[MikroTik-apparatuur] Ervaringen & Discussie

jeroen3 schreef op zondag 24 augustus 2025 @ 19:22:
@Theone098 Als je op je mikrotik ZeroTier of WireGuard kan gebruiken zou ik dan aanbevelen boven al het andere gehobby met ipsec e.d.

Als mensen aankloppen of je winbox port doe je iets ernstig fout. Dan heb je mogelijk een van de default regels verwijderd of je interface lists door de war gehaald.
Dus, check je interface lists, en kijk mogelijk even naar de default firewall die nu in ros 7 zit.

Ja, wireguard heeft mijn voorkeur maar NordVPN ondersteunt dit niet. Er is wel ooit iemand die dit op MT aan de praat heeft gekregen, maar dat werkte voor mij niet (meer). Het commando om de private key te tonen werkt niet bij mij (https://forum.mikrotik.co...r-running-ros-v7-x/178901).

# LIST INTERFACE
0 LAN bridge
1 WAN ether01-WAN
2 LAN MGMT
3 LAN vlan13-DMZ
4 LAN vlan20-SERVERS
5 LAN vlan30-AV
6 LAN vlan40-EUC
7 LAN vlan50-MZP
8 LAN vlan60-IOT
9 LAN vlan66-GASTEN
10 LAN vlan253-RB
11 TV VLAN100-IPTV

[ Voor 8% gewijzigd door Theone098 op 24-08-2025 19:29 ]

@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

jeroen3 schreef op zondag 24 augustus 2025 @ 20:38:
@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

Aangepast, en 1.4 meteen in TV gezet. Thanks!

Theone098 schreef op zondag 24 augustus 2025 @ 21:44:
[...]

Aangepast, en 1.4 meteen in TV gezet. Thanks!

In je firewall rules zie ik ook interface pppoe.
Lijkt mij dat die ook aan WAN toegevoegd moet zijn.
Overigens ben ik zelf geen fan van die interface groepen, maar dat terzijde.

@babbelbox de interface lists staan het toe de firewall rules onafhankelijk te maken van het exacte model routerboard dat je hebt. Zodoende kun je dus altijd de default firewall gebruiken en hoef je daar niet in te gaan rommelen met verzetten van interfaces e.d. zodat je de exacte kwetsbaarheden die Theone098 nu heeft kan vermijden.
Vergeet ook je ipv6 firewall niet te controleren.

Theone098 schreef op zondag 24 augustus 2025 @ 18:51:
Voor zover ik weet kan de mikrotik niet als CA fungeren voor interne certificaten. Klopt dat?

Nee: https://help.mikrotik.com...ages/2555969/Certificates

Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.

Ik begin weer een beetje te wennen aan de MT firewall. Ondertussen ben ik er achter wat het probleem was: pppoe is de poort om te gebruiken om WAN verkeer te monitoren/blocken etc, of de WAN address list als pppoe ook in de WAN address-list staat.

Grappig detail: ik heb een rule die "information leakage"* moet voorkomen en dit naar mijn MT log stuurt. En ik had hits op remote logging (poort 514), omdat ik een ip adres verkeerd had ingetypt op de client. 191.x.x.x<>192.x.x.x .

Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

* van bepaalde poorten wil je niet dat deze met het internet communiceren, zoals SNMP, logging, DHCP, etc, vandaar een rule die dit monitort.

[ Voor 11% gewijzigd door Theone098 op 27-08-2025 11:49 ]

Theone098 schreef op woensdag 27 augustus 2025 @ 11:47:
Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

Verplicht leesvoer
https://forum.mikrotik.com/viewtopic.php?t=143620
https://help.mikrotik.com.../pages/69664792/WireGuard

Ja, ben nog steeds tevreden met mijn Mikrotik apparatuur . De Hex S spint er vrolijk op los, nu met Wireguard roadwarrior (lekker makkelijk) en Ike2/IPSec VPN (hardwarematig ondersteunt door Hex S) voor downloads.

Ik heb mijn netwerk compleet opnieuw ingericht, met layer 2 vlans en inter-vlan routing op de Hex S. Veel problemen zijn hiermee opgelost, vooral performance. Alles is weer zo snel als je zou verwachten. Héérlijk . Ik ben er wel al een paar weekenden zoet mee, maar het is het waard. Het is meer dan alleen het netwerk, ook met name de servers hebben wat herconfiguratie nodig ivm gewijzigde IP's.

Eén ding krijg ik nog niet opgelost. Mijn Arris KPN settopbox gaat vanzelf aan. Daar zal ik eens wat monitoring opzetten om te kijken wat de oorzaak is, ondanks een eigen vlan en router poort. Tips zijn welkom.

Verder nog de wens om mDNS te gaan draaien. En ik wil de MT als CA inrichten. Voorlopig houd ik daarvoor de pfsense router achter de hand, zodat ik toch mijn eigen certificaten kan verlengen.

Getting there..... .

Theone098 schreef op vrijdag 29 augustus 2025 @ 12:45:
En ik wil de MT als CA inrichten.

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

ZwarteIJsvogel schreef op vrijdag 29 augustus 2025 @ 16:40:
[...]

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

Ik geef je helemaal gelijk, ik zou ook nooit adviseren dit op een router te doen.

Mijn probleem is dat andere, goede en veilige oplossingen zoals XCA, mijn doel voorbij schieten. Héél goed opgezet, goed te beveiligen, maar overkill voor de 8 certificaten die ik intern gebruik om het niet al te makkelijk te maken om te sniffen. Als ze toegang hebben tot mijn router, hebben ze toch al de sleutels tot het koninkrijk. Via een MitM kunnen ze dan alles al lezen, of ze mijn certificaten hebben of niet.

Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.

Gewoon ter informatie:

Ik wilde de eSIM functionaliteit van Mikrotik proberen. Zodoende afgelopen weken een wAP ac LTE kit (2024) met Sysmocom fysieke SIM-kaart (met eSIM functionaliteit) gebruikt als 'IoT' router (enkel DNS en sMQTT verkeer mogelijk naar bepaalde end-points over LTE).

Bottom line: dat werkt.

Zorg dat de router (tijdelijk) via een andere weg internet heeft, de activatie informatie van je provider in de eSIM en dat was het.

ZwarteIJsvogel schreef op zaterdag 30 augustus 2025 @ 07:36:
Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.

Heb het maar eens geprobeerd. Het lijkt een zware applicatie maar het stelt niets voor. CA geïmporteerd en de eerste certificaten zijn al uitgegeven. Dank voor de tip.

LEDfan schreef op woensdag 27 augustus 2025 @ 08:15:
Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.

Ik had pihole inderdaad via een losse bridge. Maar dan krijgt pihole alleen verzoeken van de router zelf, kan hij de clients niet herkennen en tript hij soms de limiet.
Dus ik heb het pas omgebouwd dat de veth direct gaat zodat pihole requests ontvangt met juist src ip erin. En dat werkt prima. Wat gaat er precies mis als je dat niet doet dan?