[MikroTik-apparatuur] Ervaringen & Discussie

woensdag 24 juni 2015 08:28

Acties:

0 Henk 'm!

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Zware Unit schreef op dinsdag 23 juni 2015 @ 23:10:
Voor 500/500Mbit zat ik zelf te denken aan de CCR1009-8G-1S-1S+ of CCR1016-12G. Upload snelheid blij mijn RB2011 blijft namelijk ruim lager dan de 220Mbit, dus heb liever dat ik een MikroTik router aanschaf die redelijk overkill is, dan iets te halen wat underpowered blijkt te zijn.

Waarom niet de RB1100AHx2 die is iets goedkoper en moet het ook makkelijk aan kunnen. Ik zat zelf aan deze te denken voor als ik naar 500/500 overstap.

“Choose a job you love, and you will never have to work a day in your life.”

woensdag 24 juni 2015 09:02

Acties:

0 Henk 'm!

rohaantje

MikroTik

Zijn er al mensen die de nieuwe hEX Lite hebben?
Ik ben wel benieuwd naar zijn prestaties.

Ik heb er op dit moment 2 in bestelling om mijn testopstelling uit te breiden.

[ Voor 185% gewijzigd door rohaantje op 24-06-2015 11:01 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 24 juni 2015 16:37

Acties:

0 Henk 'm!

Zware Unit

Tylen schreef op woensdag 24 juni 2015 @ 08:28:
[...]

Waarom niet de RB1100AHx2 die is iets goedkoper en moet het ook makkelijk aan kunnen. Ik zat zelf aan deze te denken voor als ik naar 500/500 overstap.

Weet je zeker dat deze snel genoeg is?

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

woensdag 24 juni 2015 16:49

Acties:

0 Henk 'm!

chaoscontrol

Zware Unit schreef op woensdag 24 juni 2015 @ 16:37:
[...]

Weet je zeker dat deze snel genoeg is?

Ik twijfel, maar kan het niet testen... Zou zelf gaan voor CCR1009-8G-1S. De CCR1009-8G-1S-1S+ is leuk maar weet niet of het een echte meerwaarde heeft voor thuis. (Wel ben je dan een stukje cooler uiteraard.

)

Inventaris - Koop mijn meuk!

woensdag 24 juni 2015 16:51

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Zware Unit schreef op woensdag 24 juni 2015 @ 16:37:
[...]

Weet je zeker dat deze snel genoeg is?

Euh nee niet 100% maar hij heeft 2x 1Ghz cores en 2GB Ram.

“Choose a job you love, and you will never have to work a day in your life.”

woensdag 24 juni 2015 20:31

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Edd schreef op dinsdag 23 juni 2015 @ 20:06:
Mijn concrete ervaring is dat het niet werkte met een 500mbit glasvezel lijn van XS4all.
Daar wordt gebruikt gemaakt van een pppoe-sessie over een vlan en Fasttrack wordt (nog) niet ondersteund door de pppoe-client van de MiktroTik.

Ik heb zelf even een bak voor m'n NAT gehangen (dus voor de WAN-poort) en met/zonder fasttrack gebenchmarked

Specs: RB951G, v6.29, iperf3, default settings (tcp); enkel naar buiten toe (andersom heb ik wat onverklaarbare netwerkissues, maar dat zou dezelfde snelheden moeten opleveren lijkt me).

Standaard:

code:

1
2
3

[ ID] Interval           Transfer     Bandwidth       Retr
[  5]   0.00-10.03  sec   318 MBytes   266 Mbits/sec  1089             sender
[  5]   0.00-10.03  sec   318 MBytes   266 Mbits/sec                  receiver

Fasttrack op ESTABLISHED:

code:

1
2
3

[ ID] Interval           Transfer     Bandwidth       Retr
[  5]   0.00-10.05  sec   847 MBytes   707 Mbits/sec  500             sender
[  5]   0.00-10.05  sec   847 MBytes   707 Mbits/sec                  receiver

Ik zie overigens nog 25-40% idle time (of 15-20% met 3 parallele tcp-connecties) in de profiler, mogelijk wandel ik tegen een bottleneck anders dan de Routerboard aan (receiving side is een VM met ethernet via thunderbolt).

Al met al denk ik dat als je geen queues, tunnels (PPPoE!) of non-switchchip VLANs in je pad hebt zitten ook 500/500 best aardig te doen is met een RB951/RB2011 en fasttrack.

Misschien kan Zware Unit even praktijktesten gezien z'n RB2011 niet meer voldeed? Of zitten de caveats in de weg?

zaterdag 27 juni 2015 22:34

Acties:

0 Henk 'm!

init6

Sinds een paar maanden wonen we in een groter huis, voorheen was de verbinding prima te noemen eigenlijk omdat het een klein huis was vermoed ik. Het huidige huis heeft echter een woonkamer zo groot als het vorige huis in zijn geheel was qua begane grond en hier staat nu de RB2011UAS, zodra ik buiten de woonkamer ben valt het sterkte van signaal naar 80db, ben ik 2 kamers verder dan is er geen connectiviteit meer. In de woonkamer als ik bovenop de mikrotik ga staan heb ik een sterkte van 50db. Zijn dit normale waardes?

Verdere ervaringen:
Ben ooit begonnen met een NAT achter een UPC router, inmiddels direct aangesloten op de XS4all glasvezel ingang. Koste wat tijd om de config recht te breien, maar inmiddels geen klagen meer.

[ Voor 18% gewijzigd door init6 op 27-06-2015 22:39 ]

zondag 28 juni 2015 12:12

Acties:

0 Henk 'm!

rohaantje

MikroTik

Laten we eerst maar is overal een - voor zetten.

Daarnaast kun je kijken welke landinstellingen je hebt. De instellingen voor nl drukken de prestaties redelijk.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

maandag 29 juni 2015 21:18

Acties:

0 Henk 'm!

Zware Unit

Wat is de beste indoor Wifi AC oplossing van MikroTik?

Zie een hoop losse onderdelen en upgrades, maar niet duidelijk welke AP's nu een goede oplossing zijn.

[ Voor 49% gewijzigd door Zware Unit op 29-06-2015 21:27 ]

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

maandag 29 juni 2015 21:50

Acties:

0 Henk 'm!

DennusB

Zware Unit schreef op maandag 29 juni 2015 @ 21:18:
Wat is de beste indoor Wifi AC oplossing van MikroTik?

Zie een hoop losse onderdelen en upgrades, maar niet duidelijk welke AP's nu een goede oplossing zijn.

Hebben ze al AC AP's dan? Ik dacht van niet namelijk!

Owner of DBIT Consultancy | DJ BassBrewer

maandag 29 juni 2015 22:19

Acties:

0 Henk 'm!

Verwijderd

DennusB schreef op maandag 29 juni 2015 @ 21:50:
[...]
Hebben ze al AC AP's dan? Ik dacht van niet namelijk!

In maart zijn de hAP ac en hAP ac lite aangekondigd (RRP onbekend, resp. US$ 69 ex.) met als introductiedatum Q3. Zie Thralas in "\[Ervaringen/discussie] MikroTik-apparatuur" & Mikrotik presentatie: http://i.mt.lv/eu15.pdf.
Of zelf samenstellen uit een RouterBoard met passende (miniPCI-e) connector(en) en bijv. de R11e5HacD i.c.m. een losse behuizing & antennes.

[ Voor 1% gewijzigd door Verwijderd op 29-06-2015 23:02 . Reden: Introductieprijs hAP ac lite wèl bekend (ex. BTW) ]

maandag 29 juni 2015 22:21

Acties:

0 Henk 'm!

DennusB

Verwijderd schreef op maandag 29 juni 2015 @ 22:19:
[...]
In maart zijn de hAP ac en hAP ac lite aangekondigd (RRP onbekend) met als introductiedatum Q3. Zie Thralas in "\[Ervaringen/discussie] MikroTik-apparatuur" & Mikrotik presentatie: http://i.mt.lv/eu15.pdf.
Of zelf samenstellen uit een RouterBoard met passende (miniPCI-e) connector(en) en bijv. de R11e5HacD i.c.m. een losse behuizing & antennes.

Dat is best vet. Iemand enig idee of ze zero-handoff supporten onderling?

Owner of DBIT Consultancy | DJ BassBrewer

maandag 29 juni 2015 22:34

Acties:

0 Henk 'm!

Verwijderd

DennusB schreef op maandag 29 juni 2015 @ 22:21:
[...]
Dat is best vet. Iemand enig idee of ze zero-handoff supporten onderling?

Nee. Maar lees hun positie inzake roaming op het Mikrotikforum (onderstaand citaat en verder):

quote: http://forum.mikrotik.com/viewtopic.php?p=453627#p453627
RouterOS has always been capable of roaming, this is not related to product model. So yes, cAP and any other MikroTik device, is capable of seamless roaming

[ Voor 4% gewijzigd door Verwijderd op 29-06-2015 22:36 . Reden: Ja: roaming; nee: zero-handoff ]

maandag 29 juni 2015 22:46

Acties:

0 Henk 'm!

DennusB

Verwijderd schreef op maandag 29 juni 2015 @ 22:34:
[...]
Nee. Maar lees hun positie inzake roaming op het Mikrotikforum (onderstaand citaat en verder):
[...]

Zou leuk zijn als het out-of-the-box werkt, ben benieuwd dan!

Owner of DBIT Consultancy | DJ BassBrewer

maandag 29 juni 2015 22:51

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Beetje een flauw statement natuurlijk, wat ze proberen te zeggen is 'als de client meewerkt, dan reconnect hij vanzelf naar een gunstiger AP'. En dat kun je bevorderen door een RSSI threshold in te stellen.

Bij dat 'zero handoff' van Ubiquiti kun je ook de nodige kanttekeningen plaatsen overigens:

ZH Roaming should not be enabled on High-Density WLANs. This is because ZH requires the same channel be used on all access points across the BSSID. In addition, all associated wireless clients are using the same channel.

Misschien is dat wat minder een probleem in een thuissituatie, waar de 'andere' AP toch weinig te doen heeft als een client van AP wisselt, maar een silver bullet is het ook niet. Ik weet niets van WiFi-deployments met n >= 2, maar de stelregel leek toch altijd om voor verschillende kanalen te gaan...

Over de nieuwe hAPs gesproken, Interprojekt heeft de RB951Ui-2nD (aka. 'hAP') op preorder met een shipping ETA van 15 juli. Het feit dat de AC-versies nogsteeds ontbreken doet vermoeden dat dat nog een paar weken extra duurt. En de RB3011 lijkt 'Q2' ook niet meer te halen.

De hAP lite is inmiddels nog maar 16,- aldaar, en je kunt er eigenlijk geen één meer bestellen, gezien de verzendkosten

De hAP (non-lite) valt daarmee overigens wel erg tussen wal en schip wmb. Als router kan ik 'm niet serieus nemen, want hij heeft geen gigabitpoorten, en als plain access point heb je een lite voor de helft van de prijs.

Zelfde overigens voor de RB3011, lijkt me stukken minder interessant voor thuisgebruik tov. de RB2011; er is immers een model met 'slechts' 5 poorten, maar die heeft wel dual-chain WiFi en is nog goedkoper ook (lijkt me?

)..

[ Voor 18% gewijzigd door Thralas op 29-06-2015 23:17 ]

dinsdag 30 juni 2015 08:02

Acties:

0 Henk 'm!

FreshMaker

Wifi

Mijn bestelling is eindelijk onderweg

Ging van alles fout, eerst moest paypal het vanmijn rekening afschrijven, ipv direct over te boeken ( ondanks dat er voldoende op stond aan saldo )
Dus al 2 weken vertraging, vervolgens krijg ik van PP en Interprojekt bevestiging dat er betaald is.
Maar pas na een mail afgelopen vrijdag waar mijn bestelling zou zijn, schrokken ze wakker

morgen binnen ...

edit : hieronder ....

Ja, is niet zo héél erg, ik vermoed dat het gewoon erg druk is, en dan is zo'n uitgestelde betaling van paypal wel lastig ( 14 dagen later )
Volgende keer gewoon direct met CC betalen ...

[ Voor 21% gewijzigd door FreshMaker op 30-06-2015 08:29 ]

dinsdag 30 juni 2015 08:17

Acties:

0 Henk 'm!

rohaantje

MikroTik

Het is mij ook al 2x gebeurd dat mijn bestelling pas werd afgehandeld na een 'herinnering' mailtje. Beetje slordig. Maar het feit dat het zo goedkoop,is maakt het weer een beetje goed.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 30 juni 2015 09:11

Acties:

0 Henk 'm!

init6

rohaantje schreef op zondag 28 juni 2015 @ 12:12:
Laten we eerst maar is overal een - voor zetten.

Daarnaast kun je kijken welke landinstellingen je hebt. De instellingen voor nl drukken de prestaties redelijk.

United States, heb al wat zitten lezen en zitten spelen met instellingen zoals mhz. Maar waar ik benieuwd naar ben is of dicht bij een RB2011 iedereen -50db heeft.

dinsdag 30 juni 2015 11:15

Acties:

0 Henk 'm!

rohaantje

MikroTik

init6 schreef op dinsdag 30 juni 2015 @ 09:11:
[...]

United States, heb al wat zitten lezen en zitten spelen met instellingen zoals mhz. Maar waar ik benieuwd naar ben is of dicht bij een RB2011 iedereen -50db heeft.

Ik heb de volgende instellingen met capsman:
kanaal -1 tot 13
30dBm
20MHz Ce(40 MHz)
no country
Ik weet dat dit lompe instellingen zijn, maar ik woon in the middle of nowhere zonder buren. En ik moet wel een flink bedrijf van wifi voorzien

Met een 2HnD apparaat(in mijn geval een CRS109) haal ik met mijn antennes op de antennes van de router -11dBm. Ik haal -60dBm een verdieping hoger er recht boven(antennes staan 45 graden gekanteld).
Met een 2nD apparaat(in mijn geval een hAP Lite) haal ik met mijn antennes op de antennes van de router -14dBm. Ik haal -65/-70dBm een verdieping lager er techt onder.

Metingen zijn gedaan met Acrylic Wi-Fi Free en een Dell Wireless-card 1705(Qualcomm Atheros QCWB335).

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 1 juli 2015 21:21

Acties:

0 Henk 'm!

Zware Unit

Eindelijk heb ik mijn nieuwe CCR1009-8G-1S-1S+ aan de praat.

Afbeeldingslocatie: http://www.speedtest.net/result/4478291825.png

[ Voor 173% gewijzigd door Zware Unit op 03-07-2015 15:42 ]

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

vrijdag 3 juli 2015 17:53

Acties:

0 Henk 'm!

ShadowBumble

Professioneel Prutser

rohaantje schreef op dinsdag 09 juni 2015 @ 23:00:
Ik gebruik mijn 2 hAP's en 1 mAP met capsman... en ik kan mijn 20/20 voltrekken.
Werkt prima na het juist instellen van capsman.

Heb jij toevallig wat meer info over capsman ?

Ik heb namelijk 2 Mikrotik devices

RB951G-2HnD
hAP Lite

De RB951 was vroeger mijn router tot hij werd vervangen door een pfsense router, nu is deze connected op een switch in vlan x.

De RB951 draait een gast wifi netwerk en een normaal wifi netwerk, de bedoeling is dan ook om deze blijven te gebruiken. De hAP LITE is voor in de schuur, dus heeft gewoon een ethernet connectie met de switch op vlan x, en moet ook deze 2 SSID's gaan accepteren.

De capsman configuratie kan ik redelijk volgen maar ik loop vast bij het moment dat ik dus de RB951 moet gaan connecten op de capsman controller, hoe ga ik deze connecten als hijzelf de capsman controller is ?

EDIT:
Scenario geschetst ipv direct vraagstelling, schieten we meer mee op namelijk

[ Voor 44% gewijzigd door ShadowBumble op 03-07-2015 18:16 ]

"Allow me to shatter your delusions of grandeur."

vrijdag 3 juli 2015 20:15

Acties:

0 Henk 'm!

rohaantje

MikroTik

In wireless zet je CAP aan. En laat je hem op een centrale bridge of interface zoeken naar de capsman.

[ Voor 12% gewijzigd door rohaantje op 03-07-2015 20:19 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 3 juli 2015 22:39

Acties:

0 Henk 'm!

ShadowBumble

Professioneel Prutser

rohaantje schreef op vrijdag 03 juli 2015 @ 20:15:
In wireless zet je CAP aan. En laat je hem op een centrale bridge of interface zoeken naar de capsman.

Stom inderdaad, dat werkt prima

beetje onlogisch maar okay.
Eigenlijk als je het eenmaal door hebt is het appeltje eitje

[ Voor 26% gewijzigd door ShadowBumble op 03-07-2015 23:00 ]

"Allow me to shatter your delusions of grandeur."

vrijdag 3 juli 2015 23:19

Acties:

0 Henk 'm!

rohaantje

MikroTik

ShadowBumble schreef op vrijdag 03 juli 2015 @ 22:39:
[...]

Stom inderdaad, dat werkt prima beetje onlogisch maar okay.
Eigenlijk als je het eenmaal door hebt is het appeltje eitje

CAPsMAN is heel simpel. Totdat je met certificaten aan het klooien gaat.
Ik moest eerst het provisioning verhaal ff door krijgen.
Maar het werkt ideaal..

Je prikt een AP'tje in.. Dhcp client op poort 1 CAP aan en hij doet het.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zaterdag 4 juli 2015 11:46

Acties:

0 Henk 'm!

ShadowBumble

Professioneel Prutser

rohaantje schreef op vrijdag 03 juli 2015 @ 23:19:
[...]

CAPsMAN is heel simpel. Totdat je met certificaten aan het klooien gaat.
Ik moest eerst het provisioning verhaal ff door krijgen.
Maar het werkt ideaal..

Je prikt een AP'tje in.. Dhcp client op poort 1 CAP aan en hij doet het.

Inderdaad daar zat ik ook even mee te rommelen, met dat provisioing gedeelte anders gebeurt er gewoon niks

"Allow me to shatter your delusions of grandeur."

zaterdag 4 juli 2015 12:28

Acties:

0 Henk 'm!

Zware Unit

Heeft er iemand nog tweaks en/of tips voor mijn firewall instellingen?

code:

/interface bridge
add name=bridge-iptv
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 name=ether1-gateway
set [ find default-name=ether2 ] l2mtu=1598
set [ find default-name=ether3 ] l2mtu=1598
set [ find default-name=ether4 ] l2mtu=1598
set [ find default-name=ether5 ] l2mtu=1598
set [ find default-name=ether6 ] l2mtu=1598
set [ find default-name=ether7 ] l2mtu=1598
set [ find default-name=ether8 ] l2mtu=1598
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1 discover=no
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway l2mtu=1594 name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe password=kpn user=[personal]@direct-adsl
/ip neighbor discovery
set pppoe discover=no
set vlan1.6 discover=no
/ip pool
add name=pool-030 ranges=192.168.2.100-192.168.2.199
/ip dhcp-server
add address-pool=pool-030 disabled=no interface=bridge-local name=DHCP-030
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-iptv interface=ether8
add bridge=bridge-iptv interface=vlan1.4
/ip address
add address=192.168.2.1/24 interface=bridge-local network=192.168.2.0
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 domain=030.local gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.2.0/24 comment="LAN Access" list=support
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=drop chain=input comment="Block all access to the webfig - except to support list" dst-port=80 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=yes jump-target=ICMP protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add chain=input comment=UDP disabled=yes protocol=udp
add action=drop chain=input comment="Drop everything else"
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/system clock
set time-zone-name=Europe/Amsterdam
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

zondag 5 juli 2015 23:34

Acties:

0 Henk 'm!

Ome Ernst

Schmutziger Harry

regels 66,67 en 68 zou ik regel 4, 5 en 6 maken.
regel 70 zou ik regel 7 maken.

als 1, 2 en 3 zou ik doen :

add action=fasttrack-connection chain=forward comment="use fasttrack" \
connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid

Bron over fasttrack.

[ Voor 213% gewijzigd door Ome Ernst op 05-07-2015 23:55 ]

Business men, they drink my wine, Plowman dig my earth.

maandag 6 juli 2015 08:19

Acties:

0 Henk 'm!

FreshMaker

Wifi

Pffft ....
En dan wordt je met je neus op de feiten gedrukt

Wat een instellingen ... ( en de afgelopen dagen werkte het weer ook niet mee

)

FF installeren was er niet bij, maar stap voor stap komen we steeds verder.
Wel besloten om even te wachten met de 2 hAPlite's aan te sluiten, tot ik de CRS108 functioneel heb.
Wel positief verrast door het bereik van wifi, Mijn oude router ( linksys 4200 v1 ) trok de zolderetage maar nét.
Nu streamt de Nexus7 zonder haperingen van de mediaserver, al één van de irritaties die verdwenen zijn.
Portforwarding ook grotendeels voor elkaar, en de kids zijn niet blij met me, want de wlan2 valt om 20u gewoon uit de lucht ( schedule ) ... geen sneaky youtube meer in bed

Nu de static ip's nog even uitzoeken, ik wil graag mijn oude situatie weer terugkrijgen, iemand de tip waar te kijken ?
Nu had ik voorheen (denkbeeldig) groepen aangemaakt, werkstation / server / kids die allemaal een 'eigen' reeks ip's hadden.
Ik kan wel static's aanmaken, maar het IPadres kan ik niet aangepast krijgen ( in winbox / web-fig )

- zou het mogelijk zijn om ipreeksen in groepen te zetten, die ik dan apart kan managen ?

* FreshMaker is wel heel gelukkig met de apparaatjes, eindelijk weer een uitdaging waar ik beperkt kennis heb, en kan bijleren

maandag 6 juli 2015 16:10

Acties:

0 Henk 'm!

Zware Unit

Ome Ernst schreef op zondag 05 juli 2015 @ 23:34:
regels 66,67 en 68 zou ik regel 4, 5 en 6 maken.
regel 70 zou ik regel 7 maken.

als 1, 2 en 3 zou ik doen :

add action=fasttrack-connection chain=forward comment="use fasttrack" \
connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid

Bron over fasttrack.

Bedankt voor je input.

Met regels 1 t/m 7 bedoel je het begin van het 'ip firewall filter' deel, right? Interessant stuk mbt fasttrack. In mijn eerste testen lijkt de onderstaande config goed te werken. De CCR1009-8G-1S-1S+ is voor mij absolute overkill kwa performance, dus wat fasttrack in mijn geval toevoegt is waarschijnlijk erg beperkt.

code:

/interface bridge
add name=bridge-iptv
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 name=ether1-gateway
set [ find default-name=ether2 ] l2mtu=1598
set [ find default-name=ether3 ] l2mtu=1598
set [ find default-name=ether4 ] l2mtu=1598
set [ find default-name=ether5 ] l2mtu=1598
set [ find default-name=ether6 ] l2mtu=1598
set [ find default-name=ether7 ] l2mtu=1598
set [ find default-name=ether8 ] l2mtu=1598
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/ip neighbor discovery
set ether1-gateway discover=no
set sfp1 discover=no
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway l2mtu=1594 name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe password=kpn user=[personal]@direct-adsl
/ip neighbor discovery
set pppoe discover=no
set vlan1.6 discover=no
/ip pool
add name=pool-030 ranges=192.168.2.100-192.168.2.199
/ip dhcp-server
add address-pool=pool-030 disabled=no interface=bridge-local name=DHCP-030
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-iptv interface=ether8
add bridge=bridge-iptv interface=vlan1.4
/ip address
add address=192.168.2.1/24 interface=bridge-local network=192.168.2.0
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 domain=030.local gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.2.0/24 comment="LAN Access" list=support
/ip firewall filter
add action=fasttrack-connection chain=forward comment="use fasttrack" connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop everything else"
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Drop DNS WAN requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list" dst-port=8291 protocol=tcp src-address-list=!support
add action=drop chain=input comment="Block all access to the webfig - except to support list" dst-port=80 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=yes jump-target=ICMP protocol=icmp
add chain=input comment=UDP disabled=yes protocol=udp
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/system clock
set time-zone-name=Europe/Amsterdam
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR

Reclame: Nu kan mijn 'oude' MikroTik (link) in de verkoop

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

maandag 6 juli 2015 21:55

Acties:

0 Henk 'm!

Ome Ernst

Schmutziger Harry

Met regels 1 t/m 7 bedoel je het begin van het 'ip firewall filter' deel, right?

Ja, ik bedoelde inderdaad in het begin van /ip firewall filter.
Bij mij leverde het een behoorlijk sneller internet op, en lostte het ook een dns-probleem op.
De volgorde van de regels is vrij belangrijk, en door de juiste volgorde word de cpu minder belast.

Business men, they drink my wine, Plowman dig my earth.

maandag 6 juli 2015 22:47

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

FreshMaker schreef op maandag 06 juli 2015 @ 08:19:
Ik kan wel static's aanmaken, maar het IPadres kan ik niet aangepast krijgen ( in winbox / web-fig )

In Winbox rechterklik op een lease, 'make static'? Als het goed is kun je het IP dan aanpassen.

- zou het mogelijk zijn om ipreeksen in groepen te zetten, die ik dan apart kan managen ?

Meerdere IP pools (IP > Pool) en DHCP servers (IP > DHCP Server) aanmaken.

dinsdag 7 juli 2015 08:15

Acties:

0 Henk 'm!

FreshMaker

Wifi

Thralas schreef op maandag 06 juli 2015 @ 22:47:
[...]In Winbox rechterklik op een lease, 'make static'? Als het goed is kun je het IP dan aanpassen.
[...]Meerdere IP pools (IP > Pool) en DHCP servers (IP > DHCP Server) aanmaken.

In winbox nog niet gelukt, via webfig ondertussen dus na static maken wel, dan is het adres aan te passen.

De pools moet ik nog even opzoeken, en gaat me lukken .. Thnx

dinsdag 7 juli 2015 12:55

Acties:

0 Henk 'm!

rohaantje

MikroTik

FreshMaker schreef op dinsdag 07 juli 2015 @ 08:15:
[...]

In winbox nog niet gelukt,

...

Afbeeldingslocatie: http://static.tweakers.net/ext/f/WBpqk1vQZw368qAeNzTbXsoo/medium.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 7 juli 2015 19:17

Acties:

0 Henk 'm!

FreshMaker

Wifi

Ja, dat was ondertussen wel gelukt, maar na make static blijft het ip grijs, kan het niet aanpassen.
Op de webfig, nagenoeg dezelfde plek kan ik dus die adressen wel gewoon veranderen.
Niet een groot probleem, alleen een beetje raar.

(Indrukwekkende lijst btw, complimenten )

dinsdag 7 juli 2015 23:28

Acties:

0 Henk 'm!

rohaantje

MikroTik

FreshMaker schreef op dinsdag 07 juli 2015 @ 19:17:
Ja, dat was ondertussen wel gelukt, maar na make static blijft het ip grijs, kan het niet aanpassen.
Op de webfig, nagenoeg dezelfde plek kan ik dus die adressen wel gewoon veranderen.
Niet een groot probleem, alleen een beetje raar.

(Indrukwekkende lijst btw, complimenten )

Laatste waar ik nog aan kan denken; Check het verschil tussen de tabladen even:
Afbeeldingslocatie: http://static.tweakers.net/ext/f/CiLyotxlFhfFhHBHD0oAEV7K/full.png

Afbeeldingslocatie: http://static.tweakers.net/ext/f/CiLyotxlFhfFhHBHD0oAEV7K/full.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 8 juli 2015 21:04

Acties:

0 Henk 'm!

Verwijderd

Op het Mikrotikforum is kond gedaan van de vrijgave van versie 6.30 van de firmware met een hele waslijst nieuwigheden en bugfixes (zie aldaar). Net uitgerold op mijn huis-tuin-en-keuken-netwerkje. Werkt (maar draait ook nog maar héél even).

woensdag 8 juli 2015 22:15

Acties:

0 Henk 'm!

Zware Unit

6.30 draait hier ook op CCR1009-8G-1S-1S+. Had echter wel even een extra reboot nodig om lekker te werken.

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

donderdag 9 juli 2015 00:23

Acties:

0 Henk 'm!

rohaantje

MikroTik

Verwijderd schreef op woensdag 08 juli 2015 @ 21:04:
Op het Mikrotikforum is kond gedaan van de vrijgave van versie 6.30 van de firmware met een hele waslijst nieuwigheden en bugfixes (zie aldaar). Net uitgerold op mijn huis-tuin-en-keuken-netwerkje. Werkt (maar draait ook nog maar héél even).

Ik hem hem ook uitgerold op mijn netwerk thuis.
Vooral deze change bevalt me wel:

*) removed wireless package from routeros bundle package,
new wireless-fp is left in place and wireless-cm2 added as option;

Ik kwam het een aantal keer tegen dat de wireless-cm2 package niet geïnstalleerd was. Maar die is gelukkig nu fixed.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 9 juli 2015 17:33

Acties:

0 Henk 'm!

chaoscontrol

Ik maak een PPTP client interface aan. Connect deze, alles werkt goed. Disconnect, Maak de route aan, wil de interface weer connecten, lukt niet! Blijft op connecting staan. Ook na een reboot wil hij niet meer connecten.

Afbeeldingslocatie: http://michelerkens.nl/pptp.png

Afbeeldingslocatie: http://michelerkens.nl/pptp.png

Ik denk dat ik het in de PPTP server moet zoeken. Als ik die reboot werkt het weer een keer of 2 en daarna niet meer. Met de Windows client blijft het wel werken, vreemd.

[ Voor 34% gewijzigd door chaoscontrol op 09-07-2015 20:33 ]

Inventaris - Koop mijn meuk!

dinsdag 14 juli 2015 09:49

Acties:

0 Henk 'm!

FreshMaker

Wifi

rohaantje schreef op dinsdag 07 juli 2015 @ 23:28:
[...]

Laatste waar ik nog aan kan denken; Check het verschil tussen de tabladen even:
[afbeelding]

Dat was hem ...
Ben steeds blijer met de setup, WiFi is beduidend 'beter' dan mijn voorgaande modem/router combinatie.
Nu nog glas in ons dorpje ...

maandag 27 juli 2015 20:53

Acties:

0 Henk 'm!

Verwijderd

Mijn (stille) gebeden zijn verhoord, al stond ik op het punt een hAP Lite o.i.d. aan te schaffen als betaalbare speeltuin. Mikrotik levert een licentievrije virtuele oefenomgeving: Cloud Hosted Router.

quote: http://forum.mikrotik.com/viewtopic.php?p=492500#p492500
We are releasing a test version of an exciting new feature - Cloud Hosted Router (CHR).

It is a Virtual Machine image of RouterOS that has full functionality of RouterOS without any kind of conventional RouterOS license, with the limitation of 1Mbit per interface, in future, we will offer unlimited speed with a paid license. This allows you to use RouterOS in training classes, for testing, for experimentation or any other purpose, without the need for 24h trial or Demo license. Simply no SoftID and no licenses.

We provide a generic (RAW) format IMG that you can convert to other formats with qemu or other tools. I have already pre-converted them for your convenience to VMDK (VMware virtual disk image) and VDI (VirtualBox disk image). Those are not installers, but ready disk images. [normis gaat verder met details, maar dat kun je aldaar nalezen, aardvark]

maandag 27 juli 2015 21:45

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Ik heb vanmorgen een nieuw modem gekregen van ziggo en nu heeft de RB2011 geen stabiele verbinding meer.

Speedtests crashen bijna continu, de ene keer komt er netjes 200Mbit door, de andere keer nog niet 1Mbit.
Heeft iemand hier ditzelfde meegemaakt?

Auto Negotiation geprobeerd, Dns gecheckt en andere kabels.
De verbinding wordt gewoon verbroken tijdens een speedtest/download.

[ Voor 20% gewijzigd door allure op 27-07-2015 22:20 ]

dinsdag 28 juli 2015 09:14

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

allure schreef op maandag 27 juli 2015 @ 21:45:
Ik heb vanmorgen een nieuw modem gekregen van ziggo en nu heeft de RB2011 geen stabiele verbinding meer.

Heb je al getest zonder je MikroTik?

De verbinding wordt gewoon verbroken tijdens een speedtest/download.

Welke verbinding? Modem - WAN/LAN - LAN?

Eerst het probleem, dan de oplossing

dinsdag 28 juli 2015 09:29

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

WAN/Lan kakt eruit, het modem is een een EVW321b in Bridge mode.

Ik heb een laptop rechtstreeks aan het modem gehad, deze gaf in speedtests 170/20Mbit door.
Weet iemand een betrouwbare/langere meetmethode om het modem te testen.

Ik zie de waardes van Int1 (TX/RX rate) om de zoveel seconden naar 0 gaan en daarna weer een waarde aangeven.
Achter de router geven speedtests maar ook gewoon surfen time-outs. Ik dacht zelf aan de MTU of autonegotiation, maar deze waardes veranderen levert niets op.

Vanavond wil ik de router tijdelijk vervangen voor een RB951 om te zien wat deze doet.
Ik kan in de RB2011 niets vreemds vinden, ik kan gewoon niet geloven dat deze kapot is door een modemwissel.

Pings welke ik monitor met SmokePing lijken wel netjes stabiel...

Afbeeldingslocatie: http://i57.tinypic.com/mv70qb.png

Afbeeldingslocatie: http://i57.tinypic.com/mv70qb.png

[ Voor 8% gewijzigd door allure op 28-07-2015 09:35 ]

dinsdag 28 juli 2015 09:35

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Heb je al een andere kabel getest? Was de verbinding voorheen (al) Gigabit?

Eerst het probleem, dan de oplossing

dinsdag 28 juli 2015 09:38

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Andere UTP heb ik inderdaad ook nog getest, dat had geen effect.
Ik had een oude Ubee router (model was 10 jaar oud) en volgens mij had deze ook een Gbit/s poort.

Ik gebruik de 200/20 van Ziggo.

dinsdag 28 juli 2015 09:40

Acties:

0 Henk 'm!

maomanna

andere lanpoort op de RB2011 geprobeerd?

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

dinsdag 28 juli 2015 09:41

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Als zijnde WAN nog niet, ik heb wel de verbinding getest (op verschillende interfaces) vanaf verschillende apparaten, bedraad en draadloos.

[ Voor 12% gewijzigd door allure op 28-07-2015 09:41 ]

dinsdag 28 juli 2015 15:49

Acties:

0 Henk 'm!

rohaantje

MikroTik

Heb je al is in de log gekeken naar gekke dingen?! Check ook je firewall regels e.d.

Gebruik je een dhcp cliënt op WAN? Of andere technieken???

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 28 juli 2015 16:23

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Er komen in de logs geen vreemde zaken voor, de verbinding opzich disconnect ook niet.
Ik gebruik inderdaad een DHCP-client op ETH1 (WAN).

Er is aan de firewall-settings niets veranderd, alleen het modem van Ziggo is vervangen.
Afbeeldingslocatie: http://i60.tinypic.com/2yvv5ma.png

Afbeeldingslocatie: http://i60.tinypic.com/2yvv5ma.png

Ik heb er nu een RB951 tussen zitten en deze haalt strak de volledige bandbreedte.
Conclusie, de RB2011 is defect.
Heeft iemand hier al eens een Router met RMA terug gedaan naar interprojekt?

[ Voor 25% gewijzigd door allure op 28-07-2015 18:56 ]

woensdag 29 juli 2015 00:40

Acties:

+1 Henk 'm!

chaoscontrol

Ik zou eerst eens een factory reset proberen en een upgrade naar ROS 6.30.2. Ook is het in sommige versies een issue dat als je LCD aanstaat je verbinding kak is.

Inventaris - Koop mijn meuk!

woensdag 29 juli 2015 08:44

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Met een factory reset bedoel je wat anders dan de "reset configuration"? Dat heb ik namelijk gister gedaan.
Dit vergeleken met een nieuwe RB951 met dezelfde default-config erin, de RB951 geeft strak 200/20Mbit en de RB2011 170/20Mbit.

Hierna heb ik mijn configuratie weer terug gezet en is de doorvoer weer beroerd, ik heb de indruk dat de hardware ernstig inkakt zodra je er "load" op zet. Pings naar de server van Ziggo zijn namelijk netjes 12-14ms.
Doe ik echter een speedtest bij Ziggo springt de download naar 10Mbit om vervolgens bijna instant weer naar 0.8Mbit te vallen.

Andere programmas/apparaten hebben ook last van time-outs.

Zijn er hier meer gebruikers met een EVW321b en een mikrotik?
Het lijkt toch op een auto negotiation probleem.

code:

 MikroTik RouterOS 6.30.2 (c) 1999-2015       http://www.mikrotik.com/

 
[admin@RB_XXXX] > export

# jul/29/2015 08:10:38 by RouterOS 6.30.2

# software id = XXXXXX

#
/interface bridge
add arp=proxy-arp mtu=1500 name=bridge1 protocol-mode=none

/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
set [ find default-name=ether2 ] arp=proxy-arp comment=\
    "LAN - ports 3 - 5 are switched of eth2"
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=ether6 ] arp=proxy-arp comment=\
    "LAN - ports 6 - 10 are switched of eth6"
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] master-port=ether6

/ip neighbor discovery
set ether2 comment="LAN - ports 3 - 5 are switched of eth2"
set ether6 comment="LAN - ports 6 - 10 are switched of eth6"

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=WPA2 \
    supplicant-identity="" wpa-pre-shared-key=WPAKEY \
    wpa2-pre-shared-key=WPAKEY

/interface wireless
set [ find default-name=wlan1 ] arp=proxy-arp band=2ghz-b/g/n country=\
    netherlands disabled=no frequency=2437 l2mtu=1600 mode=ap-bridge \
    security-profile=WPA2 wireless-protocol=802.11

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc

/ip pool
add name=dhcp ranges=192.168.1.21-192.168.1.100
add name=VPN-pool-1 ranges=192.168.1.125-192.168.1.130

/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=1d name=dhcp1

/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.1.1 name=Client-VPN \
    remote-address=VPN-pool-1

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=sfp1

/interface pptp-server server
set enabled=yes

/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether1 use-peer-ntp=no

/ip dhcp-server lease
add address=192.168.1.8 comment="Raspberry Pi" mac-address=B8:27:EB:4A:3A:3D \
    server=dhcp1
add address=192.168.1.6 client-id=1:8:eb:74:23:7f:83 comment="Humax 5200" \
    mac-address=08:EB:74:23:7F:83 server=dhcp1
add address=192.168.1.3 client-id=1:0:8:9b:8d:23:ab comment="Qnap 219P NAS" \
    mac-address=00:08:9B:8D:23:AB server=dhcp1
add address=192.168.1.4 client-id=1:0:26:55:73:bb:ef comment="HP 8500" \
    mac-address=00:26:55:73:BB:EF server=dhcp1
add address=192.168.1.5 client-id=1:0:ce:40:0:38:3c comment="Mede8er " \
    mac-address=00:CE:40:00:38:3C server=dhcp1

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=Domain.local \
    gateway=192.168.1.1 netmask=24

/ip dns
set allow-remote-requests=yes servers=8.8.4.4,8.8.8.8

/ip firewall address-list
add address=192.168.1.0/24 list=LAN

/ip firewall filter
add chain=input comment=\
    "Allow access to the WAN from the LAN using an adresslist" \
    src-address-list=LAN
add action=drop chain=forward comment="Drop invalid connections" \
    connection-state=invalid
add chain=forward comment="Allow connections from the LAN" connection-state=\
    new in-interface=bridge1
add chain=forward comment="Allow connections from the VPN to the LAN and WAN" \
    connection-state=new in-interface=all-ppp
add chain=forward comment="Allow established connections" connection-state=\
    established
add chain=forward comment="Allow related connections" connection-state=\
    related
add chain=input comment="Allow established connection to the WAN" \
    connection-state=established
add chain=input comment="Allow related connections to the WAN" \
    connection-state=related
add chain=forward comment="Allow traffic from WAN to Internal IPs" \
    dst-address=192.168.1.1 in-interface=ether1
add chain=forward dst-address=192.168.1.3 in-interface=ether1
add chain=forward dst-address=192.168.1.8 in-interface=ether1
add chain=forward dst-address=192.168.1.100 in-interface=ether1
add action=drop chain=input comment="Drop all other traffic to the WAN" \
    disabled=yes
add action=drop chain=forward comment=\
    "Drop all other conections trough the router"
add action=drop chain=input comment="Block DNS-requests incoming from WAN" \
    dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp

/ip firewall nat
add chain=srcnat comment="IPSec NAT rule (LRS)" dst-address=192.168.4.0/24 \
    src-address=192.168.1.0/24
add chain=srcnat comment="IPSec NAT rule (MGE)" dst-address=192.168.2.0/24 \
    src-address=192.168.1.0/24
add chain=srcnat comment="IPSec NAT rule (ZWD)" dst-address=192.168.3.0/24 \
    src-address=192.168.1.0/24
add chain=srcnat comment="IPSec NAT rule (MajoSign)" dst-address=\
    192.168.10.0/24 src-address=192.168.1.0/24
add chain=srcnat comment="IPSec NAT rule (DenHelder)" dst-address=\
    192.168.5.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat comment="Portforwarding to QNAP Frontend" \
    dst-port=1234 in-interface=ether1 protocol=tcp to-addresses=192.168.1.3 \
    to-ports=8080
add action=dst-nat chain=dstnat comment="Portforwarding to QNAP Rsync" \
    dst-port=873 in-interface=ether1 protocol=tcp to-addresses=192.168.1.3 \
    to-ports=873
add action=dst-nat chain=dstnat comment="Portforwarding to QNAP torrent" \
    dst-port=59150-59155 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.1.3 to-ports=59150-59155
add action=dst-nat chain=dstnat comment="Portforwarding to RB Frontend" \
    dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.1.1 \
    to-ports=80
add action=dst-nat chain=dstnat comment="Portforwarding RDP to 1.100" \
    dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=192.168.1.100 \
    to-ports=3389
add action=dst-nat chain=dstnat comment="Portforwarding to Qnap webserver" \
    dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.3 \
    to-ports=5678
add action=dst-nat chain=dstnat comment="Portforwarding to QNAP FTP" \
    dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.3 \
    to-ports=20
add action=dst-nat chain=dstnat dst-port=21 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.3 to-ports=21
add action=dst-nat chain=dstnat comment="Raspberry pi" dst-port=5678 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.1.8 to-ports=80

/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes

/ip ipsec peer
add address=94.213.xxx.xxx/32 comment=LRS enc-algorithm=aes-128 secret=SECRET
add enc-algorithm=aes-128 exchange-mode=main-l2tp secret=SECRET
add address=24.132.xxx.xxx/32 comment=ZWD enc-algorithm=aes-128 secret=SECRET
add address=94.213.xxx.xxx/32 comment=MGE enc-algorithm=aes-128 secret=SECRET
add address=94.211.xxx.xxx/32 comment="Den Helder" enc-algorithm=aes-128 \
    secret=SECRET
add address=77.161.xxx.xxx/32 comment=Majosign enc-algorithm=aes-128 \
    nat-traversal=no secret=SECRET

/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add comment=LRS dst-address=192.168.4.0/24 sa-dst-address=94.213.xxx.xxx \
    sa-src-address=217.123.xxx.xxx src-address=192.168.1.0/24 tunnel=yes
add comment=ZWD dst-address=192.168.3.0/24 sa-dst-address=24.132.xxx.xxx \
    sa-src-address=217.123.xxx.xxx src-address=192.168.1.0/24 tunnel=yes
add comment=MGE dst-address=192.168.2.0/24 sa-dst-address=94.213.xxx.xxx \
    sa-src-address=217.123.xxx.xxx src-address=192.168.1.0/24 tunnel=yes
add comment=MajoSign dst-address=192.168.10.0/24 sa-dst-address=\
    77.161.xxx.xxx sa-src-address=217.123.xxx.xxx src-address=192.168.1.0/24 \
    tunnel=yes
add comment="Den Helder" dst-address=192.168.5.0/24 sa-dst-address=\
    94.211.xxx.xxx sa-src-address=217.123.xxx.xxx src-address=192.168.1.0/24 \
    tunnel=yes

/ip proxy
set cache-path=web-proxy1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/lcd
set backlight-timeout=5m default-screen=stat-slideshow

/ppp secret
add comment="pass: SECRET" local-address=192.168.1.1 name=User password=\
    SECRET profile=Client-VPN
add comment="pass: USER2" local-address=192.168.1.1 name=User \
    password=SECRET profile=Client-VPN

/snmp
set enabled=yes

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Amsterdam

/system identity
set name=RB_xxx

/system logging
add topics=error

/system ntp client
set enabled=yes primary-ntp=131.211.8.244 secondary-ntp=193.67.79.202

/system scheduler
add interval=30m name="Update No-ip DDNS" on-event=no-ip_ddns_update policy=\
    read,write,test start-date=jul/03/2014 start-time=20:00:00

/system script
add name=no-ip_ddns_update owner=admin policy=ftp,read,write,test source="# No\
    -IP automatic Dynamic DNS update\r\
    \n#\r\
    \n#--------------- Change Values in this section to match your setup -----\
    -------------\r\
    \n\r\
    \n# No-IP User account info\r\
    \n:local noipuser \"xxxx\"\r\
    \n:local noippass \"xxxx\"\r\
    \n\r\
    \n# Set the hostname or label of network to be updated.\r\
    \n# Hostnames with spaces are unsupported. Replace the value in the quotat\
    ions below with your host names.\r\
    \n# To specify multiple hosts, separate them with commas.\r\
    \n:local noiphost \"xxxx\"\r\
    \n\r\
    \n# Change to the name of interface that gets the dynamic IP address\r\
    \n:local inetinterface \"ether1\"\r\
    \n\r\
    \n#-----------------------------------------------------------------------\
    -------------\r\
    \n# No more changes need\r\
    \n\r\
    \n:local previousIP\r\
    \n\r\
    \nif ( [:len [/file find name=(\"no-ip_ddns_previousip.txt\")]] > 0 ) do={\
    \r\
    \n:set previousIP [/file get (\"no-ip_ddns_previousip.txt\") contents]\r\
    \n}\r\
    \n\r\
    \n\r\
    \n:if ([/interface get \$inetinterface value-name=running]) do={\r\
    \n# Get the current IP on the interface\r\
    \n:local currentIP [/ip address get [find interface=\"\$inetinterface\" di\
    sabled=no] address]\r\
    \n\r\
    \n# Strip the net mask off the IP address\r\
    \n:for i from=( [:len \$currentIP] - 1) to=0 do={\r\

   \n:if ( [:pick \$currentIP \$i] = \"/\") do={\r\
    \n:set currentIP [:pick \$currentIP 0 \$i]\r\
    \n}\r\
    \n}\r\
    \n\r\
    \n:if (\$currentIP != \$previousIP) do={\r\
    \n:log info \"No-IP: Current IP (\$currentIP) is not equal to previous IP \
    (\$previousIP), update needed\"\r\
    \n\r\
    \n# The update URL. Note the \"\\3F\" is hex for question mark (\?). Requi\
    red since \? is a special character in commands.\r\

  \n:local url \"http://dynupdate.no-ip.com/nic/update\\3Fmyip=\$currentIP\"\
    \r\
    \n:local noiphostarray\r\
    \n:set noiphostarray [:toarray \$noiphost]\r\
    \n:foreach host in=\$noiphostarray do={\r\
    \n:log info \"No-IP: Sending update for \$host\"\r\
    \n/tool fetch url=(\$url . \"&hostname=\$host\") user=\$noipuser password=\
    \$noippass mode=http dst-path=(\"no-ip_ddns_update-\" . \$host . \".txt\")\
    \r\
    \n:log info \"No-IP: Host \$host updated on No-IP with IP \$currentIP\"\r\
    \n/file print file=(\"no-ip_ddns_previousip.txt\")\r\
    \n:delay 3\r\
    \n/file set contents=\"\$currentIP\" (\"no-ip_ddns_previousip.txt\")\r\
    \n}\r\
    \n} else={\r\
    \n:log info \"No-IP: Previous IP \$previousIP is equal to current IP, no u\
    pdate needed\"\r\
    \n}\r\
    \n} else={\r\
    \n:log info \"No-IP: \$inetinterface is not currently running, so therefor\
    e will not update.\"\r\
    \n}"

/tool bandwidth-server
set allocate-udp-ports-from=1000 authenticate=no
/tool graphing interface
add allow-address=192.168.1.0/24 interface=ether1
add allow-address=192.168.3.0/24 interface=ether1
add allow-address=192.168.1.0/24 interface=bridge1
/tool romon port
add
[admin@RB_xxx] >

[ Voor 95% gewijzigd door allure op 29-07-2015 14:26 ]

woensdag 29 juli 2015 23:25

Acties:

0 Henk 'm!

rohaantje

MikroTik

allure schreef op woensdag 29 juli 2015 @ 08:44:
[...]

Zijn er hier meer gebruikers met een EVW321b en een mikrotik?
Het lijkt toch op een auto negotiation probleem.

[...]

Misschien is dit wel bekend.
Maar om dit eventueel te testen zou je auto negotiation uit kunnen zetten.

code:

1	/interface ethernet set ether1 auto-negotiation=no

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 30 juli 2015 08:14

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Dat heb ik zojuist gedaan, als ik dat doe valt de hele verbinding weg. (No link)

Ik heb gister mijn configuratie voor zover als mogelijk in de RB951 gezet en nadat ik hiermee klaar was had ik het probleem ook met de RB951.

