kan verbreken kon ik niet precies vinden. Zoals Thralas aangeeft kon ik geen foute credentials gebruiken. Daarom heb ik het volgende gedaan.

andere internetaanbieder

Internet -> toegangsgegevens -> internet aanbieder -> stond op Freedom gewijzigd naar andere internetaanbieder.
Onder kopje Toegangsgegevens "zijn toegangsgegevens vereist?" op nee gezet. Hierna had ik geen werkende internetverbinding. Zie afbeelding

Afbeeldingslocatie: https://tweakers.net/i/Cc1ezh-ose3oCXTqTnaGCKAclX8=/800x/filters:strip_exif()/f/image/ABYoS4uuEeBsPCicPsqvG7bm.png?f=fotoalbum_large

Ook hier niet vergeten de PPPoE passthrough weer aan te vinken.
Vervolgens zie ik in mijn Fritz het volgende

Internet niet verbonden

Afbeeldingslocatie: https://tweakers.net/i/kUYxOuqg1bPI3Xwl8XYEgxiUMok=/800x/filters:strip_exif()/f/image/hJIOEoJtHZX1a8QwuClz3Pwm.png?f=fotoalbum_large

De DSL lijn is actief, betekend dat ook dat de PPPoE ook actief is?

Afbeeldingslocatie: https://tweakers.net/i/gLxUI62qho9K6-SAWFJEMvhjxpY=/800x/filters:strip_exif()/f/image/C6MXnjk0EuNatsmJrCYJ54WI.png?f=fotoalbum_large

Bedankt voor de feedback van de screenshots van de log. Nu een indicatie wat er gebeurde maar dan als text via de terminal geexport.

code:

 20:00:46 pppoe,debug,packet     ppp-max-payload=1500
 20:00:47 pppoe,ppp,debug freedom-pppoe: CCP close
 20:00:47 pppoe,ppp,debug freedom-pppoe: BCP close
 20:00:47 pppoe,ppp,debug freedom-pppoe: IPCP close
 20:00:47 pppoe,ppp,debug freedom-pppoe: IPV6CP close
 20:00:47 pppoe,ppp,debug freedom-pppoe: MPLSCP close
 20:00:47 pppoe,ppp,info freedom-pppoe: terminating... - disconnected
 20:00:47 pppoe,ppp,debug freedom-pppoe: LCP lowerdown
 20:00:47 pppoe,ppp,debug freedom-pppoe: LCP down event in initial state
 20:00:47 pppoe,ppp,info freedom-pppoe: disconnected
 20:00:57 system,info,account user admin logged in via local
 20:00:57 pppoe,ppp,info freedom-pppoe: initializing...
 20:00:57 pppoe,ppp,info freedom-pppoe: connecting...
 20:00:57 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:00:57 pppoe,debug,packet     session-id=0x0000
 20:00:57 pppoe,debug,packet     host-uniq=0xcf0381
 20:00:57 pppoe,debug,packet     service-name=
 20:00:57 pppoe,debug,packet     ppp-max-payload=1500
 20:00:58 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:00:58 pppoe,debug,packet     session-id=0x0000
 20:00:58 pppoe,debug,packet     host-uniq=0xcf0381
 20:00:58 pppoe,debug,packet     service-name=
 20:00:58 pppoe,debug,packet     ppp-max-payload=1500
 20:00:59 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:00:59 pppoe,debug,packet     session-id=0x0000
 20:00:59 pppoe,debug,packet     host-uniq=0xcf0381
 20:00:59 pppoe,debug,packet     service-name=
 20:00:59 pppoe,debug,packet     ppp-max-payload=1500
 20:01:00 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:00 pppoe,debug,packet     session-id=0x0000
 20:01:00 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:00 pppoe,debug,packet     service-name=
 20:01:00 pppoe,debug,packet     ppp-max-payload=1500
 20:01:01 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:01 pppoe,debug,packet     session-id=0x0000
 20:01:01 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:01 pppoe,debug,packet     service-name=
 20:01:01 pppoe,debug,packet     ppp-max-payload=1500
 20:01:02 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:02 pppoe,debug,packet     session-id=0x0000
 20:01:02 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:02 pppoe,debug,packet     service-name=
 20:01:02 pppoe,debug,packet     ppp-max-payload=1500
 20:01:03 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:03 pppoe,debug,packet     session-id=0x0000
 20:01:03 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:03 pppoe,debug,packet     service-name=
 20:01:03 pppoe,debug,packet     ppp-max-payload=1500
 20:01:04 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:04 pppoe,debug,packet     session-id=0x0000
 20:01:04 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:04 pppoe,debug,packet     service-name=
 20:01:04 pppoe,debug,packet     ppp-max-payload=1500
 20:01:05 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:05 pppoe,debug,packet     session-id=0x0000
 20:01:05 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:05 pppoe,debug,packet     service-name=
 20:01:05 pppoe,debug,packet     ppp-max-payload=1500
 20:01:06 pppoe,debug,packet vlan1.6: sent PADI to FF:FF:FF:FF:FF:FF
 20:01:06 pppoe,debug,packet     session-id=0x0000
 20:01:06 pppoe,debug,packet     host-uniq=0xcf0381
 20:01:06 pppoe,debug,packet     service-name=
 20:01:06 pppoe,debug,packet     ppp-max-payload=1500
 20:01:07 pppoe,ppp,debug freedom-pppoe: CCP close
 20:01:07 pppoe,ppp,debug freedom-pppoe: BCP close
 20:01:07 pppoe,ppp,debug freedom-pppoe: IPCP close
 20:01:07 pppoe,ppp,debug freedom-pppoe: IPV6CP close
 20:01:07 pppoe,ppp,debug freedom-pppoe: MPLSCP close
 20:01:07 pppoe,ppp,info freedom-pppoe: terminating... - disconnected
 20:01:07 pppoe,ppp,debug freedom-pppoe: LCP lowerdown
 20:01:07 pppoe,ppp,debug freedom-pppoe: LCP down event in initial state
 20:01:07 pppoe,ppp,info freedom-pppoe: disconnected

Inderdaad alleen PADI's. Nu even wachten wat er gebeurt.

[ Voor 8% gewijzigd door Hayertjez op 08-10-2023 20:29 ]

zondag 8 oktober 2023 20:58

Acties:

0 Henk 'm!

Hayertjez

Hmm ik geeft het voorlopig op. Ga de optie inregelen via exposed host. Mogelijk houdt de FritzBox zelf een sessie open die je niet uit kan zetten zie documentatie

maandag 9 oktober 2023 09:59

Acties:

0 Henk 'm!

kaaas

Je kunt ook een eigen modem kopen die goed in bridge mode kan.
uitvoering: DrayTek Vigor 130

woensdag 11 oktober 2023 11:20

Acties:

+1 Henk 'm!

nielsn

Thralas schreef op vrijdag 6 oktober 2023 @ 12:47:
Waar loop je precies op vast? Probeer het eerst eens en laat je configuratie zien als je er niet uitkomt.

Voor wat betreft het WiFi-gedeelte: er staat een basisconfiguratie op de MikroTik wiki.

Begin met de client als master interface. Zet voor de master country, ssid, passphrase, auth types en mode=station.

Werkt dat? Dan voeg je een tweede interface toe met ssid, passphrase, auth types, mode=ap en master=deandereinterface.

Om hier nog even op terug te komen. Ik ben vanuit een basisconfiguratie verder gegaan en heb het nu werkend met mijn eigen Wi-Fi netwerk thuis. Ik moet het nog testen met de hotspot op de camping, maar dat lijkt me nu het probleem niet meer.

De configuratie ziet er nu als volgt uit:

code:

# 2023-10-11 11:08:04 by RouterOS 7.11.2
# software id = SL4P-KZPP
#
# model = L41G-2axD
# serial number = 
/interface bridge
add admin-mac=48:A9:8A:7B:4D:0B auto-mac=no comment=defconf name=bridge
/interface wifiwave2
set [ find default-name=wifi1 ] channel.band=2ghz-n .skip-dfs-channels=\
    10min-cac .width=20/40mhz configuration.country=Netherlands .mode=station \
    .ssid=WiFi_Camping disabled=no name=wifi1_public \
    security.authentication-types=wpa2-psk,wpa3-psk
add configuration.mode=ap .ssid=WiFi_Eigen disabled=no mac-address=\
    4A:A9:8A:7B:4D:0E master-interface=wifi1_public name=wifi2_private
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=wifi2_private
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wifi1_public list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add interface=wifi1_public
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add disabled=no down-script="" host=8.8.8.8 http-codes="" interval=5m \
    test-script="" type=icmp up-script=""

Het werkt nu. Dit bericht typ ik via het Wi-Fi netwerk van de hAP ax lite. Een speedtest geeft een DL van 17,52 Mbps en UL van 15,24 Mbps aan. Weet niet of dat sneller kan.

