Toon posts:

[MikroTik-apparatuur] Ervaringen & Discussie

Pagina: 1 ... 53 54 Laatste
Acties:

zondag 24 augustus 2025 19:27

Acties:
  • 0 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

jeroen3 schreef op zondag 24 augustus 2025 @ 19:22:
@Theone098 Als je op je mikrotik ZeroTier of WireGuard kan gebruiken zou ik dan aanbevelen boven al het andere gehobby met ipsec e.d.

Als mensen aankloppen of je winbox port doe je iets ernstig fout. Dan heb je mogelijk een van de default regels verwijderd of je interface lists door de war gehaald.
Dus, check je interface lists, en kijk mogelijk even naar de default firewall die nu in ros 7 zit.
Ja, wireguard heeft mijn voorkeur maar NordVPN ondersteunt dit niet. Er is wel ooit iemand die dit op MT aan de praat heeft gekregen, maar dat werkte voor mij niet (meer). Het commando om de private key te tonen werkt niet bij mij (https://forum.mikrotik.co...r-running-ros-v7-x/178901).

# LIST INTERFACE
0 LAN bridge
1 WAN ether01-WAN
2 LAN MGMT
3 LAN vlan13-DMZ
4 LAN vlan20-SERVERS
5 LAN vlan30-AV
6 LAN vlan40-EUC
7 LAN vlan50-MZP
8 LAN vlan60-IOT
9 LAN vlan66-GASTEN
10 LAN vlan253-RB
11 TV VLAN100-IPTV

[ Voor 8% gewijzigd door Theone098 op 24-08-2025 19:29 ]

zondag 24 augustus 2025 20:38

Acties:
  • +1 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Nu online

jeroen3

@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

zondag 24 augustus 2025 21:44

Acties:
  • 0 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

jeroen3 schreef op zondag 24 augustus 2025 @ 20:38:
@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.
Aangepast, en 1.4 meteen in TV gezet. Thanks!

zondag 24 augustus 2025 23:17

Acties:
  • +1 Henk 'm!
  • babbelbox
  • Registratie: Maart 2003
  • Laatst online: 26-09 22:53

babbelbox

Theone098 schreef op zondag 24 augustus 2025 @ 21:44:
[...]

Aangepast, en 1.4 meteen in TV gezet. Thanks!
In je firewall rules zie ik ook interface pppoe.
Lijkt mij dat die ook aan WAN toegevoegd moet zijn.
Overigens ben ik zelf geen fan van die interface groepen, maar dat terzijde.

maandag 25 augustus 2025 08:00

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Nu online

jeroen3

@babbelbox de interface lists staan het toe de firewall rules onafhankelijk te maken van het exacte model routerboard dat je hebt. Zodoende kun je dus altijd de default firewall gebruiken en hoef je daar niet in te gaan rommelen met verzetten van interfaces e.d. zodat je de exacte kwetsbaarheden die Theone098 nu heeft kan vermijden.
Vergeet ook je ipv6 firewall niet te controleren.

maandag 25 augustus 2025 09:26

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 10:40

lier

MikroTik nerd

Theone098 schreef op zondag 24 augustus 2025 @ 18:51:
Voor zover ik weet kan de mikrotik niet als CA fungeren voor interne certificaten. Klopt dat?
Nee: https://help.mikrotik.com...ages/2555969/Certificates

Eerst het probleem, dan de oplossing

woensdag 27 augustus 2025 08:15

Acties:
  • +1 Henk 'm!
  • LEDfan
  • Registratie: Juni 2012
  • Laatst online: 10:24

LEDfan

Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.

woensdag 27 augustus 2025 11:47

Acties:
  • 0 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

Ik begin weer een beetje te wennen aan de MT firewall. Ondertussen ben ik er achter wat het probleem was: pppoe is de poort om te gebruiken om WAN verkeer te monitoren/blocken etc, of de WAN address list als pppoe ook in de WAN address-list staat.

Grappig detail: ik heb een rule die "information leakage"* moet voorkomen en dit naar mijn MT log stuurt. En ik had hits op remote logging (poort 514), omdat ik een ip adres verkeerd had ingetypt op de client. 191.x.x.x<>192.x.x.x ;) .

Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

* van bepaalde poorten wil je niet dat deze met het internet communiceren, zoals SNMP, logging, DHCP, etc, vandaar een rule die dit monitort.

[ Voor 11% gewijzigd door Theone098 op 27-08-2025 11:49 ]

woensdag 27 augustus 2025 12:33

Acties:
  • +2 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 10:40

lier

MikroTik nerd

Theone098 schreef op woensdag 27 augustus 2025 @ 11:47:
Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!
Verplicht leesvoer :P
https://forum.mikrotik.com/viewtopic.php?t=143620
https://help.mikrotik.com.../pages/69664792/WireGuard

Eerst het probleem, dan de oplossing

vrijdag 29 augustus 2025 12:45

Acties:
  • +1 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

Ja, ben nog steeds tevreden met mijn Mikrotik apparatuur :) . De Hex S spint er vrolijk op los, nu met Wireguard roadwarrior (lekker makkelijk) en Ike2/IPSec VPN (hardwarematig ondersteunt door Hex S) voor downloads.

Ik heb mijn netwerk compleet opnieuw ingericht, met layer 2 vlans en inter-vlan routing op de Hex S. Veel problemen zijn hiermee opgelost, vooral performance. Alles is weer zo snel als je zou verwachten. Héérlijk _/-\o_ . Ik ben er wel al een paar weekenden zoet mee, maar het is het waard. Het is meer dan alleen het netwerk, ook met name de servers hebben wat herconfiguratie nodig ivm gewijzigde IP's.

Eén ding krijg ik nog niet opgelost. Mijn Arris KPN settopbox gaat vanzelf aan. Daar zal ik eens wat monitoring opzetten om te kijken wat de oorzaak is, ondanks een eigen vlan en router poort. Tips zijn welkom.

Verder nog de wens om mDNS te gaan draaien. En ik wil de MT als CA inrichten. Voorlopig houd ik daarvoor de pfsense router achter de hand, zodat ik toch mijn eigen certificaten kan verlengen.

Getting there..... ;) .

vrijdag 29 augustus 2025 16:40

Acties:
  • 0 Henk 'm!
  • ZwarteIJsvogel
  • Registratie: Juni 2008
  • Laatst online: 10:28

ZwarteIJsvogel

Zuid-Limburg

Theone098 schreef op vrijdag 29 augustus 2025 @ 12:45:
En ik wil de MT als CA inrichten.
Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

vrijdag 29 augustus 2025 19:04

Acties:
  • 0 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

ZwarteIJsvogel schreef op vrijdag 29 augustus 2025 @ 16:40:
[...]

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.
Ik geef je helemaal gelijk, ik zou ook nooit adviseren dit op een router te doen.

Mijn probleem is dat andere, goede en veilige oplossingen zoals XCA, mijn doel voorbij schieten. Héél goed opgezet, goed te beveiligen, maar overkill voor de 8 certificaten die ik intern gebruik om het niet al te makkelijk te maken om te sniffen. Als ze toegang hebben tot mijn router, hebben ze toch al de sleutels tot het koninkrijk. Via een MitM kunnen ze dan alles al lezen, of ze mijn certificaten hebben of niet.

zaterdag 30 augustus 2025 07:36

Acties:
  • 0 Henk 'm!
  • ZwarteIJsvogel
  • Registratie: Juni 2008
  • Laatst online: 10:28

ZwarteIJsvogel

Zuid-Limburg

Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.

maandag 1 september 2025 15:52

Acties:
  • +4 Henk 'm!
  • The Lord
  • Registratie: November 1999
  • Laatst online: 08:27

The Lord

Gewoon ter informatie:

Ik wilde de eSIM functionaliteit van Mikrotik proberen. Zodoende afgelopen weken een wAP ac LTE kit (2024) met Sysmocom fysieke SIM-kaart (met eSIM functionaliteit) gebruikt als 'IoT' router (enkel DNS en sMQTT verkeer mogelijk naar bepaalde end-points over LTE).

Bottom line: dat werkt.

