[MikroTik-apparatuur] Ervaringen & Discussie

lolgast schreef op vrijdag 30 augustus 2024 @ 11:53:
Verandering is eng natuurlijk, daar ben ik ook schuldig aan. Maar het is wel jammer dat er altijd minder op het scherm moet passen. Ja Winbox was wellicht wat spartaans, maar wel erg functioneel.

Windox v3 (via Wine)
[Afbeelding]

Winbox v4 (beta, macOS)
[Afbeelding]

Vambier schreef op vrijdag 30 augustus 2024 @ 13:49:
Weet iemand hoe ik al het verkeer van mijn microtik router over een vpn kan leiden? Ik heb nu verschillende servers draaien waar ik per server een vpn connectie moet instellen, ik zou het makkelijker vinden als al het verkeer vanaf mijn router over een vpn gaat. Echter heb ik geen flauw idee hoe ik dit voor elkaar kan krijgen op deze router.
Wel heb ik Wireguard ingesteld zodat ik van buitenaf via vpn in kan loggen op mijn thuis netwerk.

lier schreef op vrijdag 30 augustus 2024 @ 16:37:
Door een route aan te maken met als dst address 0.0.0.0/0 en gateway de VPN interface.

Vambier schreef op zaterdag 31 augustus 2024 @ 13:46:
Ik ben hier zelf niet zo bekend mee maar ik heb het volgende geprobeerd(wat niet werkt).

Thralas schreef op maandag 2 september 2024 @ 09:27:
[...]


Heb je ook een NAT-regel aangemaakt om verkeer dat via WireGuard loopt te NAT'en? De makkelijkste manier is om de WireGuard interface aan de 'WAN' interface list toe te voegen - dan zorgen de default firewall rules voor de rest.

Voor wat betreft WireGuard: check bij de peer de 'last handshake' status. Is die gezet? Dan is WireGuard niet het probleem.

Werkt het allemaal nog niet, post dan eens een config export, dat is vollediger dan een paar screenshots.

ernstoud schreef op dinsdag 27 augustus 2024 @ 12:29:
[...]


Antwoord van Zaram was dat ze niets van Mikrotik gehoord hebben en dat ze er achter aangaan.

Coppertop schreef op maandag 2 september 2024 @ 10:55:
Aan de WAN interface list of aan de LAN? Ik gebruik LAN en het werkt prima, maar wil even checken dat ik niks fout doe

Thralas schreef op maandag 2 september 2024 @ 20:05:
[...]


Dat ligt er maar net aan hoe je WireGuard gebruikt?

Als je peer een van je eigen devices is dan kun je de wg interface beschouwen als je LAN. In het geval waar het hier over gaat wil je dat juist niet en moet je ook nog eens NAT gebruiken om verkeer naar buiten te routeren: dan dus niet.

[ Voor 5% gewijzigd door Coppertop op 02-09-2024 20:08 ]

llagendijk schreef op maandag 2 september 2024 @ 11:39:
[...]

Ik heb de alpha met de fix voor de Zaram geprobeerd en die werkt niet. Ik heb Mikrotik een update gestuurd. Ze vroegen om een supout, die heb ik ook gestuurd

ernstoud schreef op dinsdag 3 september 2024 @ 11:57:
[...]


Reactie van Mikrotik aan Zaram Korea:

—-

We would like to inform you that we managed to find a fix for ZXOS11NPI module initialization. Currently this fix is only available in our local test versions of RouterOS. However, we will be releasing a new public test version containing these improvements in the near future. For now, we have attached a local test version of RouterOS containing the improvements for your module:

https://box.mikrotik.com/f/b6eab5fc71174480a780/

https://box.mikrotik.com/f/ded7a26525db425fae1f/

If you have the opportunity, you can check how it works for you.

—-

[ Voor 4% gewijzigd door llagendijk op 04-09-2024 14:05 ]

llagendijk schreef op woensdag 4 september 2024 @ 12:50:
[...]

Thralas schreef op maandag 2 september 2024 @ 09:27:
[...]


Heb je ook een NAT-regel aangemaakt om verkeer dat via WireGuard loopt te NAT'en? De makkelijkste manier is om de WireGuard interface aan de 'WAN' interface list toe te voegen - dan zorgen de default firewall rules voor de rest.

Voor wat betreft WireGuard: check bij de peer de 'last handshake' status. Is die gezet? Dan is WireGuard niet het probleem.

Werkt het allemaal nog niet, post dan eens een config export, dat is vollediger dan een paar screenshots.

Vambier schreef op woensdag 4 september 2024 @ 16:25:
Het enige nadeel is nu dat ik niet meer kan vpn-en van buitenaf naar mijn eigen netwerk. Een idee wat dat zou kunnen zijn?