Als laatste een ping om de 5 minuten om de verbinding actief te houden.

@Thralas bedankt voor het zetje in de juiste richting!

Mooi spul van MikroTik, maar je moet een beetje weten wat je aan het doen bent. Ik merk dat ik nog een lange weg te gaan heb!

dinsdag 17 oktober 2023 21:06

Acties:

0 Henk 'm!

nielsn

Ik wil nu een extra hop toevoegen zodat de uitgaande TTL van de router op 64 hops staat.
De volgende regel kwam ik tegen:

code:

1	/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:64 out-interface=ether1 passthrough=no

In bovenstaand voorbeeld is de uitgaande interface ether1. In mijn geval zou dit dan wifi1_public zijn, toch?
(zie regel 38 in de code van mijn vorige post)

[ Voor 6% gewijzigd door nielsn op 17-10-2023 21:08 ]

dinsdag 17 oktober 2023 23:07

Acties:

+1 Henk 'm!

Thralas

MikroTik
Wifi

Ja.

maandag 23 oktober 2023 08:41

Acties:

0 Henk 'm!

BigEagle

Ik heb een Mikrotik RB5009 met KPN glasvezel en heb met IPTV zo goed als altijd last dat het beeld stop na een paar seconden met een STB-NMC-400 melding.

Kan iemand zien of ik iets mis of verkeerd heb ingesteld m.b.t. IPTV? Ik heb al veel geprobeerd m.b.t. UDP doorlaten naar VLAN 1.4, NAT masquerade volgorde, enz.

code:

# 2023-10-23 08:27:58 by RouterOS 7.11.2
# software id = 7X3C-ZNWH
#
# model = RB5009UPr+S+
# serial number = XXXXXXXXXXX
/interface bridge
add admin-mac=48:A9:8A:D7:A1:8B arp=proxy-arp auto-mac=no comment=defconf igmp-snooping=yes igmp-version=3 multicast-querier=yes name=bridge-local protocol-mode=none
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add comment=TV interface=sfp-sfpplus1 name=vlan1.4 vlan-id=4
add comment=Internet interface=sfp-sfpplus1 name=vlan1.6 vlan-id=6
add comment=Telefonie interface=sfp-sfpplus1 name=vlan1.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=kpn
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.1.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip pool
add name=thuisnetwerk ranges=192.168.1.100-192.168.1.150
/ip dhcp-server
add address-pool=thuisnetwerk interface=bridge-local lease-time=8h name=dhcp-home
/snmp community
add addresses=::/0 comment=XXXX name=XXXX
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether2
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=ether4
add bridge=bridge-local comment=defconf interface=ether5
add bridge=bridge-local comment=defconf interface=ether6
add bridge=bridge-local comment=defconf interface=ether7
add bridge=bridge-local comment=defconf interface=ether8
add bridge=bridge-local comment=defconf interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=none lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge-local vlan-ids=1
/interface list member
add comment=defconf interface=bridge-local list=LAN
add comment=defconf interface=pppoe-client list=WAN
/interface wireguard peers
add allowed-address=192.168.100.10/32 interface=wireguard1 public-key="XXXXXXXXXXXXXXXXXXXXX"
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-local network=192.168.1.0
add address=192.168.100.1/24 comment="Wireguard VPN" interface=wireguard1 network=192.168.100.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass interface=vlan1.4 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dhcp-option-set=IPTV dns-server=192.168.1.41 domain=XXXX gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Allow wireguard" dst-port=13231 protocol=udp
add action=accept chain=input comment="Allow Wireguirad traffic" src-address=192.168.100.0/24
add action=accept chain=input comment="IPTV IGMP" dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input connection-state=established,related
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPTV UDP" in-interface=vlan1.4 protocol=udp
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-client
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=217.166.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=10.207.0.0/20 out-interface=vlan1.4
add action=masquerade chain=srcnat out-interface=vlan1.4
add action=dst-nat chain=dstnat comment=GigasetN300AIP dst-port=5000-5080 in-interface-list=WAN protocol=udp to-addresses=192.168.1.31 to-ports=5000-5080
add action=dst-nat chain=dstnat comment=GigasetN300AIP dst-port=16384-32766 in-interface-list=WAN protocol=udp to-addresses=192.168.1.31 to-ports=16384-32766
add action=dst-nat chain=dstnat dst-port=8082 in-interface-list=WAN log=yes protocol=tcp to-addresses=192.168.1.180 to-ports=8082
add action=dst-nat chain=dstnat dst-port=5170 in-interface-list=WAN log=yes protocol=udp to-addresses=192.168.1.180 to-ports=5170
add action=dst-nat chain=dstnat disabled=yes dst-port=5013 in-interface-list=WAN protocol=udp to-addresses=192.168.1.180 to-ports=7018
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip service
set ftp disabled=yes
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 interface=vlan1.4 upstream=yes
add interface=bridge-local
/snmp
set enabled=yes location=XXXX trap-community=prtg trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Met een hamer in je hand lijkt alles op een spijker...

maandag 23 oktober 2023 09:25

Acties:

+1 Henk 'm!

FatalError

IGMP versie 2 kiezen bij de bridge?

If it ain't broken, tweak it!

maandag 23 oktober 2023 09:38

Acties:

0 Henk 'm!

BigEagle

FatalError schreef op maandag 23 oktober 2023 @ 09:25:
IGMP versie 2 kiezen bij de bridge?

Bedankt voor de tip, ga ik zo gelijk even testen.

Update: werkt voor nu. Vanavond een echte test.
Update2: avond test gelukt. Beeld blijft nu stabiel. thx!
Update3: Helaas, weer bevroor het beeld.

Update4: Met behulp van Eigenrouter.nl nu een apart Vlan gemaakt voor IPTV. Even gepruts om het werkend te krijgen, maar beeld is voor nu weer stabiel.

[ Voor 44% gewijzigd door BigEagle op 25-10-2023 19:32 ]

Met een hamer in je hand lijkt alles op een spijker...

zondag 29 oktober 2023 22:57

Acties:

0 Henk 'm!

mukky

Vandaag een Mikrotik geïnstalleerd bij een vriend van me maar ik krijg Wireguard niet werkend. Het verkeer van de peer gaat wel naar de router maar op de weg terug raakt het kwijt. Ik kan de peer ook niet pingen vanaf de router zelf. Ik heb de config naast mijn werkende config gelegd maar ik zie het verschil niet. Hij zit bij Odido, ik bij Freedom. Allebei RouterOS 7.11.2, hij een RB850Gx2. Iemand een idee hoe te troubleshooten? Al een hele middag op verstookt

code:

/interface bridge
add admin-mac=6C:3B:6B:BA:F4:40 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add interface=ether1 name=vlan1 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=10.255.255.3/32 endpoint-address="" \
    endpoint-port=13231 interface=wireguard1 public-key=\
    ""
add allowed-address=10.255.255.7/32 endpoint-port=13231 \
    interface=wireguard1 public-key=\
    ""
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.255.255.1/24 comment=wg interface=wireguard1 network=\
    10.255.255.0
/ip dhcp-client
add comment=defconf interface=vlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    62.58.48.20,37.143.84.228 gateway=192.168.88.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="allow wg" dst-port=13231 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/system routerboard settings
# Firmware upgraded successfully, please reboot for changes to take effect!
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

maandag 30 oktober 2023 11:30

Acties:

0 Henk 'm!

superyupkent

BigEagle schreef op maandag 23 oktober 2023 @ 09:38:
[...]

Update4: Met behulp van Eigenrouter.nl nu een apart Vlan gemaakt voor IPTV. Even gepruts om het werkend te krijgen, maar beeld is voor nu weer stabiel.

Zou je je config eens kunnen delen? ik loop soms ook nog tegen bevroren beeeld aan, niet echt herleidbaar. Is sinds upgrade naar ROS 7. benieuwd naar je config

maandag 30 oktober 2023 14:18

Acties:

+1 Henk 'm!