Toen heb ik nogmaals de configuratie gereset naar de default config, dan werkt de down en upload normaal, echter zodra ik ook maar iets aanpas in IP > Firewall, is het probleem er weer.
Alle firewall regels uitschakelen en slechts masqerade aan laten staan in NAT, verhelpt dit probleem niet, laat ik alle regels aanstaan werkt het wel.

Ik weet dus inmiddels niet meer waar ik het zoeken moet.

donderdag 30 juli 2015 09:04

Acties:

0 Henk 'm!

zwolly68

Ik ben ook met de firewall (en de Mikrotik) aan het stoeien, ik heb gemerkt dat de plaatsing van de regels uitmaakt.
Als het helemaal niet meer wil ga ik(Met dank aan Rohaantje) terug naar wat voor mij de basis is.
Hiermee zou jij misschien ook kunnen beginnen en vanaf daar weer opbouwen en dan per wijziging kijken wanneer het misgaat.

code:

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN"
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid

donderdag 30 juli 2015 09:53

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Het vreemde is dat ik ZONDER regels het probleem ook heb maar met de regels in de Default installatie niet.
En mijn eigen configuratie heeft maanden zonder problemen gedraaid, het probleem lijkt ontstaan te zijn door het vervangen van het kabelmodem. (Welke met een laptop rechstreeks prima functioneerd.)

[ Voor 49% gewijzigd door allure op 30-07-2015 10:55 ]

donderdag 30 juli 2015 11:14

Acties:

0 Henk 'm!

zwolly68

Als het volgende bij jou nog niet het geval is, en waar het voor mij heel veel beter van werd is dat ik het modem in bridge heb laten zetten door Ziggo,
Heb hetzelfde inet abonnement als jou, en heb overigens geen telefonie van Ziggo.

Het modem in bridge laten zetten was voor mij een kwestie van een belletje, dat regelen ze dus gelijk. Werkt dat niet dan kun je het ook direct weer terug laten zetten.

De router achter router oplossing van Ziggo werkte bij mij ook niet goed.

Eventueel naderhand wel de Mikrotik opnieuw opstarten.

donderdag 30 juli 2015 11:31

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Het modem staat inderdaad al in bridge mode.

vrijdag 31 juli 2015 13:07

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Newsletter 66 is uit.

Meest noemenswaardige is dat de RB850Gx2 vanaf heden met hardware AES acceleration shipped. Handig als je tunneltjes/VPNs wilt leggen dus.

vrijdag 31 juli 2015 17:19

Acties:

0 Henk 'm!

chaoscontrol

Nog steeds niets over een nieuwe release date voor de rb3011.

Inventaris - Koop mijn meuk!

vrijdag 31 juli 2015 20:25

Acties:

0 Henk 'm!

rohaantje

MikroTik

De CCR1072 is ook gelanceerd via de routerboard website. Prijs is een dikke $3000. Opzich niet gek voor een Professionele router die een 10 Mpps door kan voeren.

De RB750Gr2(hEX) is ook gelanceerd via de routerboard website. Prijs is ongeveer $60. Ik vraag me af of dit het helemaal waard is. Maar de RB750r2(hEX lite) heeft wel een zeer gunstige prijs/prestatie verhouding. Het is een klein, handig, functioneel apparaatje.

chaoscontrol schreef op vrijdag 31 juli 2015 @ 17:19:
Nog steeds niets over een nieuwe release date voor de RB3011.

Ik zit ook te wachten op deze router. Volgens de sheets zou het Q2 zijn.
Ik benieuwd naar de prijs/prestatie verhouding. Deze was bij de RB2011 zeer gunstig.

Afbeeldingslocatie: http://static.tweakers.net/ext/f/DlpJFgZgiA0gK6KSHk5z5vVZ/medium.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 31 juli 2015 21:07

Acties:

0 Henk 'm!

chaoscontrol

rohaantje schreef op vrijdag 31 juli 2015 @ 20:25:

[...]

Ik zit ook te wachten op deze router. Volgens de sheets zou het Q2 zijn.
Ik benieuwd naar de prijs/prestatie verhouding. Deze was bij de RB2011 zeer gunstig.
[afbeelding]

Volgens deze post is het uitgesteld maar sindsdien nog erg stil.

Hij zal de rb2011 vervangen en dus waarschijnlijk (ongeveer) even duur zijn. De specs zijn wel een stuk meer van deze tijd met een dual-core arm 1.2+GHz. Hierdoor vermoeden sommige (goed geïnformeerde) mensen dat de performance minimaal 2x dat van de rb2011 zal zijn.

Ook leuk is dat alle poorten gbit zijn.

Inventaris - Koop mijn meuk!

vrijdag 31 juli 2015 22:18

Acties:

0 Henk 'm!

rohaantje

MikroTik

chaoscontrol schreef op vrijdag 31 juli 2015 @ 21:07:
[...]

Volgens deze post is het uitgesteld maar sindsdien nog erg stil.

Hij zal de rb2011 vervangen en dus waarschijnlijk (ongeveer) even duur zijn. De specs zijn wel een stuk meer van deze tijd met een dual-core arm 1.2+GHz. Hierdoor vermoeden sommige (goed geïnformeerde) mensen dat de performance minimaal 2x dat van de rb2011 zal zijn.

Ook leuk is dat alle poorten gbit zijn.

De prijs staat op de sheet als $180/$200. Dus ik ga er vanuit dat hij bij de lancering ook zo'n €160/€180 gaat kosten.

Daarnaast wordt er in diezelfde thread gespeculeerd over de snelheid van deze cpu. Vooral omdat dit de eerste ARM gebaseerde routerboard wordt. De huidige atheros mips cpu's waren bedoeld voor router werk. De nieuwe ARM cpu's zijn 'general purpose' zoals ze dat noemen. Het is dus echt afwachten tot deze http://routerboard.com/RB3011UiAS-2HnD-IN pagina online komt met de performance tabellen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zaterdag 1 augustus 2015 11:32

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Ik ben erachter waarom mijn download zo enorm inkakte.
Waarom dit zo is is mij niet duidelijk, kan iemand hier dit verklaren?

Ik heb de volgende regel aangepast en enabled:

Van bestaande regel:

code:

1 2	add action=drop chain=input comment="Drop all other traffic to the WAN" \ disabled=yes

Naar aangepaste regel:

code:

1	/ip firewall filter chain=input action=drop in-interface=ether1

Nu is de troughput normaal en haal ik met gemak de 200/20Mbit.
De vraag is waarom deze regel deze uitwerking heeft?

zaterdag 1 augustus 2015 11:49

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Huh. Ten eerste is het de input chain, daar gaat als het goed is maar weinig traffic overheen..

Ten tweede, de bestaande regel was disabled, dus effectief was er geen rule.

Tenzij je heel veel traffic op je input chain hebt (hoe?) zie ik niet hoe die drop rule help.

zaterdag 1 augustus 2015 11:59

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Dat dacht ik dus ook, daarom heb ik heel die regel nooit als "verdacht" gezien.

Het disablen van deze regel zorgt ervoor dat ik niet eens een speedtest kan doen zonder time outs, als ik hem enable haal ik strak 200/20Mbit.

De reden dat ik deze regel disabled had was omdat ik er nu niet meer doorkom met inloggen op de VPN. Hiervoor heb ik twee regels aangemaakt welke TCP 1723 en GRE accepten.

[ Voor 27% gewijzigd door allure op 01-08-2015 12:29 ]

zondag 2 augustus 2015 21:02

Acties:

0 Henk 'm!

rohaantje

MikroTik

Thralas schreef op zaterdag 01 augustus 2015 @ 11:49:
Huh. Ten eerste is het de input chain, daar gaat als het goed is maar weinig traffic overheen..

Ten tweede, de bestaande regel was disabled, dus effectief was er geen rule.

Tenzij je heel veel traffic op je input chain hebt (hoe?) zie ik niet hoe die drop rule help.

Je moet het waarschijnlijke andersom bekijken. De nieuw geplaatste regel maakt het goed.
Waarschijnlijk is er een bepaald (broadcast) pakket waarop de mikrotik in eerste instantie reageerde. Maar dit nu niet meer doet vanwege de drop?!!

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zondag 2 augustus 2015 21:39

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Je hebt gelijk, blijkbaar was ik nog niet helemaal wakker.

Dan is de 'oplossing' simpel, vervang hem even door een LOG rule of sniff non-forwarded traffic naar je router met de packet sniffer.. en check wat voor traffic 't is.

maandag 3 augustus 2015 08:39

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Goed idee, ik ben wel benieuwd wat deze drop nu uiteindelijk opvangt, bij het vorige kabelmodem was deze regel niet actief.

maandag 3 augustus 2015 14:39

Acties:

0 Henk 'm!

rohaantje

MikroTik

allure schreef op maandag 03 augustus 2015 @ 08:39:
Goed idee, ik ben wel benieuwd wat deze drop nu uiteindelijk opvangt, bij het vorige kabelmodem was deze regel niet actief.

Ik ben wel benieuwd wat voor een soort pakketten jouw speed zo laat crashen.
Dus als je iets vind en dit wil delen zou dat tof zijn.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 4 augustus 2015 08:22

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

code:

1	DropRule input: in:ether1 out:(none), src-mac 00:22:90:c6:d5:d9, proto UDP, 111.105.xxx.xxx:13225->217.xxx.xxx.xxx:6881, len 129

Ik heb logging even aangezet op de drop rule op de input chain, en meteen daarna loopt de logfile vol met regels zoals hierboven getoont.
Het mac-adres is van het kabelmodem, het 2e ip is niet van mij 217.xxx.xxx.xxx is mijn externe WAN ip.

Afbeeldingslocatie: http://i58.tinypic.com/287oy2b.png

Afbeeldingslocatie: http://i58.tinypic.com/287oy2b.png

Ik heb geen torrent draaien op dit moment.