[ Voor 12% gewijzigd door babbelbox op 16-09-2024 11:46 ]

Shinji schreef op woensdag 18 september 2024 @ 13:20:
Er vanuit gaande dat je het op de Mikrotik heb geconfigureerd, waarom denk je dat het verkeer via je router gaat? Blijft binnen het subnet dus is rechtstreekse communicatie tussen de devices tenzij je iets van cliënt isolation aan hebt staan.

[ Voor 18% gewijzigd door sOid op 18-09-2024 13:35 ]

sOid schreef op woensdag 18 september 2024 @ 13:28:
[...]

Hmm goed punt. Dat is misschien een verkeerde aanname van mij.

In dit geval is de configuratie:
Mikrotik HexS > Unifi AP > betreffend device

Op de HexS is ook nog een (domme) switch aangesloten. Ik ging er hierdoor vanuit dat al het verkeer via de HexS loopt.

Ik ga me eens verdiepen in client isolation. Als er iemand pointers heeft, dan hoor ik dat graag.

Edit: het lijkt er inderdaad op dat alle LAN-verkeer helemaal niet via de firewall gaat. Ik begrijp wel dat het mogelijk is om dit als dusdanig te configureren, maar verhoogt de load op de HexS. Dat is dus niet wenselijk.

Het is vermoedelijk het handigst om dat ding te verbinden met een ander SSID op een ander subnet.

[ Voor 3% gewijzigd door Shinji op 18-09-2024 13:53 ]

babbelbox schreef op maandag 16 september 2024 @ 11:34:
Ik haal toch maar weer even de FS.com SFP module discussie open:
Ik testte vanmorgen (puur uit interesse) de speedtest en wat schetst mijn verbazing
In 2 richtingen +700 Mbit!!! en meermaals zelfs +850Mbit.
Ik heb zelf geen wijzigingen gemaakt binnen mijn devices.

Boeshnl schreef op woensdag 18 september 2024 @ 15:54:
[...]


Misschien wat laat maar heb ook een SFP van FS en heb zeker geen klachten hierover. Gebruik de
https://www.fs.com/products/133619.html
GPON ONU Stick with MAC SFP 1310nm-TX/1490nm-RX 1.244G-TX/2.488G-RX Class B+ 20km DOM Simplex SC/APC SMF Optical Transceiver Module (Industrial) voor de router L009UiGS-RM.

[ Voor 5% gewijzigd door ari2asem op 07-10-2024 10:25 ]

lier schreef op maandag 7 oktober 2024 @ 13:25:
Heb je LACP nodig? Volgens mij heb je geen snelle devices op de CCR2004-16G-2S+PC en, dus dat zou alleen via WAN kunnen komen (welke bandbreedte krijg je binnen?) of van InterVLAN verkeer. Of is het vanuit het oogpunt van redundantie?

Ik zou gewoon een bridge aanmaken met daarin ook de ethernet poorten en die gebruiken voor de langzame devices. Afhankelijk van de switch chipset ga je of VLAN via de bridge of via de switch configureren. Kan een hoop schelen!

lier schreef op maandag 7 oktober 2024 @ 10:42:
Zou natuurlijk prima kunnen dat deze niet door MikroTik ondersteund wordt.
Heb je geen mogelijkheid om met glas te werken? Dat heeft in ieder geval als voordeel dat de warmteontwikkeling een stuk lager is.

llagendijk schreef op woensdag 4 september 2024 @ 12:50:
[...]

Nee dit een nieuwere: ik had een alpha64 en dit is alpha100. Die herkent de zaram inderdaad en werkt (ik kan de zaram nu pingen). Alleen webfig werkt niet... Hoe dan ook: progress

llagendijk schreef op zaterdag 12 oktober 2024 @ 17:37:
[...]

Ik heb net na 7.11.3 versie 7.16.1 geinstalleerd nu ik even de ruimte had (even geen SLA omdat de familie weg is).

Met die 7.16.1 werkt de Zaram. Nog niet veel getest, maar alles lijkt ok.

Let wel op: vanaf 7.11.3 ga je eerst naar 7.12.1 en daar zou de Zaram niet kunnen werken. Blijbaar was de routerboot nog niet geupdate (en werkte de Zaram nog) en kon ik nog upgraden naar 7.16.1.

Na 7.16.1 wel de routerboard updaten (voor de Zaram support). Het beste is dus wel 7.16.1 eerst te downloaden (incl. wireless package) of na de installatie van 7.12.1 eerst wireless package verwijderen.

semi-passief schreef op woensdag 16 oktober 2024 @ 19:13:
[...]


Op mijn CRS317 is dit ook het geval, alleen werkte Auto Negotiation niet meer met de Zaram op 7.16.1. Ik moest de snelheid handmatig op 10G SR LR of 1G X zetten. Was dat bij jou ook?

lier schreef op donderdag 17 oktober 2024 @ 09:20:
Had je naast RouterOS ook de firmware bijgewerkt, @semi-passief?

[ Voor 11% gewijzigd door sambaloedjek op 20-10-2024 20:42 ]

[ Voor 25% gewijzigd door lier op 21-10-2024 11:20 ]

pimlie schreef op maandag 21 oktober 2024 @ 12:51:
Hmm, die wAP AX is leuk maar ik had eigenlijk verwacht dat Mikrotik dit jaar al met Wifi7 producten zou komen...

Shinji schreef op maandag 21 oktober 2024 @ 13:23:

Waarom, met AX waren ze ook heel laat.

pimlie schreef op maandag 21 oktober 2024 @ 14:04:
[...]


Is dat zo? Qualcomm Wifi7 chips zijn ook al weer ruim 1,5 jaar beschikbaar, had dus verwacht dat ze al wel iets met Wifi7 zouden uitbrengen. Maar misschien is dat ook meer hoop dan verwachting omdat ik eigenlijk graag een opvolger van de hAP AX2/3 zou willen zien met minimaal 2x 2.5Gbit (liefst 5) en Wifi7

lier schreef op maandag 21 oktober 2024 @ 13:22:
Verwacht?

sambaloedjek schreef op donderdag 24 oktober 2024 @ 18:24:
Zal niet lang meer duren want ze staan nu beiden officieel op hun website:

GarBaGe schreef op maandag 28 oktober 2024 @ 11:11:
Ik heb al een aantal jaren een (eenvoudige) Mikrotik router voor mijn thuisnetwerk.
Nu heb ik recent een switch erbij gekocht.
Deze kan echter zowel RouterOS draaien als SwitchOS.
Standaard wordt ie geleverd met een installatie van RouterOS, wat ik eigenlijk niet zou verwachten.

Wat zijn nu de verschillen, pros en cons voor RouterOS vs SwitchOS?

Ik wil de switch relatief voor eenvoudige zaken gebruiken, zoals uhm... switching...
Hooguit een beetje VLAN assignment op specifieke poorten.

Wat zijn jullie ervaringen met RouterOS vs SwitchOS op apparaten die beide ondersteunen?
Wat vind je fijner werken? en waarom?

Hmmbob schreef op woensdag 27 november 2024 @ 16:55:
download: RouterOS 7.16.2

Voor mij volgens mij niet echt belangrijke fixes, misschien voor jullie

[ Voor 95% gewijzigd door Dadona op 11-01-2025 23:15 ]

1
2
3
4

/interface bridge export
/interface bridge vlan export
/interface bridge port export
/interface vlan export

[ Voor 7% gewijzigd door lier op 11-01-2025 23:06 ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

[admin@MikroTik] /log> /interface bridge export

/interface bridge
add admin-mac=D4:01:C3:B4:0C:F9 auto-mac=no comment=defconf igmp-snooping=yes name=bridge vlan-filtering=yes
add fast-forward=no frame-types=admit-only-vlan-tagged name=iptv_bridge pvid=40 vlan-filtering=yes
add frame-types=admit-only-untagged-and-priority-tagged igmp-snooping=yes multicast-querier=yes name=wanBridge vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether3 pvid=100
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=wanBridge interface=ether2
add bridge=iptv_bridge ingress-filtering=no interface=vTV pvid=40
add bridge=iptv_bridge ingress-filtering=no interface=ether4 pvid=40
/interface bridge vlan
add bridge=bridge comment=VLAN_MG tagged=ether5,ether6,ether7 vlan-ids=101
add bridge=bridge comment="VLAN_IPTV" tagged=ether7,ether5,ether6 vlan-ids=40
[admin@MikroTik] /log> /interface bridge vlan export
X
/interface bridge vlan
add bridge=bridge comment=VLAN_MG tagged=ether5,ether6,ether7 vlan-ids=101
add bridge=bridge comment="VLAN_vTV" tagged=ether7,ether5,ether6 vlan-ids=40
[admin@MikroTik] /log> /interface bridge port export

/interface bridge port
add bridge=bridge comment=defconf interface=ether3 pvid=100
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=wanBridge interface=ether2
add bridge=iptv_bridge ingress-filtering=no interface=vTV pvid=40
add bridge=iptv_bridge ingress-filtering=no interface=ether4 pvid=40
[admin@MikroTik] /log> /interface vlan export

/interface vlan
add interface=bridge name="v101 (MG)" vlan-id=101
add comment="vTV LAN" interface=bridge name=vTV vlan-id=40
[admin@MikroTik] /log>

• Zodra ik ether2 uit de wanBridge haal (/interface bridge port, en dan wanBridge uitschakel), dan kan ik vanuit interface vTV een IP ophalen over ether4. Maar dan heb ik geen Internet over de bridge (specifiek vanuit VLAN101 op de bridge).
• Zodra ik ether2 aan de wanBridge toevoeg, dan krijgt ik geen IP vanuit vTV, maar kan ik vanuit VLAN101 wel op het internet

[ Voor 12% gewijzigd door Dadona op 12-01-2025 14:02 ]

Dadona schreef op zondag 12 januari 2025 @ 14:26:
Gaat hier om een KPN omgeving. Ik weet dat er opties zijn om de Mikrotik zelf het af te laten handelen, in plaats van die de KPN box, maar uit voorzorg kies ik liever de optie van de box er (nog) tussen.

Ether2 en ether4 hebben wel een MAC adres. Dus in principe zou de router moeten weten vanuit welke de DHCP requests komen lijkt mij. Maar in de gewenste situatie zou ik het allemaal over ether2 doen. Ether2 voor de WAN, en dan een VLAN op ether2 die specifiek voor de IPTV bridge is. Maar ook die configuratie werkte niet. Met de Ether4 kreeg ik het wel (even) voor elkaar tot een reboot.

[ Voor 11% gewijzigd door Dadona op 12-01-2025 17:03 ]

superyupkent schreef op dinsdag 14 januari 2025 @ 12:23:
...Maar dacht, ik gooi het ook hier in de groep. Is er misschien wat slims te bouwen waardoor de routering netjes op de 3011 blijft maar al eerder op het trace bekend is dat het verkeer van vlan 60 naar 70 moet?

[ Voor 7% gewijzigd door sambaloedjek op 14-01-2025 21:27 ]

sambaloedjek schreef op dinsdag 14 januari 2025 @ 18:34:
Meest practische is om beide vlans naar een van de de CRS3 switches te verplaatsen en alleen het internet verkeer via de 3011 laten lopen.

orvintax schreef op woensdag 15 januari 2025 @ 16:29:
[...]

Hoe zie je dat voor je? Want word dan niet een van de switches een tweede router?

[ Voor 15% gewijzigd door sambaloedjek op 15-01-2025 18:13 ]

lier schreef op zaterdag 18 januari 2025 @ 16:41:
De vraag stellen is hem beantwoorden, @EverLast2002.
Uiteraard kan het (alles is mogelijk met MikroTik), denk niet dat het nodig hebt.
Je zou eventueel beheer van deze switch via een VLAN kunnen beperken.

Kijk voor meer info naar: https://forum.mikrotik.com/viewtopic.php?t=143620

EverLast2002 schreef op zaterdag 18 januari 2025 @ 18:19:
[...]


Ik vraag dit omdat ik (inmiddels) wat ingewerkt ben met MikroTik,
maar soms nog wat vraagtekens heb in hun denkwijze.

Mijn hoofdrouter (OPNsense) regelt het VLAN verkeer en daarin staan ook firewall regels.
Misschien denk ik te ingewikkeld, maar is mijn RB750Gr3 switch dan (zonder VLAN firewall regels)
ook "op de hoogte van" de regels tussen VLANs ?

babbelbox schreef op zaterdag 18 januari 2025 @ 18:28:
[...]

Ik zou je MikroTik slechts 1 IP address geven, in je management vlan. Dan valt er voor de MT niets te routeren en heb je ook geen lokale firewall regels nodig.

EverLast2002 schreef op zaterdag 18 januari 2025 @ 18:30:
[...]


Zo heb ik het inderdaad geconfigureerd.

[ Voor 13% gewijzigd door babbelbox op 18-01-2025 18:38 ]

lier schreef op zaterdag 18 januari 2025 @ 19:50:
VLAN's zijn er om netwerken te scheiden, routers om deze al dan niet (via firewall rules) aan elkaar te knopen.

Oftewel, het volstaat om alleen VLAN's (goed) te configureren.

sambaloedjek schreef op vrijdag 24 januari 2025 @ 13:59:
Voor IPv6 liefhebbers:

What's new in 7.18beta2 (2025-Jan-21 11:27):
*) ipv6 - added FastTrack support;
*) ipv6 - added routing FastPath support;

Heb het nu een dag draaien en werkt!

orvintax schreef op vrijdag 24 januari 2025 @ 15:33:
[...]