BigEagle

superyupkent schreef op maandag 30 oktober 2023 @ 11:30:
[...]

Zou je je config eens kunnen delen? ik loop soms ook nog tegen bevroren beeeld aan, niet echt herleidbaar. Is sinds upgrade naar ROS 7. benieuwd naar je config

Jazeker! Zie hieronder. Ik had al eerder het vlan voorbeeld van eigenrouter.nl geprobeerd maar snapte enkele opmerkingen en code niet. En kreeg dit ook niet werkend. Enkele dagen geleden was ik het zo zat dat ik mij verdiept heb in vlan's en Mikrotik config en nu werkt het al enkele dagen vlekkenloos! $_/-\o_$

WAN zit op ether1 (de SFP wilde niet naar 1Gbit) en de IPTV kastje van KPN zit op ether8.

code:

# 2023-10-30 14:04:23 by RouterOS 7.11.2
# software id = 7X3C-ZNWH
#
# model = RB5009UPr+S+
# serial number = XXXXXXXXXXX
/interface bridge
add admin-mac=48:A9:8A:D7:A1:8B arp=proxy-arp auto-mac=no comment=defconf igmp-snooping=yes multicast-querier=yes name=bridge-local protocol-mode=none vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=WAN poe-out=off
set [ find default-name=ether2 ] 
set [ find default-name=ether3 ] 
set [ find default-name=ether4 ] 
set [ find default-name=ether5 ] 
set [ find default-name=ether6 ] 
set [ find default-name=ether7 ] 
set [ find default-name=ether8 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full disabled=yes
/interface vlan
add comment=IPTV interface=ether1 name=vlan1.4 vlan-id=4
add comment=Internet interface=ether1 name=vlan1.6 vlan-id=6
add comment=Telefonie interface=ether1 name=vlan1.7 vlan-id=7
add comment=IPTV-LAN interface=bridge-local name=vlan3 vlan-id=3
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client user=kpn
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.250.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip pool
add name=thuisnetwerk ranges=192.168.1.100-192.168.1.150
add name=tv-lan ranges=192.168.250.100-192.168.250.120
/ip dhcp-server
add address-pool=thuisnetwerk interface=bridge-local lease-time=8h name=dhcp-home
add address-pool=tv-lan interface=vlan3 name=dhcp-tvlan
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether2
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=ether4
add bridge=bridge-local comment=defconf interface=ether5
add bridge=bridge-local comment=defconf interface=ether6
add bridge=bridge-local comment=defconf interface=ether7
add bridge=bridge-local comment=defconf interface=ether8 pvid=3
/ip neighbor discovery-settings
set discover-interface-list=none lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge-local tagged=bridge-local vlan-ids=3
/interface list member
add comment=defconf interface=bridge-local list=LAN
add comment=defconf interface=pppoe-client list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-local network=192.168.1.0
add address=192.168.250.1/24 comment="TV-LAN (vlan3)" interface=vlan3 network=192.168.250.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass interface=vlan1.4 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.41 gateway=192.168.1.1
add address=192.168.250.0/24 dhcp-option-set=IPTV dns-server=195.121.1.34,192.121.1.66 domain=tv-lan.local gateway=192.168.250.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="IPTV IGMP" dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input connection-state=established,related
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPTV UDP" in-interface=vlan1.4 protocol=udp
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-client
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=217.166.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV disabled=yes dst-address=10.207.0.0/20 out-interface=vlan1.4
add action=masquerade chain=srcnat out-interface=vlan1.4
add action=dst-nat chain=dstnat comment=GigasetN300AIP dst-port=5000-5080 in-interface-list=WAN protocol=udp to-addresses=192.168.1.31 to-ports=5000-5080
add action=dst-nat chain=dstnat comment=GigasetN300AIP dst-port=16384-32766 in-interface-list=WAN protocol=udp to-addresses=192.168.1.31 to-ports=16384-32766
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip service
set ftp disabled=yes
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=bridge-local
add interface=vlan3
/snmp
set enabled=yes location=Meterkast trap-community=prtg trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Met een hamer in je hand lijkt alles op een spijker...

maandag 30 oktober 2023 20:28

Acties:

0 Henk 'm!

AtomicShockwave

Hadde maar een vak moette lere

Ik ben momenteel aan het verbouwen en ook een compleet nieuwe netwerk infrastructuur aan het aanleggen in mijn huis. Er komt een technische ruimte met een wall mount 19 inch kast.

Nu is voor mij dit ook het moment om dit ook op hardware gebied compleet opnieuw aan te pakken. Start from scratch zegmaar.

Ik heb een lange tijd gedacht om voor ubiquity te gaan. Want dat doet iedereen, werkt makkelijk etc. Maar ik vind het spul gewoon duur voor wat je krijgt eerlijk gezegd.

Ik wil een retestabiel thuisnetwerk _iets dat het altijd doet_, met centraal gemanaged wired POE AP's een aantal wired clients en VLAN voor IOT shizzle. Mogelijk komt daar nog een NAS bij en 1 beveligingscamera. Altijd lastig om de toekomst in te schatten natuurlijk.

Volgens mij kan dat dikke prima met MikroTik. Voor 194 euro koop je met een RB5009 een dijk van een router (die volgens mij ook nog 19 inch ears heeft voor rackmounting. Hun managed POE switches zijn ook helemaal niet duur en RouterOS lijkt top qua functionaliteit. Klinkt mij als veel bang for the buck.

Nu heb ik wat instructiefilmpjes zitten kijken en ik moet alleen wel zeggen dat ik het configureren nog niet helemaal intuïtief vind. Ik ben dan ook nog niet zo thuis in deze materie.

Heeft iemand tips leeswaar/youtube voor een goede introductie?

dinsdag 31 oktober 2023 06:02

Acties:

+1 Henk 'm!

superyupkent

AtomicShockwave schreef op maandag 30 oktober 2023 @ 20:28:

Heeft iemand tips leeswaar/youtube voor een goede introductie?

Ik zou starten op het mikrotik YT kanaal, daar hebben ze het laatste jaar leuke content neergezet voor starters maar gaan ook diep in op specifieke onderwerpen

dinsdag 31 oktober 2023 07:39

Acties:

0 Henk 'm!

nielsn

En anders kun je op Udemy ook beginnerscursussen kopen.

dinsdag 31 oktober 2023 09:13

Acties:

+1 Henk 'm!

Luckyluca

AtomicShockwave schreef op maandag 30 oktober 2023 @ 20:28:
Heeft iemand tips leeswaar/youtube voor een goede introductie?

TheNetwerkBerg op YouTube Heeft ook veel goede content over MikroTik.

dinsdag 31 oktober 2023 11:42

Acties:

+1 Henk 'm!

mgom

Luckyluca schreef op dinsdag 31 oktober 2023 @ 09:13:
[...]

TheNetwerkBerg op YouTube Heeft ook veel goede content over MikroTik.

NetwerkBerg is ook mijn favoriet. Maar TKSJa heeft ook veel goede content:
https://www.youtube.com/@TKSJa

dinsdag 31 oktober 2023 11:43

Acties:

+1 Henk 'm!

mgom

@Mukky. Ik heb je een PM gestuurd.
Volgens mij mis je een allow rule op de forward chain voor de Wireguard-netwerk/device

[ Voor 3% gewijzigd door mgom op 31-10-2023 11:44 ]

dinsdag 31 oktober 2023 13:20

Acties:

0 Henk 'm!

mukky

mgom schreef op dinsdag 31 oktober 2023 @ 11:43:
@Mukky. Ik heb je een PM gestuurd.
Volgens mij mis je een allow rule op de forward chain voor de Wireguard-netwerk/device

Ik kan me niet herinneren dat ik die nodig had op mijn eigen router maar klinkt logisch ga er vanavond naar kijken. Bedankt voor je tip!

dinsdag 31 oktober 2023 13:54

Acties:

0 Henk 'm!

mgom

Wellicht had je toen het netwerkadres van WG toegevoegd aan de interface-list "LAN". Dat is ook een optie namelijk. Succes!

dinsdag 31 oktober 2023 15:41

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

AtomicShockwave schreef op maandag 30 oktober 2023 @ 20:28:
Ik ben momenteel aan het verbouwen en ook een compleet nieuwe netwerk infrastructuur aan het aanleggen in mijn huis. Er komt een technische ruimte met een wall mount 19 inch kast.

Nu is voor mij dit ook het moment om dit ook op hardware gebied compleet opnieuw aan te pakken. Start from scratch zegmaar.

Ik heb een lange tijd gedacht om voor ubiquity te gaan. Want dat doet iedereen, werkt makkelijk etc. Maar ik vind het spul gewoon duur voor wat je krijgt eerlijk gezegd.

Ik wil een retestabiel thuisnetwerk _iets dat het altijd doet_, met centraal gemanaged wired POE AP's een aantal wired clients en VLAN voor IOT shizzle. Mogelijk komt daar nog een NAS bij en 1 beveligingscamera. Altijd lastig om de toekomst in te schatten natuurlijk.

Volgens mij kan dat dikke prima met MikroTik. Voor 194 euro koop je met een RB5009 een dijk van een router (die volgens mij ook nog 19 inch ears heeft voor rackmounting. Hun managed POE switches zijn ook helemaal niet duur en RouterOS lijkt top qua functionaliteit. Klinkt mij als veel bang for the buck.

Nu heb ik wat instructiefilmpjes zitten kijken en ik moet alleen wel zeggen dat ik het configureren nog niet helemaal intuïtief vind. Ik ben dan ook nog niet zo thuis in deze materie.

Heeft iemand tips leeswaar/youtube voor een goede introductie?

Ik ben wel benieuwd wat je gaat gebruiken voor wifi en wat overige mede-lezers doen met wifi.

Zelf draai ik nu nog op een Fortigate in de meterkast maar ben ik ook aan het kijken naar een refresh met Mikrotik. Maar als je de Ubiquiti stack niks vindt ga je dan over op Mikrotik AP's (welke volgens mij nog steeds mindere performance / stabiliteit hebben dan bijv. een Ubiquiti) of ga je kijken naar een TP link setje welke je niet met SNMP kan uitlezen?

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

dinsdag 31 oktober 2023 15:57

Acties:

+1 Henk 'm!

Shinji

Yariva schreef op dinsdag 31 oktober 2023 @ 15:41:
[...]

Ik ben wel benieuwd wat je gaat gebruiken voor wifi en wat overige mede-lezers doen met wifi.

Zelf draai ik nu nog op een Fortigate in de meterkast maar ben ik ook aan het kijken naar een refresh met Mikrotik. Maar als je de Ubiquiti stack niks vindt ga je dan over op Mikrotik AP's (welke volgens mij nog steeds mindere performance / stabiliteit hebben dan bijv. een Ubiquiti) of ga je kijken naar een TP link setje welke je niet met SNMP kan uitlezen?

En zo duur is Ubiquiti qua APs juist niet. Ik heb nu ook Mikrotik met Ubiquiti wifi. Best of both worlds.

Alleen qua switch moet ik nog wat bedenken, nu Ubiquiti maar dat is een onding.

dinsdag 31 oktober 2023 16:00

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Shinji schreef op dinsdag 31 oktober 2023 @ 15:57:
[...]

En zo duur is Ubiquiti qua APs juist niet. Ik heb nu ook Mikrotik met Ubiquiti wifi. Best of both worlds.

Alleen qua switch moet ik nog wat bedenken, nu Ubiquiti maar dat is een onding.

Er zijn ook persoonlijke redenen om Ubiquiti over te slaan. PR nachtmerrie rondom hun hack, afschuwelijk support etc. Verder wel eens dat een Ubiquiti AP prima bang for the buck kan zijn.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

dinsdag 31 oktober 2023 16:00

Acties:

0 Henk 'm!

mbovenka

De CRS3xx serie van Mikrotik is prima spul, en kan (wanneer nodig) ook wirespeed L3.

dinsdag 31 oktober 2023 16:05

Acties:

+1 Henk 'm!

FatalError

Ik heb het idee dat Mikrotik AX wifi spullen prima mee kunnen komen en vergelijkbaar of misschien wel beter zijn dan de Ubiquiti wifi spullen. Gemak van configureren is misschien niet helemaal gelijk, maar zeker goed te doen als je een beetje verstand van zaken hebt.
N=1

If it ain't broken, tweak it!

dinsdag 31 oktober 2023 16:05

Acties:

0 Henk 'm!

AtomicShockwave

Hadde maar een vak moette lere

Yariva schreef op dinsdag 31 oktober 2023 @ 15:41:
[...]

Ik ben wel benieuwd wat je gaat gebruiken voor wifi en wat overige mede-lezers doen met wifi.

Zelf draai ik nu nog op een Fortigate in de meterkast maar ben ik ook aan het kijken naar een refresh met Mikrotik. Maar als je de Ubiquiti stack niks vindt ga je dan over op Mikrotik AP's (welke volgens mij nog steeds mindere performance / stabiliteit hebben dan bijv. een Ubiquiti) of ga je kijken naar een TP link setje welke je niet met SNMP kan uitlezen?

Het was wel mijn plan om dan ook voor mikrotik ap's te gaan voor integratie via CAPSman. Dat gaat toch niet als je ubiquity ap's neemt? Je kiest toch een beetje voor het een of het ander.

Had al een mooie video gevonden over opzetten van multiple ap's
YouTube: Common MikroTik WiFi mistakes and how to avoid them
Leuk ook die tip om de Tx power voor 2.4 ghz te verlagen om preferent met 5ghz te laten verbinden.

Zou dit onstabiel zijn als je dit goed bouwt en de nieuwe cAP ax gebruikt? Lijkt me niet toch?

Snelheid komt voor mij op de tweede plaats. _Altijd werken_ is prio 1.

dinsdag 31 oktober 2023 18:55

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Shinji schreef op dinsdag 31 oktober 2023 @ 15:57:
[...]

En zo duur is Ubiquiti qua APs juist niet. Ik heb nu ook Mikrotik met Ubiquiti wifi. Best of both worlds.

Idem. APs zijn Unifi al de rest MT. Alhoewel ik graag volledig MT zou willen vind ik de APs daar te zwak voor.

https://dontasktoask.com/

woensdag 1 november 2023 11:07

Acties:

0 Henk 'm!

Shinji

AtomicShockwave schreef op dinsdag 31 oktober 2023 @ 16:05:
[...]

Het was wel mijn plan om dan ook voor mikrotik ap's te gaan voor integratie via CAPSman. Dat gaat toch niet als je ubiquity ap's neemt? Je kiest toch een beetje voor het een of het ander.

Dat je kiest voor het een of het ander is ook een keuze

Mikrotik was ontzettend laat met de AX ap's dus voor veel was het op dat moment geen keuze.

Misschien dat voor mij de keuze nu anders zou zijn, maar ik kijk altijd naar meeste bang for buck op dat moment. Dus dan kan je een verscheidenheid aan producten hebben maar dat maakt het juist leuk

De APs van Ubiquiti zijn heel makkelijk via de app of een controller in docker te managen. Verder geen omkijken naar, je doet de instellingen maar één keer, dus die integreren ook goed met elkaar. Het is dan niet vanuit de Mikrotik maar daar zie ik niet per se het voordeel van.

woensdag 1 november 2023 11:24

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Shinji schreef op woensdag 1 november 2023 @ 11:07:
[...]
De APs van Ubiquiti zijn heel makkelijk via de app of een controller in docker te managen. Verder geen omkijken naar, je doet de instellingen maar één keer, dus die integreren ook goed met elkaar. Het is dan niet vanuit de Mikrotik maar daar zie ik niet per se het voordeel van.

Ben ik het overigens niet helemaal mee eens. De laatste tijd draait het wel stabiel maar het is heel lang erg onstabiel geweest met die firmware updates.

https://dontasktoask.com/

donderdag 2 november 2023 21:07

Acties:

0 Henk 'm!

robmeer

Laat ik nou ook docker containers willen installeren. Maakt het nog een groot verschil of je een USB 2.0 of USB 3.0 stick gebruikt?
M'n router (rb5009upr+s+in) heeft een USB 3.0 aansluiting en ik heb nog wat USB 2.0 sticks liggen. Maar ik vroeg me af of het uit kan om een nieuwe USB 3.0 stick te kopen. Je zou dan immers snelheden van 150MB/s moeten kunnen halen.
Zijn er nog mensen met tips voor specifieke modellen?

donderdag 2 november 2023 21:18

Acties:

0 Henk 'm!

kaaas

Ik zou er een USB ssd aan hangen die gaan een stuk langer mee, maar als je al USB stickjes hebt liggen kun je dat eerst doen. Kijken hoe het gaat.

zaterdag 4 november 2023 03:16

Acties:

0 Henk 'm!

Yarisken

Ik heb een raar probleem met mijn mikrotik router.
Ik heb gemerkt dat mijn intern verkeer gaat over mijn wan interface.
Dus wil ik een file kopieren van mijn laptop of htpc naar mijn mini server dan is dit over de WAN verbinding ( eth1). Dus ook een stuk trager.

Hiervoor had ik telenet en dan had ik dit probleem niet.
Wat is er aangepast, wel nu heb ik fiber en ik heb een PPPoe interface aangemaakt met login en een vlan10 ( zit op fiber mobile vikings )
Iemand die wat richting kan geven waar ik het moet gaan zoeken ?

zaterdag 4 november 2023 07:51

Acties:

0 Henk 'm!

Shinji

Yarisken schreef op zaterdag 4 november 2023 @ 03:16:
Ik heb een raar probleem met mijn mikrotik router.
Ik heb gemerkt dat mijn intern verkeer gaat over mijn wan interface.
Dus wil ik een file kopieren van mijn laptop of htpc naar mijn mini server dan is dit over de WAN verbinding ( eth1). Dus ook een stuk trager.

Hiervoor had ik telenet en dan had ik dit probleem niet.
Wat is er aangepast, wel nu heb ik fiber en ik heb een PPPoe interface aangemaakt met login en een vlan10 ( zit op fiber mobile vikings )
Iemand die wat richting kan geven waar ik het moet gaan zoeken ?

Je configuratie

Zonder dat is het een beetje koffiedik kijken..

zaterdag 4 november 2023 10:46

Acties:

0 Henk 'm!

jvanhambelgium

robmeer schreef op donderdag 2 november 2023 @ 21:07:
Laat ik nou ook docker containers willen installeren. Maakt het nog een groot verschil of je een USB 2.0 of USB 3.0 stick gebruikt?
M'n router (rb5009upr+s+in) heeft een USB 3.0 aansluiting en ik heb nog wat USB 2.0 sticks liggen. Maar ik vroeg me af of het uit kan om een nieuwe USB 3.0 stick te kopen. Je zou dan immers snelheden van 150MB/s moeten kunnen halen.
Zijn er nog mensen met tips voor specifieke modellen?

Ik heb redelijk wat issues met "USB" op m'n RB5009.
Heb zowel 2.0 als 3.0 gebruikt (Sandisk). Dat gaat dan goed voor (enkele) dagen, dan is hij plots de storage kwijt, containers crashen dan etc,etc.
"rock solid" is dat helaas niet in mijn ervaring, zeker niet in vergelijking met vb containers op m'n Synology NAS.

Ik had gehoop met de ROSE-package een NFS-mount te kunnen leggen naar Synology om daar gewoon "containers" op te draaien, maar "NFS naar Synology" lukt dus zelfs niet eens...

[ Voor 9% gewijzigd door jvanhambelgium op 04-11-2023 10:50 ]

zaterdag 4 november 2023 17:59

Acties:

0 Henk 'm!

Yarisken

Shinji schreef op zaterdag 4 november 2023 @ 07:51:
[...]

Je configuratie

Zonder dat is het een beetje koffiedik kijken..

Dit is mijn config

[admin@MikroTik] > export compact hide-sensitive
# oct/27/2023 12:46:37 by RouterOS 6.49.10
# software id = LT1I-56G4
#
# model = 2011UiAS-2HnD
# serial number = 608B05FF6B28
/interface bridge
add admin-mac=E4:8D:8C:36:13:56 auto-mac=no comment=defconf fast-forward=no \
name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether6-master
set [ find default-name=ether7 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
country=belgium disabled=no distance=indoors frequency=auto mode=ap-bridge \
ssid=Yaids station-roaming=enabled wireless-protocol=802.11
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan10 name=pppoe-wan \
use-peer-dns=yes user=xxxx
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.100-192.168.0.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge name=defconf
/ppp profile
set *0 use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=192.168.0.42/32,192.168.0.14/32
/system logging action
set 3 remote=192.168.0.16
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=sfp1 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6-master list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=wlan1 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
add interface=pppoe-wan list=WAN
add list=WAN
add interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.0.0/24 boot-file-name=pxelinux.0 comment=dhcp-lan \
dns-server=192.168.0.85 gateway=192.168.0.1 ntp-server=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=mikrotik.yaids.be
add address=192.168.0.10 name=luke.yaids.be
add address=192.168.0.11 name=leia.yaids.be
add address=192.168.0.12 name=obiwan.yaids.be
add address=192.168.0.43 name=deploy.yaids.be
add address=192.168.0.48 name=ansible.yaids.be
add address=192.168.0.5 name=www.yaids.be
add address=192.168.0.83 name=python.yaids.be
add address=192.168.0.22 name=esxi.yaids.be
add address=192.168.0.23 name=orchestra.yaids.be
add address=192.168.0.99 name=seedbox.yaids.be
add address=192.168.0.96 name=parrot.yaids.be
add address=192.168.0.45 name=qnap.yaids.be
add address=192.168.0.15 name=optiplex.yaids.be
add address=192.168.0.13 name=esxitemp.yaids.be
add address=192.168.0.70 name=dc01.yaids.be
add address=192.168.0.71 name=dc02.yaids.be
add address=192.168.0.16 name=qradar.yaids.be
add address=192.168.0.17 name=elastiflow.yaids.be
add address=192.168.0.50 name=chia.yaids.be
add address=192.168.0.55 name=docker.yaids.be
add address=192.168.0.90 name=homeassistant.yaids.be
add address=192.168.0.33 name=proxmox.yaids.be
add address=192.168.0.98 name=securityonion.yaids.be
add address=192.168.0.85 name=server.yaids.be
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe-wan protocol=icmp reject-with=\
icmp-network-unreachable
add action=reject chain=input in-interface=pppoe-wan protocol=tcp reject-with=\
icmp-network-unreachable
add action=reject chain=input in-interface=pppoe-wan protocol=udp reject-with=\
icmp-network-unreachable
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=xxx dst-port=1815 \
protocol=tcp to-addresses=192.168.0.12 to-ports=1815
add action=masquerade chain=srcnat comment="Needed for Internet" out-interface=\
pppoe-wan src-address=192.168.0.0/24
add action=dst-nat chain=dstnat dst-address=xxx dst-port=1816 \
protocol=tcp to-addresses=192.168.0.85 to-ports=1816
add action=dst-nat chain=dstnat dst-address=xxxx dst-port=1817 \
protocol=tcp to-addresses=192.168.0.85 to-ports=1817
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set active-flow-timeout=1m enabled=yes
/ip traffic-flow target
add dst-address=192.168.0.16 version=5
/lcd interface pages
set 0 interfaces="sfp1,ether1,ether2-master,ether3,ether4,ether5,ether6-master,e\
ther7,ether8,ether9,ether10"
/snmp
set enabled=yes trap-interfaces=all
/system clock
set time-zone-name=Europe/Brussels
/system logging
set 0 action=disk
set 1 action=disk
set 3 action=disk
add action=remote topics=firewall
/system ntp client
set enabled=yes primary-ntp=xxx
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
[admin@MikroTik] >

zaterdag 4 november 2023 18:21

Acties:

0 Henk 'm!

Flappie

Wie kan mij even op weg helpen.
Momenteel een OPNsense router bij op mijn Proxmox machine maar ik merk dat ik niet mijn volledige glasvezel snelheid van 500Mbit haal.

Al zoeken naar een nieuwe router kwam ik Mikrotik tegen. Heb er geen ervaring tot op heden maar wil er graag iets van leren.

Ik heb momenteel meerdere VLAN's die ik via Proxmox router met diverse firewall rules.

Ik zoek dus een MikroTik router die ik met LACP aan mijn "core" switch kan hangen middels 2 x 1 Gbps.

Ik zoek doet iets wat dit allemaal hardware matig kan offloaden zodat ik wel volledig de snelheid van mijn glas kan halen.

Is de L009 hier een geschikte router voor? Prijstechnisch is dit prima. Of moet ik eerder aan een RB5009 denken?

zaterdag 4 november 2023 18:57

Acties:

+1 Henk 'm!