[ Voor 11% gewijzigd door allure op 04-08-2015 08:32 ]

dinsdag 4 augustus 2015 12:44

Acties:

0 Henk 'm!

rohaantje

MikroTik

allure schreef op dinsdag 04 augustus 2015 @ 08:22:
code:
1
DropRule input: in:ether1 out:(none), src-mac 00:22:90:c6:d5:d9, proto UDP, 111.105.xxx.xxx:13225->217.xxx.xxx.xxx:6881, len 129
Ik heb logging even aangezet op de drop rule op de input chain, en meteen daarna loopt de logfile vol met regels zoals hierboven getoont.
Het mac-adres is van het kabelmodem, het 2e ip is niet van mij 217.xxx.xxx.xxx is mijn externe WAN ip.

[afbeelding]

Ik heb geen torrent draaien op dit moment.

Dit is wat ik vermoed:
Omdat je voorheen geen traffic blokkeerde op je input interface, liep hierdoor de (hardware)queue vol. Op een gegeven moment moet hij dan dus de queue verwerken of legen. Dan kan hij weer vollopen, enzo. enzo.

Nu je al dat traffic blokkeert hoeft jouw router dat niet meer af te handelen alleen maar te negeren.

Hoe het komt dat je nu deze traffic wel krijgt en voorheen niet?! Dat moet je Ziggo vragen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 4 augustus 2015 18:14

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Ik zou de hand vooral in eigen boezem steken. 6881 is een typische BitTorrent-poort, een logische verklaring zou dus zijn dat een client achter je NAT loopt te adverteren dat hij bereikbaar is op 6881, terwijl dat niet zo is.

Je clients even nalopen zou een goede zijn. Of REJECTen ipv. DROPpen, zou ook minder traffic op moeten leveren..

dinsdag 4 augustus 2015 21:27

Acties:

0 Henk 'm!

Ome Ernst

Schmutziger Harry

Ipv6 werkend gekregen in combinatie met glasvezel van KPN.

Dit heb ik gedaan met behulp van het blog van Harold Schoemaker. Het staat bij Stap 3. IPv6 instellen

Mijn instellingen zijn :

code:

/ipv6 address
add address=2a02:a440:20ca:0:4e5e:cff:fe55:b70e eui-64=yes from-pool=\
    kpn-v6prefix interface=bridge-local
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe pool-name=kpn-v6prefix \
    pool-prefix-length=48 use-peer-dns=no
/ipv6 firewall filter
add chain=input comment=icmp limit=10,10 protocol=icmpv6
add chain=input comment="established, related" connection-state=\
    established,related
add chain=input comment="DHCPv6-prefix ontvangen van KPN" dst-port=546 \
    in-interface=pppoe protocol=udp src-address=fe80::/10
add action=reject chain=input comment=\
    "verder geen toegang vanaf internet" in-interface=pppoe \
    reject-with=icmp-admin-prohibited
add chain=forward comment="icmp vanaf internet" in-interface=pppoe \
    limit=20,20 protocol=icmpv6
add chain=forward comment="overig icmp" protocol=icmpv6
add chain=forward comment="established, related" connection-state=\
    established,related
add action=reject chain=forward comment=\
    "verder geen toegang vanaf internet" in-interface=pppoe \
    reject-with=icmp-admin-prohibited
/ipv6 firewall mangle
add action=change-mss chain=forward in-interface=pppoe new-mss=1232 \
    protocol=tcp tcp-flags=syn tcp-mss=1411-65535
add action=change-mss chain=forward new-mss=1232 out-interface=pppoe \
    protocol=tcp tcp-flags=syn tcp-mss=1421-65535
/ipv6 nd
set [ find default=yes ] advertise-dns=yes

Business men, they drink my wine, Plowman dig my earth.

vrijdag 14 augustus 2015 16:15

Acties:

0 Henk 'm!

rohaantje

MikroTik

De CCR1072-1G-8S+ is nu ook te pre-orderen bij in interprojekt.com.pl voor we goede €2k ex btw.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 14 augustus 2015 16:27

Acties:

0 Henk 'm!

Verwijderd

Ruim twee één maanden na de vorige update, staat nu versie 6.31 van RouterOS gereed. Details aldaar, er is één 'known issue': "Dynamic DNS servers can disappear when "allow-remote-requests" are not enabled".

Zelf draai ik nog op 6.30.2 en update pas zodra ik weer in de buurt van de router ben.

/me aardvark luiert voorzien van

in ligstoel.

[ Voor 23% gewijzigd door Verwijderd op 14-08-2015 18:33 . Reden: 8); en de hersenen waren ook met vakantie: verwarde begin juli met juni 8)7 ]

vrijdag 14 augustus 2015 16:51

Acties:

0 Henk 'm!

rohaantje

MikroTik

Verwijderd schreef op vrijdag 14 augustus 2015 @ 16:27:
Ruim twee maanden na de vorige update, staat nu versie 6.31 van RouterOS gereed. Details aldaar, er is één 'known issue': "Dynamic DNS servers can disappear when "allow-remote-requests" are not enabled".

Zelf draai ik nog op 6.30.2 en update pas zodra ik weer in de buurt van de router ben.

/me aardvark luiert voorzien van in ligstoel.

Komend weekend ook maar weer is updaten.
Ik draai 6.30.1 'nog'.

/me Rohaantje is nog lekker vakantie aan het vieren.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 14 augustus 2015 22:13

Acties:

0 Henk 'm!

_-= Erikje =-_

Zo, net mijn config omgebouwd naar capsman, nu wachten op de hap ac

zaterdag 15 augustus 2015 05:50

Acties:

0 Henk 'm!

The Fatal

ik draai nog steeds 6.29.1. durf remote niet te upgraden als ik eerlijk ben. Bang dat er iets met de VPN gebeurd waardoor ik er niet meer bij kan.

zaterdag 15 augustus 2015 09:57

Acties:

0 Henk 'm!

rohaantje

MikroTik

Heeft iemand ervaring met het all-in-one upgraden van mikrotik apparatuur? Het schijnt met CAPsMAN te kunnen. Maar daar is het mij nog niet mee gelukt.

_-= Erikje =-_ schreef op vrijdag 14 augustus 2015 @ 22:13:
Zo, net mijn config omgebouwd naar capsman, nu wachten op de hap ac

Hoe heb jij je CAPsMAN geconfigureerd? In local forwarding mode of in manager forwarding mode? Gebruik je dan bij de manager forwarding mode ook de cliënt-to-cliënt optie?

[ Voor 56% gewijzigd door rohaantje op 15-08-2015 10:07 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zaterdag 15 augustus 2015 16:28

Acties:

0 Henk 'm!

_-= Erikje =-_

Ja, ik heb manager forwarding, client2client aan en ook de multicast helper config, anders kreeg ik mijn Sonos niet meer aan de praat op de WiFi

zaterdag 15 augustus 2015 22:05

Acties:

0 Henk 'm!

rohaantje

MikroTik

_-= Erikje =-_ schreef op zaterdag 15 augustus 2015 @ 16:28:
Ja, ik heb manager forwarding, client2client aan en ook de multicast helper config, anders kreeg ik mijn Sonos niet meer aan de praat op de WiFi

Ik heb (helaas) geen Sonos en daarom waarschijnlijk dat probleem dus ook (nog) niet.
Ik ben wel benieuwd hoe en wat dus ik ga 't van de week wel ff uitzoeken.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 20 augustus 2015 14:11

Acties:

0 Henk 'm!

Hoteldebotel

Wel heel apart, gister IPSEC geconfigureerd op m'n RB2011, alleen nu is de IPSEC config plots weg

Kunnen we weer opnieuw beginnen, raar!

[ Voor 5% gewijzigd door Hoteldebotel op 20-08-2015 15:17 ]

donderdag 20 augustus 2015 15:10

Acties:

0 Henk 'm!

rohaantje

MikroTik

Hoteldebotel schreef op donderdag 20 augustus 2015 @ 14:11:
Wel heel apart, gister IPSEC geconfigureerd op m'n RB2011, alleen nu is de config plots weg Kunnen we weer opnieuw beginnen, raar!

Toevallig geen backup bestand in je files??

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 20 augustus 2015 15:17

Acties:

0 Henk 'm!

Hoteldebotel

rohaantje schreef op donderdag 20 augustus 2015 @ 15:10:
[...]

Toevallig geen backup bestand in je files??

Oeps, ik ben niet helemaal duidelijk geweest in mijn post, alleen de IPSEC config is weg.

zondag 23 augustus 2015 21:55

Acties:

0 Henk 'm!

Webxorcist

Heeft er nog iemand last van het wegvallen van de WiFi op de RB2011UiAS-2HnD met 6.31 en 3.24 firmware?

Vooral onze laptops (Linux met Broadcom WiFi kaarten) lijken last te hebben. De WiFi verbinding blijft, maar er kan niets meer gepingt worden. Vervolgens probeert mijn laptop naar het AP boven te switchen, maar die staat te ver weg voor een fijne verbinding. Als ik dan handmatig weer verbinding maak met de RB2011 dan werkt alles weer voor een poosje. Sinds de laatste Package updates op de RB lijkt het minder vaak voor te komen.

Alle andere devices (iDevices) hebben dit probleem niet met de RB. Ook met kabel is er niets aan de hand, ook niet met de Linux laptops. Klinkt dit iemand bekent? Ik las eerder in dit topic dat er WiFi problemen waren.

Real men use Linux

dinsdag 25 augustus 2015 09:53

Acties:

0 Henk 'm!

Verwijderd

Ik zit met de het volgende en zou jullie advies kunnen gebruiken.

Ik heb sinds gister glasvezel van Vodafone en ik wil graag de apparatuur ( Draytek ) omsluiten... Ik heb de SFP module geleverd bij het pakket en mijn RB2011 accepteerd deze. Had echter wel een enkele post gezien op tweakers dat het niet vlekkeloos loopt maar ik kan niet bevestigen of die gene wellicht nog iets aan de config moest doen.

Ik wil graag een extra module aanschaffen zodat de geleverde hardware er naast kan blijven staan. Krijgen we geen gezeur als we in contact moeten komen met VF.

