[MikroTik-apparatuur] Ervaringen & Discussie

jeroen3 schreef op zondag 24 augustus 2025 @ 19:22:
@Theone098 Als je op je mikrotik ZeroTier of WireGuard kan gebruiken zou ik dan aanbevelen boven al het andere gehobby met ipsec e.d.

Als mensen aankloppen of je winbox port doe je iets ernstig fout. Dan heb je mogelijk een van de default regels verwijderd of je interface lists door de war gehaald.
Dus, check je interface lists, en kijk mogelijk even naar de default firewall die nu in ros 7 zit.

[ Voor 8% gewijzigd door Theone098 op 24-08-2025 19:29 ]

jeroen3 schreef op zondag 24 augustus 2025 @ 20:38:
@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

Theone098 schreef op zondag 24 augustus 2025 @ 21:44:
[...]

Aangepast, en 1.4 meteen in TV gezet. Thanks!

Theone098 schreef op zondag 24 augustus 2025 @ 18:51:
Voor zover ik weet kan de mikrotik niet als CA fungeren voor interne certificaten. Klopt dat?

[ Voor 11% gewijzigd door Theone098 op 27-08-2025 11:49 ]

Theone098 schreef op woensdag 27 augustus 2025 @ 11:47:
Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

Theone098 schreef op vrijdag 29 augustus 2025 @ 12:45:
En ik wil de MT als CA inrichten.

ZwarteIJsvogel schreef op vrijdag 29 augustus 2025 @ 16:40:
[...]

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

ZwarteIJsvogel schreef op zaterdag 30 augustus 2025 @ 07:36:
Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.

LEDfan schreef op woensdag 27 augustus 2025 @ 08:15:
Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.

Maar dan krijgt pihole alleen verzoeken van de router zelf, kan hij de clients niet herkennen en tript hij soms de limiet.

1
2
3
4
5
6
7
8
9

/interface veth
add address=192.168.50.5/24 gateway=192.168.50.1 gateway6="" name=pihole
add address=192.168.50.6/24 gateway=192.168.50.1 gateway6="" name=unbound
/ip address
add address=192.168.51.1/24 interface=wg1 network=192.168.51.0
add address=192.168.42.1/24 interface=VLAN-DEFAULT network=192.168.42.0
add address=192.168.50.1/24 interface=container network=192.168.50.0
/ip dhcp-server network
add address=192.168.42.0/24 dns-server=192.168.50.5 gateway=192.168.42.1

1
2
3
4
5
6
7
8
9
10
11
12
13

/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=tcp src-address=192.168.42.0/24 to-addresses=192.168.142.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=udp src-address=192.168.42.0/24 to-addresses=192.168.142.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=tcp src-address=192.168.51.0/24 to-addresses=192.168.151.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=udp src-address=192.168.51.0/24 to-addresses=192.168.151.0/24
add action=netmap chain=dstnat dst-address-list=!NoDNSFilter dst-port=53 protocol=tcp src-address-list=!NoDNSFilter to-addresses=192.168.50.5 to-ports=53
add action=netmap chain=dstnat dst-address-list=!NoDNSFilter dst-port=53 protocol=udp src-address-list=!NoDNSFilter to-addresses=192.168.50.5 to-ports=53


/ip firewall address-list
add address=192.168.50.0/24 list=NoDNSFilter
add address=192.168.42.26 list=NoDNSFilter
add address=192.168.42.160 list=NoDNSFilter

LEDfan schreef op donderdag 25 september 2025 @ 19:58:
Ik gebruik al lang Mikrotik, en wist wel dat ze in Letland zitten, maar had geen idee dat de hardware ook in Letland (en buurlanden) wordt gemaakt:

[YouTube: Touring the COOLEST Networking Company]

offtopic:
en nog een routeros6 vraag uit het examen gevist

[ Voor 15% gewijzigd door Boudewijn op 07-10-2025 20:55 ]

Boudewijn schreef op donderdag 9 oktober 2025 @ 19:13:
En ook MTCRE gehaald. Stuk leuker qua 'lekker hobbien' dan MTCNA.

Morgen nog even MTCSE en dan ben ik er voor nu weer klaar mee.

Vervelende is wel dat ik nu mijn ubiquiti-setup thuis (4 switches, 1 router, 7 APs) eruit wil gooien en vervangen door Mikrotik

• Een SLZB-06 (zigbee antenne) : You can power your SLZB-06 device either through PoE or Type-C. PoE 802.5af standard is supported
• Een reolink trackmix: PoE IEEE 802.3af, 48V active
• Een ubiquiti AP AC Pro
• Een ubiquiti Bullet G3 camera

Freeaqingme schreef op dinsdag 14 oktober 2025 @ 23:38:
@Boudewijn Gratz met je cert! Met welk doel haal je die certs, en welke heb je nog meer?

Wat SwOs betreft, ik was wel eens heel teleurgesteld toen ik een PoE switch gekocht had en enkel SwOs bleek te kunnen draaien. Weet niet of ze daar nog verder in investeren. In mijn beleving was dat ooit gemaakt zodat ze 'iets' hadden om op de hardware met de slechtste specs nog te kunnen draaien. Maar als 't even kan, zou ik altijd RouterOS pakken.

Boudewijn schreef op woensdag 15 oktober 2025 @ 00:14:
[...]


Ik heb verder geen netwerk-certificaten oid, ik heb gewoon HBO+WO + berg infosec certificaten. Mogelijk ga ik her en der wat MT spul managen, dus vandaar wat achtergrondkennis. Ook dingen als OSPF enzo waren black boxes voor mij

MTCSE ook binnen

Freeaqingme schreef op woensdag 15 oktober 2025 @ 01:01:
[...]


Oh right. Ik las:

[...]


Dus dacht dat daarom dat je er al meer had. Ik lees nu ook even een stukje verder terug, en realiseer me dat die 'ook' op andere users sloeg, niet op andere certificaten.

Boudewijn schreef op dinsdag 14 oktober 2025 @ 23:01:
MTCSE ook binnen, heel lekker.

Naast de HAP die ik bij de cursus kreeg heb ik ook nog een cheap-ass switch met 4x PoE gekocht, de RB260GSP. Dit om in mijn schuur te functioneren en een paar PoE devices te voeden.

Dit zijn:

• Een SLZB-06 (zigbee antenne) : You can power your SLZB-06 device either through PoE or Type-C. PoE 802.5af standard is supported
• Een reolink trackmix: PoE IEEE 802.3af, 48V active
• Een ubiquiti AP AC Pro
• Een ubiquiti Bullet G3 camera

Als ik dit alles aansluit op de Mikrotik switch (die ik via de DC plug voed) trekt hij dat overduidelijk niet, diverse poorten komen niet op.

Ik heb MTCNA, MTCRE en MTCSE vorige week gehaald

[ Voor 7% gewijzigd door ZwarteIJsvogel op 15-10-2025 08:03 ]

ZwarteIJsvogel schreef op woensdag 15 oktober 2025 @ 07:38:
[...]

Dat is niet verwonderlijk. MikroTik maakt apparaten met Passive PoE en apparaten die de PoE standaarden 802.3af en 802.3at ondersteunen. Die twee smaken kun je niet door elkaar gebruiken (verschillende voedingsspanning, geen/wel protocol tussen apparaten). De RB260GSP ondersteunt alleen Passive PoE en kan dus geen 802.3af apparaten voeden (en ook geen apparaten die meer dan 24V verwachten bij Passive PoE), ongeacht het opgenomen vermogen van die apparaten.

Ik vraag mij af wat daar over PoE wordt verteld

Boudewijn schreef op woensdag 15 oktober 2025 @ 08:09:
Ok duidelijk. Heb maar een hex PoE besteld.

[...]
helemaal niets. De term is niet eens gevallen.

ZwarteIJsvogel schreef op woensdag 15 oktober 2025 @ 09:01:
Een gemiste kans van MikroTik. PoE is bij MikroTik een mijnenveld waarin je gemakkelijk kunt verongelukken, zoals je zelf al hebt gemerkt.

kaaas schreef op woensdag 15 oktober 2025 @ 12:55:
@boudewijn Heb je al naar thedude gekeken?
Ik dacht niet dat ie met swos werkt, maar alles met routeros zou er wel in moeten verschijnen

[ Voor 24% gewijzigd door Boudewijn op 15-10-2025 13:13 ]

babbelbox schreef op donderdag 23 oktober 2025 @ 12:52:
Best geinig om te zien trouwens dat sinds een upgrade van ROS 7.18.1 naar 7.20.1 het CPU verbruik van m'n RB2011 zichtbaar naar beneden is gegaan
[Afbeelding]

Robi schreef op donderdag 23 oktober 2025 @ 13:00:
[...]

Welke tool gebruik je voor deze grafiek?

babbelbox schreef op donderdag 23 oktober 2025 @ 13:18:
[...]

De grafiek zelf wordt gepresenteerd in Grafana.
De data zit in InfluxDB en komt daar dmv een script op de MikroTik.
Ik heb een schedule lopen die elke 10 seconden draait, deze haalt diverse parameters op en maakt daar een influxdb insert string van.

TheFirepit schreef op maandag 27 oktober 2025 @ 13:55:
Hij draait de laatste versie (7.20.2). Ik heb ondertussen ook even een ticket aangemaakt naar support toe.

[ Voor 8% gewijzigd door peterstr op 27-10-2025 14:41 ]

TheFirepit schreef op maandag 27 oktober 2025 @ 13:55:
Hij draait de laatste versie (7.20.2). Ik heb ondertussen ook even een ticket aangemaakt naar support toe.

peterstr schreef op maandag 27 oktober 2025 @ 14:38:
[...]


Ik hoop het niet voor jou maar ik verwacht dat ze gaan zeggen dat je een SFP moet kiezen die Mikrotik zelf als compatible heeft aangewezen.

Voor de 5009 zie hier: https://help.mikrotik.com...d+interface+compatibility

BaseBoyNL schreef op maandag 27 oktober 2025 @ 14:43:
Voor mijn nieuwbouw woning mag ik nieuwe netwerk apperatuur aanschaffen en zit nu heel erg te twijfelen tussen Mikrotik en Unify. Ik snap dat de meeste hier in het Mikrotik ecosysteem zitten maar wil jullie toch vragen zouden jullie deze keuze opnieuw maken wanneer je opnieuw zou starten?

ernstoud schreef op maandag 27 oktober 2025 @ 14:47:
[...]


Een reboot is wel heel bijzonder. In mijn rb5009 gebeurt dat niet met deze SFP+ en ook niet met de Zaram SFP+.

Wel oudere RouterOS versie, nl. 7.11.2.

Wellicht ten overvloede maar heb je behalve de update van RouterOS ook de firmware van de rb5009 geüpdatet?

BaseBoyNL schreef op maandag 27 oktober 2025 @ 14:43:
Wellicht een schot voor openboeg hier maar wel de plek waar de meeste kennis zit.

Voor mijn nieuwbouw woning mag ik nieuwe netwerk apperatuur aanschaffen en zit nu heel erg te twijfelen tussen Mikrotik en Unify. Ik snap dat de meeste hier in het Mikrotik ecosysteem zitten maar wil jullie toch vragen zouden jullie deze keuze opnieuw maken wanneer je opnieuw zou starten?

Inmiddels loopt Unify wel wat voor op hardware gebied en misschien ook wel op software gebied (dat kan ik niet zo goed beoordelen). En dan heb je nog de stijlere leercurve van MT. Voordeel van MT vind ik wel dat het uit Europa komt en de lange ondersteuning van de producten.

Ben benieuwd naar jullie mening. Alvast bedankt!

BaseBoyNL schreef op maandag 27 oktober 2025 @ 14:43:
Wellicht een schot voor openboeg hier maar wel de plek waar de meeste kennis zit.

babbelbox schreef op donderdag 23 oktober 2025 @ 12:52:
Best geinig om te zien trouwens dat sinds een upgrade van ROS 7.18.1 naar 7.20.1 het CPU verbruik van m'n RB2011 zichtbaar naar beneden is gegaan
[Afbeelding]

[ Voor 4% gewijzigd door Theone098 op 28-10-2025 11:31 . Reden: checkmk ]

Theone098 schreef op dinsdag 28 oktober 2025 @ 11:24:
De tool die ik gebruik is inderdaad checkmk, zoals @lolgast hier beneden aangeeft .

lier schreef op dinsdag 28 oktober 2025 @ 16:37:
[...]

Nice, heb het gelijk ook geïnstalleerd en geconfigureerd (op basis van SNMP).

[ Voor 19% gewijzigd door babbelbox op 29-10-2025 07:44 ]

[ Voor 11% gewijzigd door Boudewijn op 01-11-2025 18:47 ]

franssie schreef op zaterdag 1 november 2025 @ 19:07:
@Boudewijn heb je niet ergens wat M3 liggen? Als dat sloppy is, is het M4 (zo doe ik dat altijd).

Boudewijn schreef op zaterdag 1 november 2025 @ 20:22:
[...]

Ja maar hoe lang moeten ze zijn? Ik wil ook niet tegen een print aan schroeven oid.
De switch openmaken zou kunnen maar doe ik liever niet ivm garantie, die switch was niet helemaal gratis.

Boudewijn schreef op zaterdag 1 november 2025 @ 20:22:
[...]

Ja maar hoe lang moeten ze zijn? Ik wil ook niet tegen een print aan schroeven oid.
De switch openmaken zou kunnen maar doe ik liever niet ivm garantie, die switch was niet helemaal gratis.

DRAFTER86 schreef op zondag 2 november 2025 @ 07:40:
[...]


Schroefjes vinden die lang genoeg zijn om iets kapot te draaien valt niet mee denk ik: https://www.servethehome....oe-and-4x-10gbe-switch/2/

[ Voor 10% gewijzigd door Boudewijn op 02-11-2025 11:35 ]

Fingie schreef op donderdag 6 november 2025 @ 16:30:
Gisteren had ik hier een stroomstoring. Alles uit, inclusief de Miktotik hap ac3 die de internet aansluiting door het huis verspreid. Toen de stroom enkele uren later weer terug was, startte alles netjes op, behalve de Mikrotik. Deze startte wel, maar deed niets en was onbereikbaar. Enkel een blauwe led op de voorzijde.

En dit is niet de eerste keer. Normaal staat dat apparaat altijd aan en doet het zijn ding. Maar als hij dan eens herstart wordt, dan zie ik met name na langere tijd niet herstarten dit gedrag. Ik moet dan via netinstall RouterOS weer installeren en de configuratie terugzetten. Daarna werkt het apparaat weer. Herstart ik bijvoorbeeld een dag later de router, dan is er ook geen probleem. Het is alleen als hij langere tijd niet herstart is.

Ik heb al gezocht naar vergelijkbare situaties, maar kan alleen een paar berichten vinden over apparaten die na iedere herstart de configuratie kwijt zijn. Dit is hier dus niet het geval. Het is (in mijn beleving) alleen na een lange uptime (meerdere weken/maanden). Net als gisteren. Waarbij ook toen herstel via netinstall en restore van een backup werkte. Gisteren was ik niet thuis, waardoor ik pas in de avond de boel weer werkend kon maken. Tot grote frustratie van de thuiswerkers die de hele dag niets konden. Daarom hoop ik dat iemand dit wellicht herkent of een suggstie heeft waarnee dit gedrag voorkomen kan worden.

ernstoud schreef op donderdag 6 november 2025 @ 16:39:
[...]


Kleine UPS ervoor?

Als echt RouterOS verloren raakt na langere tijd geen voeding lijkt me dit een slechte flash memory chip.

nescafe schreef op donderdag 6 november 2025 @ 16:50:
@Fingie heb je toevallig je hap ac3 gepartitioneerd? Ik heb al vaker meegemaakt dat de MikroTik een failover doet bij een unclean startup, bijv. [aan]-[uit]-[aan] binnen een paar seconden.

[ Voor 6% gewijzigd door Fingie op 06-11-2025 17:04 ]

Fingie schreef op donderdag 6 november 2025 @ 16:30:
Het is alleen als hij langere tijd niet herstart is.

peterstr schreef op donderdag 6 november 2025 @ 17:07:
[...]


Het is geen oplossing maar misschien wel een workaround tot de tijd dat je een echte oplossing hebt maar je zou via de system scheduler een agelijkse reboot kunnen laten uitvoeren bv om 3 uur 's nachts.

En het idee van partitioneren is zo wie zo aan te raden. Heb ik ook op mijn twee mikrotiks. Ook handig als een update niet blijkt te werken zols je zou verwachten. Je bent dan snel weer terug naar de oude versie.

[ Voor 17% gewijzigd door babbelbox op 06-11-2025 20:35 ]

[ Voor 16% gewijzigd door lier op 07-11-2025 10:43 ]

lier schreef op vrijdag 7 november 2025 @ 10:41:
houdt rekening met een stijle leercurve.

pimlie schreef op donderdag 6 november 2025 @ 23:55:
@Fingie Ik heb dat jaren geleden ook gehad, ook vaak na niet clean shutdowns. Heb helaas geen oplossing voor je, op een gegeven moment deed hij het weer goed zonder dat ik iets (bewust) had gedaan.

Heb je ook expliciet de firmware geupgrade (System -> Routerboard)? Vroeger stond auto upgrade standaard uit, dus als je nog een oude config gebruikt kan dat nu ook nog uitstaan.

lier schreef op vrijdag 7 november 2025 @ 13:52:
Werk dan ook RouterOS bij, naar versie 7.20.4 (huidige laatste Stable) of 7.19.6 (volgens velen meer stabiel).

lier schreef op vrijdag 7 november 2025 @ 10:41:
De CRS418-8P-8G-2S+5axQ2axQ-RM levert 802.3af/at terwijl de hAP ax s alleen Passive PoE ondersteunt. Oftewel, je kan de hAP niet voorzien van stroom met deze switch.

Persoonlijk zou ik deze hAP nooit nemen, tenzij het als "1 trick pony" gebruikt wordt. Altijd voor de "echte" standaardaarden kiezen.

Verder: RB5009 is een geweldige router, prima keuze. Als CAPS zou ik de wAP AX kiezen, tenzij je hem aan het plafond hangt (dan kan je beter de cAP AX kiezen). Let op dat de wAP onder een beperkte hoek straalt. Je krijgt dus een ander patroon dan je huidige Unify's. Hoeveel poorten heb je op je switch nodig?

Naar aanleiding van je opmerking over sysadmin tweaker: houdt rekening met een stijle leercurve. Tegelijkertijd, de community van MikroTik is echt geweldig. Dus mensen met een gezond verstand en beetje interesse kunnen prima een omgeving opzetten.

Theone098 schreef op dinsdag 28 oktober 2025 @ 11:24:
[...]

Ik blijf nog even op 7.19.6. Mijn backupexport-script werkt niet meer in 7.20.x en ik ben er nog niet achter wat het probleem is.

BaseBoyNL schreef op maandag 27 oktober 2025 @ 14:43:
Wellicht een schot voor openboeg hier maar wel de plek waar de meeste kennis zit.

Voor mijn nieuwbouw woning mag ik nieuwe netwerk apperatuur aanschaffen en zit nu heel erg te twijfelen tussen Mikrotik en Unify. Ik snap dat de meeste hier in het Mikrotik ecosysteem zitten maar wil jullie toch vragen zouden jullie deze keuze opnieuw maken wanneer je opnieuw zou starten?

Inmiddels loopt Unify wel wat voor op hardware gebied en misschien ook wel op software gebied (dat kan ik niet zo goed beoordelen). En dan heb je nog de stijlere leercurve van MT. Voordeel van MT vind ik wel dat het uit Europa komt en de lange ondersteuning van de producten.

Ben benieuwd naar jullie mening. Alvast bedankt!

[ Voor 14% gewijzigd door Boudewijn op 07-11-2025 23:21 ]

lier schreef op vrijdag 7 november 2025 @ 22:31:
[...]

Overigens blijft PoE vaak gewoon doorwerken tijdens een upgrade en/of reboot.

babbelbox schreef op zaterdag 8 november 2025 @ 08:44:
Als ik mijn RB4011 reboot gaat die POE echt wel ff uit hoor.

franssie schreef op vrijdag 7 november 2025 @ 17:50:
Ik lurk al even in dit topic, Voor de users met een Mikrotek router en Unifi AP'd - hoe beheren jullie de AP's?
Ga een schaduw netwerk opzetten met een MikroTik hEX S Gigabit router, en wil daarvandaan mijn Unifi AP's migreren. De Unifi Express (6) zal ik dan uitfaseren (of tijdelijk als AP gebruiken, moet ik nog uitzoeken). Via de Unifi app oid of een actieve controller in een docker?

franssie schreef op vrijdag 7 november 2025 @ 17:50:
Ik lurk al even in dit topic, Voor de users met een Mikrotek router en Unifi AP'd - hoe beheren jullie de AP's?
Ga een schaduw netwerk opzetten met een MikroTik hEX S Gigabit router, en wil daarvandaan mijn Unifi AP's migreren. De Unifi Express (6) zal ik dan uitfaseren (of tijdelijk als AP gebruiken, moet ik nog uitzoeken). Via de Unifi app oid of een actieve controller in een docker?

Boudewijn schreef op vrijdag 7 november 2025 @ 23:07:
[...]

Grappig, ik heb nieuwbouw gekocht 3 jaar geleden en alles van ubiquiti. Gateway pro 4, 4 switches, 7 APs, NVR. Ben nu om aan het gaan naar mikrotik, puur omdat er veel meer aan te configgen valt. Ook biedt MT veel meer hardware voor het geld voor mijn gevoel.

Waar is ubiquiti beter in:
- De APs bevallen me prima. Mogelijk is MT ook goed.
- De tante-sjaan-kan-het-instellen-factor
- Er zijn heel veel minder updates. Dit is voor- en nadeel tegelijk. Voordeel want minder werk en reboots, nadeel want geen nieuwe dingen.
- kant-en-klare cloud management als je dat tof vindt.
- Overzicht en de controller. Die mis ik echt bij MT. Gewoon een lijstje met alle hosts op het netwerk en een overzicht van met welke hardware ze verbonden zijn. VLANs instellen is ook heel veel simpeler.

De controller is ook wel een beetje een nadeel ; het is echt een java-resource-hog op mijn simpele virtualisatiebakje. Verder heef MT veel minder vendor-lock-in voor mijn gevoel (probeer maar eens een externe camera aan je NVR te koppelen).