UTPBlokje

Yarisken schreef op zaterdag 4 november 2023 @ 17:59:
[...]

Dit is mijn config

[admin@MikroTik] > export compact hide-sensitive
# oct/27/2023 12:46:37 by RouterOS 6.49.10
# software id = LT1I-56G4
#
# model = 2011UiAS-2HnD
# serial number = 608B05FF6B28
/interface bridge
add admin-mac=E4:8D:8C:36:13:56 auto-mac=no comment=defconf fast-forward=no \
name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether6-master
set [ find default-name=ether7 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
country=belgium disabled=no distance=indoors frequency=auto mode=ap-bridge \
ssid=Yaids station-roaming=enabled wireless-protocol=802.11
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan10 name=pppoe-wan \
use-peer-dns=yes user=xxxx
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.100-192.168.0.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge name=defconf
/ppp profile
set *0 use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=192.168.0.42/32,192.168.0.14/32
/system logging action
set 3 remote=192.168.0.16
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=sfp1 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6-master list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=wlan1 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
add interface=pppoe-wan list=WAN
add list=WAN
add interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.0.0/24 boot-file-name=pxelinux.0 comment=dhcp-lan \
dns-server=192.168.0.85 gateway=192.168.0.1 ntp-server=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=mikrotik.yaids.be
add address=192.168.0.10 name=luke.yaids.be
add address=192.168.0.11 name=leia.yaids.be
add address=192.168.0.12 name=obiwan.yaids.be
add address=192.168.0.43 name=deploy.yaids.be
add address=192.168.0.48 name=ansible.yaids.be
add address=192.168.0.5 name=www.yaids.be
add address=192.168.0.83 name=python.yaids.be
add address=192.168.0.22 name=esxi.yaids.be
add address=192.168.0.23 name=orchestra.yaids.be
add address=192.168.0.99 name=seedbox.yaids.be
add address=192.168.0.96 name=parrot.yaids.be
add address=192.168.0.45 name=qnap.yaids.be
add address=192.168.0.15 name=optiplex.yaids.be
add address=192.168.0.13 name=esxitemp.yaids.be
add address=192.168.0.70 name=dc01.yaids.be
add address=192.168.0.71 name=dc02.yaids.be
add address=192.168.0.16 name=qradar.yaids.be
add address=192.168.0.17 name=elastiflow.yaids.be
add address=192.168.0.50 name=chia.yaids.be
add address=192.168.0.55 name=docker.yaids.be
add address=192.168.0.90 name=homeassistant.yaids.be
add address=192.168.0.33 name=proxmox.yaids.be
add address=192.168.0.98 name=securityonion.yaids.be
add address=192.168.0.85 name=server.yaids.be
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe-wan protocol=icmp reject-with=\
icmp-network-unreachable
add action=reject chain=input in-interface=pppoe-wan protocol=tcp reject-with=\
icmp-network-unreachable
add action=reject chain=input in-interface=pppoe-wan protocol=udp reject-with=\
icmp-network-unreachable
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=xxx dst-port=1815 \
protocol=tcp to-addresses=192.168.0.12 to-ports=1815
add action=masquerade chain=srcnat comment="Needed for Internet" out-interface=\
pppoe-wan src-address=192.168.0.0/24
add action=dst-nat chain=dstnat dst-address=xxx dst-port=1816 \
protocol=tcp to-addresses=192.168.0.85 to-ports=1816
add action=dst-nat chain=dstnat dst-address=xxxx dst-port=1817 \
protocol=tcp to-addresses=192.168.0.85 to-ports=1817
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set active-flow-timeout=1m enabled=yes
/ip traffic-flow target
add dst-address=192.168.0.16 version=5
/lcd interface pages
set 0 interfaces="sfp1,ether1,ether2-master,ether3,ether4,ether5,ether6-master,e\
ther7,ether8,ether9,ether10"
/snmp
set enabled=yes trap-interfaces=all
/system clock
set time-zone-name=Europe/Brussels
/system logging
set 0 action=disk
set 1 action=disk
set 3 action=disk
add action=remote topics=firewall
/system ntp client
set enabled=yes primary-ntp=xxx
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
[admin@MikroTik] >

Kijk eens naar de wiki van mikrotik

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Hierin staat je antwoord. Kijk voor even goed naar je firewall regels. Hierin zitten nog wat gaten.

Voor het lokale verkeer dat naar buiten wordt geroute kijk naar RFC6890 in dezelfde bovenstaande link.

zaterdag 4 november 2023 19:10

Acties:

0 Henk 'm!

UTPBlokje

Flappie schreef op zaterdag 4 november 2023 @ 18:21:
Wie kan mij even op weg helpen.
Momenteel een OPNsense router bij op mijn Proxmox machine maar ik merk dat ik niet mijn volledige glasvezel snelheid van 500Mbit haal.

Al zoeken naar een nieuwe router kwam ik Mikrotik tegen. Heb er geen ervaring tot op heden maar wil er graag iets van leren.

Ik heb momenteel meerdere VLAN's die ik via Proxmox router met diverse firewall rules.

Ik zoek dus een MikroTik router die ik met LACP aan mijn "core" switch kan hangen middels 2 x 1 Gbps.

Ik zoek doet iets wat dit allemaal hardware matig kan offloaden zodat ik wel volledig de snelheid van mijn glas kan halen.

Is de L009 hier een geschikte router voor? Prijstechnisch is dit prima. Of moet ik eerder aan een RB5009 denken?

De L009 kan prima werken mits je even goed naar het blok diagram kijkt, en je niet veel meer gaat doen dan wat simpele routes en firewall regels. Wanneer je meer van plan bent intervlan block of wat geavanceerde firewall regels heb je meer cpu nodig. De rb5009 heeft een 10Gbps slot en alle poorten zitten op dezelfde hardware switch aangesloten. Waar de L009 niet alles op een Hardwareswitch heeft. Zie blokdiagram op de mikrotik site.

Mijn advies zal zijn ga voor de RB5009. Wanneer je eenmaal mikrotik gewend bent en je wil meer hoef je niet gelijk te upgraden. Bijv(docker op de mikrotik, reverse proxy, wireguard of andere vpn tunnels. Interface queues enz)

zondag 5 november 2023 15:41

Acties:

0 Henk 'm!

Yarisken

UTPBlokje schreef op zaterdag 4 november 2023 @ 18:57:
[...]

Kijk eens naar de wiki van mikrotik

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Hierin staat je antwoord. Kijk voor even goed naar je firewall regels. Hierin zitten nog wat gaten.

Voor het lokale verkeer dat naar buiten wordt geroute kijk naar RFC6890 in dezelfde bovenstaande link.

Bedankt voor de link. Ik ga nu even niet klooien met mijn mikrotik. Ik ga binnenkort een ax3 kopen en daar alles goed op instellen en dan overswitchen. Bedankt !

zondag 5 november 2023 16:03

Acties:

0 Henk 'm!

robmeer

kaaas schreef op donderdag 2 november 2023 @ 21:18:
Ik zou er een USB ssd aan hangen die gaan een stuk langer mee, maar als je al USB stickjes hebt liggen kun je dat eerst doen. Kijken hoe het gaat.

Precies dat heb ik gedaan. Was vergeten dat ik nog een 128GB Kingspec van Aliexpress had liggen, die ik vroeger voor m'n Home Assistant storage aan m'n oude RP4 had gekoppeld.
Bevalt tot nu toe (sinds gisteren) prima!

jvanhambelgium schreef op zaterdag 4 november 2023 @ 10:46:
[...]

Ik heb redelijk wat issues met "USB" op m'n RB5009.
Heb zowel 2.0 als 3.0 gebruikt (Sandisk). Dat gaat dan goed voor (enkele) dagen, dan is hij plots de storage kwijt, containers crashen dan etc,etc.
"rock solid" is dat helaas niet in mijn ervaring, zeker niet in vergelijking met vb containers op m'n Synology NAS.

Ik had gehoop met de ROSE-package een NFS-mount te kunnen leggen naar Synology om daar gewoon "containers" op te draaien, maar "NFS naar Synology" lukt dus zelfs niet eens...

Aj, dat klinkt niet goed. Heb je al een USB SSD geprobeerd? Of alleen sticks?

zondag 5 november 2023 21:18

Acties:

0 Henk 'm!

jvanhambelgium

robmeer schreef op zondag 5 november 2023 @ 16:03:
Aj, dat klinkt niet goed. Heb je al een USB SSD geprobeerd? Of alleen sticks?

Enkel "sticks" eigenlijk. Heb zo direct geen SSD'tje liggen met USB-interface.

zondag 5 november 2023 23:36

Acties:

0 Henk 'm!

robmeer

jvanhambelgium schreef op zondag 5 november 2023 @ 21:18:
[...]

Enkel "sticks" eigenlijk. Heb zo direct geen SSD'tje liggen met USB-interface.

Zou het kunnen zijn... dat je de firmware versie nog niet up-to-date hebt? Dat heeft bij anderen las ik ook usb problemen veroorzaakt. En dan bedoel ik, dat de problemen verdwenen nadat ze die bijgewerkt hadden.

maandag 6 november 2023 16:19

Acties:

0 Henk 'm!

jvanhambelgium

robmeer schreef op zondag 5 november 2023 @ 23:36:
[...]

Zou het kunnen zijn... dat je de firmware versie nog niet up-to-date hebt? Dat heeft bij anderen las ik ook usb problemen veroorzaakt. En dan bedoel ik, dat de problemen verdwenen nadat ze die bijgewerkt hadden.

Firmware ? Van de Mikrotik RouterOS ? Ik draai op de laatste "stable" 7.11.x ondertussen. Hopelijk binnekort is 7.12 "stable"

maandag 6 november 2023 17:03

Acties:

+1 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

jvanhambelgium schreef op maandag 6 november 2023 @ 16:19:
[...]

Firmware ? Van de Mikrotik RouterOS ? Ik draai op de laatste "stable" 7.11.x ondertussen. Hopelijk binnekort is 7.12 "stable"

Niet alleen RouterOS kent updates, ook de firmware. Die moet je apart installeren.

RIPE Atlas probe: 1005104

maandag 6 november 2023 17:06

Acties:

+1 Henk 'm!

jvanhambelgium

ernstoud schreef op maandag 6 november 2023 @ 17:03:
[...]

Niet alleen RouterOS kent updates, ook de firmware. Die moet je apart installeren.

Die hou ik altijd in sync. Ik doe dus altijd 2 upgrades.

maandag 6 november 2023 20:01

Acties:

0 Henk 'm!

robmeer

jvanhambelgium schreef op maandag 6 november 2023 @ 17:06:
[...]

Die hou ik altijd in sync. Ik doe dus altijd 2 upgrades.

Heh jammer, had gehoopt dat dat de oorzaak was. Dan zou ik het zo ook niet weten helaas.

dinsdag 7 november 2023 11:25

Acties:

0 Henk 'm!

mukky

mukky schreef op zondag 29 oktober 2023 @ 22:57:
Vandaag een Mikrotik geïnstalleerd bij een vriend van me maar ik krijg Wireguard niet werkend. Het verkeer van de peer gaat wel naar de router maar op de weg terug raakt het kwijt. Ik kan de peer ook niet pingen vanaf de router zelf. Ik heb de config naast mijn werkende config gelegd maar ik zie het verschil niet. Hij zit bij Odido, ik bij Freedom. Allebei RouterOS 7.11.2, hij een RB850Gx2. Iemand een idee hoe te troubleshooten? Al een hele middag op verstookt

code:

/interface bridge
add admin-mac=6C:3B:6B:BA:F4:40 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add interface=ether1 name=vlan1 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=10.255.255.3/32 endpoint-address="" \
    endpoint-port=13231 interface=wireguard1 public-key=\
    ""
add allowed-address=10.255.255.7/32 endpoint-port=13231 \
    interface=wireguard1 public-key=\
    ""
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.255.255.1/24 comment=wg interface=wireguard1 network=\
    10.255.255.0
/ip dhcp-client
add comment=defconf interface=vlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    62.58.48.20,37.143.84.228 gateway=192.168.88.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="allow wg" dst-port=13231 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/system routerboard settings
# Firmware upgraded successfully, please reboot for changes to take effect!
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Ik ben verder aan het puzzelen en omdat de router remote staat wilde ik poort 80 opengooien maar ik loop effectief tegen hetzelfde probleem aan: De router ontvangt wel het pakket (ik zie de datateller oplopen naast de firewallregel) maar er komt niets terug. Idem voor de poort van WinBox. Iemand tips waar ik naar moet kijken? De routeringstabel bevat niets raars

dinsdag 7 november 2023 11:43

Acties:

0 Henk 'm!

babbelbox

mukky schreef op dinsdag 7 november 2023 @ 11:25:
[...]

Ik ben verder aan het puzzelen en omdat de router remote staat wilde ik poort 80 opengooien maar ik loop effectief tegen hetzelfde probleem aan: De router ontvangt wel het pakket (ik zie de datateller oplopen naast de firewallregel) maar er komt niets terug. Idem voor de poort van WinBox. Iemand tips waar ik naar moet kijken? De routeringstabel bevat niets raars

Ik kan in je firewall config niets vinden wat port 80 van buiten zou moeten toelaten.
Voor welke regel in je firewall zie je hits oplopen als je verbinding probeert te maken?

Het openzetten van port 80 kan op 2 manieren, met of zonder NAT.
Je kunt een allow rule maken die port 80 toestaat op je WAN interface, dus zonder NAT.

code:

1 2	/ip/firewall/filter add chain=input action=allow in-interface-list=WAN protocol=tcp dst-port=80

Wat je ook kunt doen is een alternatieve port dmv NAT naar je interne adres van je router forwarden, dan heb je 'iets' minder kwetsbaar.

code:

1 2	/ip/firewall/nat add chain=dstnat action=dst-nat in-interface-list=WAN protocol=tcp dst-port=8080 to-addresses=192.168.88.1 to-ports=80

dinsdag 7 november 2023 11:48

Acties:

0 Henk 'm!

mukky

babbelbox schreef op dinsdag 7 november 2023 @ 11:43:
[...]

Ik kan in je firewall config niets vinden wat port 80 van buiten zou moeten toelaten.
Voor welke regel in je firewall zie je hits oplopen als je verbinding probeert te maken?

Het openzetten van port 80 kan op 2 manieren, met of zonder NAT.
Je kunt een allow rule maken die port 80 toestaat op je WAN interface, dus zonder NAT.
code:
1
2
/ip/firewall/filter
add chain=input action=allow in-interface-list=WAN protocol=tcp dst-port=80
Wat je ook kunt doen is een alternatieve port dmv NAT naar je interne adres van je router forwarden, dan heb je 'iets' minder kwetsbaar.
code:
1
2
/ip/firewall/nat
add chain=dstnat action=dst-nat in-interface-list=WAN protocol=tcp dst-port=8080 to-addresses=192.168.88.1 to-ports=80

Nee klopt staat er niet in. Ik had jouw eerste variant gebruikt maar ipv WAN de vlan van Odido. Zou niet mogen uitmaken. Ik zie dat de regel wordt aangesproken maar ik begrijp niet waarom er dan niets terugkomt?

dinsdag 7 november 2023 19:30

Acties:

0 Henk 'm!

kaaas

Ik zou remote management niet over poort 80 doen. Je inlog en WW gaan dan in plain tekst over internet. Je kunt beter ssh of winbox gebruiken.

dinsdag 7 november 2023 23:19

Acties:

0 Henk 'm!

babbelbox

kaaas schreef op dinsdag 7 november 2023 @ 19:30:
Ik zou remote management niet over poort 80 doen. Je inlog en WW gaan dan in plain tekst over internet. Je kunt beter ssh of winbox gebruiken.

Ik zou inderdaad wegblijven van http management. Ook indien er een andere poort wordt gebruikt.

woensdag 8 november 2023 08:50

Acties:

0 Henk 'm!

mukky

babbelbox schreef op dinsdag 7 november 2023 @ 23:19:
[...]

Ik zou inderdaad wegblijven van http management. Ook indien er een andere poort wordt gebruikt.