De specs van de Drayteck module zijn: SFP BIDI 1.25G Tx13 Tx14/15, 20KM, SC, 3.3V

Zou deze werken:"OPTIC-3524S"?

dinsdag 25 augustus 2015 10:45

Acties:

0 Henk 'm!

ShadowBumble

Professioneel Prutser

rohaantje schreef op zaterdag 15 augustus 2015 @ 09:57:
Heeft iemand ervaring met het all-in-one upgraden van mikrotik apparatuur? Het schijnt met CAPsMAN te kunnen. Maar daar is het mij nog niet mee gelukt.

Nee ik moet ook toegeven dat sinds ik capsman heb uitgerold ik er niet meer aan heb gezeten

Draait als een zonnetje.

"Allow me to shatter your delusions of grandeur."

maandag 31 augustus 2015 19:46

Acties:

0 Henk 'm!

rohaantje

MikroTik

Mikrotik is blijkbaar een nieuw variant van de hAP(home access point) in de markt aan het zetten.

Dit is de wAP(wall access point). Dit model moet zeer geschikt zijn om tegen een muur of plafond te monteren. Hij is beschikbaar in 2 kleuren; Zwart en wit. De behuizing is geschikt voor zowel binnen als buiten gebruik. In de behuizing is rekening gehouden met kabels die direct uit de muur komen. Zo kan hij over een gat worden geplaats. Hij ondersteund PoE in. Jammer is dat hij alleen nog maar 2,4GHz ondersteunt.

Uitgebreide specs.
Prijs lijkt uit te komen op ongeveer 40 euro.

Afbeeldingslocatie: http://static.tweakers.net/ext/f/YhiB2omJLh4Niiek7D51S3HZ/full.png

Afbeeldingslocatie: http://static.tweakers.net/ext/f/YhiB2omJLh4Niiek7D51S3HZ/full.png

Afbeeldingslocatie: http://static.tweakers.net/ext/f/n7CfNCch5LQfXVoftyXma7WG/full.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

maandag 31 augustus 2015 20:21

Acties:

0 Henk 'm!

_-= Erikje =-_

Ik wacht nog steeds op de hap ac, gelijk 3 ophangen hier (1 per verdieping)

donderdag 3 september 2015 15:05

Acties:

0 Henk 'm!

rohaantje

MikroTik

Sneakpeak van de RB3011.

klikbaar

Afbeeldingslocatie: http://static.tweakers.net/ext/f/ouVT4KANqpDK6rcbRi5u14yl/medium.jpg

Afbeeldingslocatie: http://static.tweakers.net/ext/f/ZD3IxChXIn71s4gGLmPMcSs3/medium.jpg

Afbeeldingslocatie: http://static.tweakers.net/ext/f/hkqOZqTAF9l4Y7OM60n4PNFI/medium.jpg

Afbeeldingslocatie: http://static.tweakers.net/ext/f/2WQtGzSHNh58Rz24vOMv9tTO/medium.jpg

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 3 september 2015 15:39

Acties:

0 Henk 'm!

Verwijderd

rohaantje schreef op donderdag 03 september 2015 @ 15:05:
Sneakpeak van de RB3011.

Waar heb je die opgeduikeld?

donderdag 3 september 2015 15:39

Acties:

0 Henk 'm!

chaoscontrol

rohaantje schreef op donderdag 03 september 2015 @ 15:05:
Sneakpeak van de RB3011.

klikbaar
[afbeelding][afbeelding]
[afbeelding][afbeelding]

Al eindelijk iets bekend over een release date?

Inventaris - Koop mijn meuk!

donderdag 3 september 2015 17:36

Acties:

0 Henk 'm!

rohaantje

MikroTik

chaoscontrol schreef op donderdag 03 september 2015 @ 15:39:
[...]

Al eindelijk iets bekend over een release date?

Nee, helaas niet. Eerst stond Q2 op de planning. Helaas door probleem tijdens het einde van de ontwikkeling hebben ze de fabricage moeten uitstellen.

Verwijderd schreef op donderdag 03 september 2015 @ 15:39:
[...]
Waar heb je die opgeduikeld?

Ik heb helaas zelf nog niet de RB3011. (ik wacht op pre-order mogelijkheden bij interprojekt)
De foto's heb ik van een hongaarse site.

[ Voor 4% gewijzigd door rohaantje op 03-09-2015 17:37 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 3 september 2015 17:54

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Ik heb nog wel een relevante roddel over de 3011 en hAP:

A small follow up for fellow anxious waiters; we gave Mikrotik a call and on the phone they said both devices should be available end of Q3 / last week of September.

Vast in MikroTik time...

[ Voor 12% gewijzigd door Thralas op 03-09-2015 17:54 ]

maandag 7 september 2015 12:14

Acties:

0 Henk 'm!

Verwijderd

Gister de glasvezelverbinding werkend gekregen over de SFP op een RB2011.

Alles zag er goed uit tot ik een Apple tv 2 verbond via wifi. Deze kreeg een extern ip toegewezen waardoor de internet verbinding wegviel. Iig had ik wel een ip adress maar ik kon de gateway niet meer bereiken.

Op dat moment waren er een aantal apparaten via wifi verbonden die zonder issues netjes een intern adres toegewezen kregen.

ik ben nu niet in staat om een export van de config te maken maar de basis uit uit mijn hoofd:

ROS=6.31
RB=3.24

/ interface
vlan
vlan1 id=300 interface=sfp1

ethernet
sfp1 masterpost = none
wlan1: mode = ap bridge bridgemode=disabled

/ ip dhcp
dhcp client vlan1 peerDNS=yes peerNTP=yes default route=yes default-distance=0
dhcp server interface bridgeLocal 192.168.88.0/24

/ switch
vlan
sfp1 switch1 vlanmode = fallback + leave as is ( anders dan disabled en fallback kreeg ik geen ip adress )

/ bridge
bridgeLocal
ports: vlan1, wlan1

/ ip firewall nat
scrnat out-interface bridgeLocal action=masquerade

iemand zo vlug een idee wat er hier fout gaat?

maandag 7 september 2015 12:47

Acties:

0 Henk 'm!

zzattack

vlan1 hoort niet thuis op je bridge, wel de master port van je switch group

maandag 7 september 2015 13:06

Acties:

0 Henk 'm!

Verwijderd

zzattack schreef op maandag 07 september 2015 @ 12:47:
vlan1 hoort niet thuis op je bridge, wel de master port van je switch group

Ok dankje wel voor het antwoord.

Vervolgvraag:

Wat is de achterliggende reden daarvoor en moet ik dan het verkeer switchen van de sfp naar de master port van de switchgroup? Hoe benaderd het verkeer op de switchgroup dan de bridgeLocal met dhcp server? Via switch cpu?

maandag 7 september 2015 13:32

Acties:

0 Henk 'm!

maarud

Topicstarter

De slave ports nemen de instellingen over van de master port. De slave ports bestaan als het ware niet, alleen de master poort bestaat.

Dus alles wat je met de master port doet, gebeurt ook met de slave ports. Zet je een vlan op de master port, dan hebben de slave ports ook die vlan. Zet je een master port in een bridge, dan horen alle slave ports ook bij de bridge. Andersom dus ook. Wil je een vlan op een slave port hebben, dan moet je hem dus op de master port zetten. Zo ook met bridges etc etc etc.

Als je de poorten los wilt aanspreken moet je ze uit de switch group halen. Dan is elke port een losse port en kan je er dus verschillende dingen mee doen.

Ik weet niet precies wat je doel is maar als je je RB als modemrouter wil inzetten, dan kan je toch ook gewoon van de standaardconfig uit gaan (ether1 als gateway) en de sfp dan als gateway inzetten? Heb je ook mooi NAT en dergelijke. Stel je daarna nog even de vlans in en klaar is kees.

[ Voor 28% gewijzigd door maarud op 07-09-2015 13:36 ]

maandag 7 september 2015 14:37

Acties:

0 Henk 'm!

Verwijderd

maarud schreef op maandag 07 september 2015 @ 13:32:
De slave ports nemen de instellingen over van de master port. De slave ports bestaan als het ware niet, alleen de master poort bestaat.

Dus alles wat je met de master port doet, gebeurt ook met de slave ports. Zet je een vlan op de master port, dan hebben de slave ports ook die vlan. Zet je een master port in een bridge, dan horen alle slave ports ook bij de bridge. Andersom dus ook. Wil je een vlan op een slave port hebben, dan moet je hem dus op de master port zetten. Zo ook met bridges etc etc etc.

Als je de poorten los wilt aanspreken moet je ze uit de switch group halen. Dan is elke port een losse port en kan je er dus verschillende dingen mee doen.

Ik weet niet precies wat je doel is maar als je je RB als modemrouter wil inzetten, dan kan je toch ook gewoon van de standaardconfig uit gaan (ether1 als gateway) en de sfp dan als gateway inzetten? Heb je ook mooi NAT en dergelijke. Stel je daarna nog even de vlans in en klaar is kees.

[quote]maarud schreef op maandag 07 september 2015 @ 13:32:

Ik zal het wel verkeerd zien maar waar heb ik volgens jullie dan een switchgroup aangemaakt? sfp masterport =none en ik bridge een vlan interface met een wlan interface.

Ik had de RB al in een setup staan. Geupgrade en vervolgens mezelf buitengesloten. Toen heb ik een factory reset gedaan en een daarna geupgrade naar de laatste versie. Geen backup gemaakt dus kon ik eigenlijk opnieuw beginnen.Gewoon gestart vannuit de informatie die ik al wist. Je mag me corrigeren maar de standaard firewall config is toch niets meer dan...

code:

/ip firewall {
      filter add chain=input action=accept protocol=icmp comment="default configuration"
      filter add chain=input action=accept connection-state=established in-interface=ether1-gateway comment="default configuration"
      filter add chain=input action=accept connection-state=related in-interface=ether1-gateway comment="default configuration"
      filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration"
      nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
}

ik wil hem inderdaad inschakelen als router/modem.

Onderwerpen