Sorry, maar is dit niet een flinke performance boost voor ipv6?

nescafe schreef op maandag 27 januari 2025 @ 18:59:
Ik vind het nogal gevaarlijk om hierop te reageren @Erhnam, maar doe het toch even. De veiligste optie is om de default firewall van MikroTik te nemen, bij voorkeur met interface lists, en deze als volgt aan te passen:

Voor ssh:
Voeg een chain=input action=accept-regel toe voor ssh maar beperk het inkomende ssh-verkeer bij voorkeur met een address list

Voor poort 3000:
Voeg een action=dst-nat-rule toe, het eerste voorbeeld van de handleiding ( https://help.mikrotik.com/docs/spaces/ROS/pages/3211299/NAT ) maar dan met dst-address-type: /ip firewall nat add chain=dstnat action=dst-nat dst-address-type=local dst-port=3000 to-addresses=192.168.0.247 protocol=tcp

Ik zou dan ook nog even een hairpin-rule toevoegen.

In de default config koppel je pppoe-client aan interface list WAN en je firewall is compleet: filtering en masquerade op basis van interface lists.

De situatie die je nu hebt gecreëerd is een 'drop all' in je forward chain met in-interface=ether1 die niets uitricht omdat je internet (vermoedelijk) via pppoe-client binnenkomt. Daar heb je geen last van in de nieuwe firewall als je ether1 en pppoe-client in je WAN interface list opneemt.

De default config kun je verkrijgen via een /system default-configuration print (maak wel je terminal breed genoeg, of anders output naar file met print file=bestandsnaam).

1
2
3
4
5
6
7

/interface list
add name=WAN
add name=LAN
/interface list member
add interface=bridge-local list=LAN
add interface=pppoe-client list=WAN
add interface=ether1 list=WAN

1
2
3
4
5
6
7

/ip firewall filter
  add chain=input action=accept connection-state=established,related,untracked comment="accept established,related,untracked"
  add chain=input action=drop connection-state=invalid comment="drop invalid"
  add chain=input in-interface=ether1 action=accept protocol=icmp comment="accept ICMP"
  add chain=input in-interface=ether1 action=accept protocol=tcp port=8291 comment="allow Winbox";
  add chain=input in-interface=ether1 action=accept protocol=tcp port=22 comment="allow SSH";
  add chain=input in-interface=ether1 action=drop comment="block everything else";

1
2
3
4
5
6
7
8
9
10
11
12
13
14

/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall {
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
   filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
   filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
   filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
}

[ Voor 5% gewijzigd door Erhnam op 27-01-2025 19:43 ]

esphome schreef op maandag 27 januari 2025 @ 19:12:
Ik gebruik geen NAT om verkeer door te geleiden maar ik route het. Voordeel daarvan is dat het externe bron IP adres behouden blijft en zo kun je daar ook op filteren in de server.

De router moet wel weten waar het interne doel IP adres zich bevindt.

code:

1 2	add action=route chain=prerouting comment="Gaat niet door de NAT om het bron IP adres te behouden." dst-address=\ x.x.x.x dst-port=3000 in-interface=pppoe-client passthrough=no protocol=tcp route-dst=192.168.0.247

nescafe schreef op maandag 27 januari 2025 @ 19:45:
@Erhnam klopt, dat zou mijn advies zijn. Default firewall is prima. De router is in zijn fabrieksconfiguratie veilig. Het 'hardenen' van deze configuratie is in sommige situaties (publieke gebouwen) inderdaad aan te raden, maar in een default huis-tuin-en-keukensituatie niet echt noodzakelijk te noemen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="forward 3000" dst-address-type=local dst-port=3000 protocol=tcp to-addresses=192.168.0.247
add action=dst-nat chain=dstnat dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.0.247 to-ports=8080
add action=masquerade chain=srcnat dst-address=192.168.0.247 out-interface-list=LAN src-address=192.168.0.0/24

EverLast2002 schreef op zaterdag 15 februari 2025 @ 16:07:
Ik had het idee om een Raspberry Pi Zero 2 via PoE aan te sluiten
op een hAP ax2.
Echter is de PoE output maar 0.6A van de ax2, dus veel te weinig om de RPi van stroom te voorzien (2.5A).

Daarom vraag ik me af wat je eigenlijk qua PoE apparatuur op de Mikrotik kan aansluiten,
als een RPi al 2.5A vraagt...

chaoscontrol schreef op zaterdag 15 februari 2025 @ 16:10:
[...]

2,5a op 5volt is iets heel anders dan 2,5a op 12/24/48 volt.