Ik heb het puur als test ingesteld om te kijken of het werkt maar ik heb hetzelfde probleem als met wireguard nl. dat traffic naar de router wel aankomt maar traffic vanaf de router zelf kwijtraakt:

- DNS resolve op de router werkt niet (voor NTP en updates) maar ping weer wel
- Inkomend verkeer wordt doorgelaten door de firewall en is zichtbaar in de logs
- Router is niet bereikbaar voor wireguard, http, ssh of winbox

Ik weet het niet hoor

Iemand nog tips?

code:

# 2023-11-07 22:18:24 by RouterOS 7.11.2
# software id = BC03-VNND
#
# model = RB850Gx2
# serial number = 71DC062F9785
/interface bridge
add admin-mac=6C:3B:6B:BA:F4:40 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1450 name=wireguard1
/interface vlan
add disabled=yes interface=ether1 name=vlan100 vlan-id=100
add interface=ether1 name=vlan300 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan300 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=10.255.255.3/32 comment=laptop-a endpoint-address="" \
    endpoint-port=13231 interface=wireguard1 public-key=\
    "xxx="
add allowed-address=10.255.255.7/32 comment=laptop-b endpoint-port=13231 \
    interface=wireguard1 public-key=\
    "xxx"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.255.255.1/24 comment=wg interface=wireguard1 network=\
    10.255.255.0
/ip dhcp-client
add add-default-route=special-classless comment=defconf interface=vlan300 \
    use-peer-dns=no use-peer-ntp=no
add add-default-route=no comment=management disabled=yes interface=vlan100
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    62.58.48.20,37.143.84.228 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=37.143.84.228,62.58.48.20
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=svl-ssh dst-port=22 log=yes log-prefix=\
    svl protocol=tcp
add action=accept chain=input comment="allow wg" dst-port=13231 log=yes \
    log-prefix=wg protocol=udp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

woensdag 8 november 2023 09:25

Acties:

0 Henk 'm!

babbelbox

mukky schreef op woensdag 8 november 2023 @ 08:50:
[...]

Ik heb het puur als test ingesteld om te kijken of het werkt maar ik heb hetzelfde probleem als met wireguard nl. dat traffic naar de router wel aankomt maar traffic vanaf de router zelf kwijtraakt:

- DNS resolve op de router werkt niet (voor NTP en updates) maar ping weer wel
- Inkomend verkeer wordt doorgelaten door de firewall en is zichtbaar in de logs
- Router is niet bereikbaar voor wireguard, http, ssh of winbox

Ik weet het niet hoor

Iemand nog tips?

code:

# 2023-11-07 22:18:24 by RouterOS 7.11.2
# software id = BC03-VNND
#
# model = RB850Gx2
# serial number = 71DC062F9785
/interface bridge
add admin-mac=6C:3B:6B:BA:F4:40 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1450 name=wireguard1
/interface vlan
add disabled=yes interface=ether1 name=vlan100 vlan-id=100
add interface=ether1 name=vlan300 vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan300 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=10.255.255.3/32 comment=laptop-a endpoint-address="" \
    endpoint-port=13231 interface=wireguard1 public-key=\
    "xxx="
add allowed-address=10.255.255.7/32 comment=laptop-b endpoint-port=13231 \
    interface=wireguard1 public-key=\
    "xxx"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.255.255.1/24 comment=wg interface=wireguard1 network=\
    10.255.255.0
/ip dhcp-client
add add-default-route=special-classless comment=defconf interface=vlan300 \
    use-peer-dns=no use-peer-ntp=no
add add-default-route=no comment=management disabled=yes interface=vlan100
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    62.58.48.20,37.143.84.228 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=37.143.84.228,62.58.48.20
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=svl-ssh dst-port=22 log=yes log-prefix=\
    svl protocol=tcp
add action=accept chain=input comment="allow wg" dst-port=13231 log=yes \
    log-prefix=wg protocol=udp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Hoe test je de mogelijkheden? Als je van binnenuit je eigen netwerk test moet je nog even zoeken op Hairpin NAT

woensdag 8 november 2023 09:37

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

mukky schreef op woensdag 8 november 2023 @ 08:50:
Ik weet het niet hoor Iemand nog tips?

Ik heb eerder niet gereageerd omdat dit typisch iets is waar je zelf in de beste positie zit om dit te debuggen. Probeer de veronderstelde packet flow te volgen met de sniffer en/of logs tot je op iets stuit dat niet werkt. Hier zeg je al te hebben vastgesteld dat inkomende packets je firewall rule raken - mooi, dan is de volgende stap een vergelijkbare rule maar dan op de output chain (action log, sport 22 en test met ssh).

Test vooral met iets over tcp zoals ssh (en niet WireGuard) zodat je weet dat je altijd een response hoort te zien.

Je config is basic en er staat voor zover ik kan overzien niets geks in. Als er geen aap uit de mouw komt (zie bovenstaande poster) dan is er iets heel geks aan de hand.

Hoe hangt dit aan het internet? Direct aan T-Mobile/Odido? Je zegt dat DNS resolution niet werkt vanaf de router, maar dat zou betekenen dat clients achter deze router óók geen werkende DNS hebben? Hoe zit dat?

donderdag 9 november 2023 09:21

Acties:

0 Henk 'm!

mukky

Thralas schreef op woensdag 8 november 2023 @ 09:37:
[...]

Ik heb eerder niet gereageerd omdat dit typisch iets is waar je zelf in de beste positie zit om dit te debuggen. Probeer de veronderstelde packet flow te volgen met de sniffer en/of logs tot je op iets stuit dat niet werkt. Hier zeg je al te hebben vastgesteld dat inkomende packets je firewall rule raken - mooi, dan is de volgende stap een vergelijkbare rule maar dan op de output chain (action log, sport 22 en test met ssh).

Test vooral met iets over tcp zoals ssh (en niet WireGuard) zodat je weet dat je altijd een response hoort te zien.

Je config is basic en er staat voor zover ik kan overzien niets geks in. Als er geen aap uit de mouw komt (zie bovenstaande poster) dan is er iets heel geks aan de hand.

Hoe hangt dit aan het internet? Direct aan T-Mobile/Odido? Je zegt dat DNS resolution niet werkt vanaf de router, maar dat zou betekenen dat clients achter deze router óók geen werkende DNS hebben? Hoe zit dat?

De clients achter de router hebben gewoon DNS, de router zelf kan de DNS server ook pingen maar niet resolven. Hij hangt achter de ONT dus op ethernet. Goed idee om een rule aan te maken naar buiten en te kijken of die ook geraakt wordt, dat soort tips was ik naar op zoek $_/-\o_$

Ik heb ook nog een Hex S liggen, die ga ik ook proberen. TBC

donderdag 9 november 2023 09:41

Acties:

0 Henk 'm!

babbelbox

Is er een specifieke reden dat je "add-default-route" setting voor je DHCP client niet op de default waarde "yes" staat?
Ik vind het nl ook vreemd dat je router geen DNS kan doon terwijl er wel gewoon DNS servers zijn geconfigureerd.

donderdag 9 november 2023 10:56

Acties:

0 Henk 'm!

mukky

babbelbox schreef op donderdag 9 november 2023 @ 09:41:
Is er een specifieke reden dat je "add-default-route" setting voor je DHCP client niet op de default waarde "yes" staat?

Ik heb de classless optie geprobeerd, die staat wel aan. Maakte geen verschil

Ik vind het nl ook vreemd dat je router geen DNS kan doon terwijl er wel gewoon DNS servers zijn geconfigureerd.

Daar kom ik ook echt niet uit. Ik heb net de Hex S op de bus gedaan met dezelfde standaard config en we gaan die eens proberen. Ik ben wel nieuwsgierig maar of dit nou de moeite waard is om helemaal uit te zoeken op zulke oude hardware betwijfel ik

donderdag 9 november 2023 11:11

Acties:

+2 Henk 'm!

kaaas

@mukky Kun je de output van /ip/route/print posten minus eventueel gevoelige adressen.
Van je zelf en de andere router.

[ Voor 16% gewijzigd door kaaas op 09-11-2023 12:12 ]

donderdag 9 november 2023 12:25

Acties:

+1 Henk 'm!

Raymond P

@mukky Hoe wordt DNS op die clients getest? Heb je niet te maken met een hippe fallback (op DOT/DOH) of alternatieve software / ipv6?
De dns servers die je opgeeft kan ik wel pingen maar antwoorden ook niet (recursive) op #53. Al zegt dat niet noodzakelijk iets, ik heb geen freedom/t-mobile.

Heb je ip>service ssh en www wel enabled? Dat stukje mis ik in je export.
SSH laat je door in je firewall, www en winbox niet.

- knip -

Pagina: Vorige 1 ... 46 ... 54 Volgende Laatste

Reageer

Onderwerpen

andere internetaanbieder

Internet niet verbonden