Zorg dat de router (tijdelijk) via een andere weg internet heeft, de activatie informatie van je provider in de eSIM en dat was het.

geeft geen inhoudelijke reacties meer

vrijdag 5 september 2025 11:35

Acties:
  • 0 Henk 'm!
  • Theone098
  • Registratie: Februari 2015
  • Laatst online: 10:53

Theone098

ZwarteIJsvogel schreef op zaterdag 30 augustus 2025 @ 07:36:
Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.
Heb het maar eens geprobeerd. Het lijkt een zware applicatie maar het stelt niets voor. CA geïmporteerd en de eerste certificaten zijn al uitgegeven. Dank voor de tip.

vrijdag 5 september 2025 11:55

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Nu online

jeroen3

LEDfan schreef op woensdag 27 augustus 2025 @ 08:15:
Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.
Ik had pihole inderdaad via een losse bridge. Maar dan krijgt pihole alleen verzoeken van de router zelf, kan hij de clients niet herkennen en tript hij soms de limiet.
Dus ik heb het pas omgebouwd dat de veth direct gaat zodat pihole requests ontvangt met juist src ip erin. En dat werkt prima. Wat gaat er precies mis als je dat niet doet dan?

zondag 7 september 2025 12:04

Acties:
  • 0 Henk 'm!
  • LEDfan
  • Registratie: Juni 2012
  • Laatst online: 10:24

LEDfan

Als het allemaal in 1 bridge zit en VLAN filtering staat aan voor de bridge, werkt mijn wireguard verbinding maar met 1Mbps. Misschien dat dit gedrag nog wel afhankelijk is van de architectuur van de router.
Maar dan krijgt pihole alleen verzoeken van de router zelf, kan hij de clients niet herkennen en tript hij soms de limiet.
Dit werkt voor mij wel gewoon, maar pihole zit dus in een andere IP subnet dan de devices op de bridge en de clients gebruiken dan ook dit IP adres:
code:
1
2
3
4
5
6
7
8
9

/interface veth
add address=192.168.50.5/24 gateway=192.168.50.1 gateway6="" name=pihole
add address=192.168.50.6/24 gateway=192.168.50.1 gateway6="" name=unbound
/ip address
add address=192.168.51.1/24 interface=wg1 network=192.168.51.0
add address=192.168.42.1/24 interface=VLAN-DEFAULT network=192.168.42.0
add address=192.168.50.1/24 interface=container network=192.168.50.0
/ip dhcp-server network
add address=192.168.42.0/24 dns-server=192.168.50.5 gateway=192.168.42.1

Het is dus niet zo dat ik de DNS server van Mikrotik er nog tussen zet, de clients verbinden rechtstreeks met pihole.

Los daarvan gebruik ik wel een firewall rule om al het DNS verkeer naar pihole te sturen, zelfs als clients met een andere DNS server proberen te verbinden. Hierbij ga je met standaard DNAT rules dan wel hebben dat alles van 1 IP adres lijkt te komen. Om dit te vermijden map ik de verschillende subnets naar een andere range. Op die manier kan ik de clients nog wel identificeren:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=tcp src-address=192.168.42.0/24 to-addresses=192.168.142.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=udp src-address=192.168.42.0/24 to-addresses=192.168.142.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=tcp src-address=192.168.51.0/24 to-addresses=192.168.151.0/24
add action=netmap chain=srcnat dst-address=192.168.50.5 protocol=udp src-address=192.168.51.0/24 to-addresses=192.168.151.0/24
add action=netmap chain=dstnat dst-address-list=!NoDNSFilter dst-port=53 protocol=tcp src-address-list=!NoDNSFilter to-addresses=192.168.50.5 to-ports=53
add action=netmap chain=dstnat dst-address-list=!NoDNSFilter dst-port=53 protocol=udp src-address-list=!NoDNSFilter to-addresses=192.168.50.5 to-ports=53


/ip firewall address-list
add address=192.168.50.0/24 list=NoDNSFilter
add address=192.168.42.26 list=NoDNSFilter
add address=192.168.42.160 list=NoDNSFilter

donderdag 25 september 2025 19:58

Acties:
  • +7 Henk 'm!
  • LEDfan
  • Registratie: Juni 2012
  • Laatst online: 10:24

LEDfan

Ik gebruik al lang Mikrotik, en wist wel dat ze in Letland zitten, maar had geen idee dat de hardware ook in Letland (en buurlanden) wordt gemaakt:

Pagina: 1 ... 53 54 Laatste
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq