[MikroTik-apparatuur] Ervaringen & Discussie

maandag 7 september 2015 15:03

Acties:

0 Henk 'm!

Topicstarter

Standaard config heeft ook een bridge en bij de RB2011 bijvoorbeeld zijn de laatste 5 poorten een switch met master en slaves. Ether1-gateway zit vanzelfsprekend niet in de bridge.

Jij hebt vlan1 en wlan1 in de bridge zitten? Dan sluis je toch je glasvezel direct door naar wlan, zonder NAT.

Daarom was mijn idee om de standaard config uit te breiden met SFP als gateway (is zelfs out of the box zo geloof ik) en een vlan er op zetten, dan is NAT al helemaal kant en klaar.

Anyway SFP moet niet in je switch en niet in je bridge want dan koppel je je externe netwerk direct door met je interne netwerk. Alles wat intern is mag in een bridge/switch maar daar stop je de externe interface niet bij in.

Dit is de default config:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

Heb je ook DHCP client op je SFP/vlan1 e.d.? En DHCP server op de bridge waar alleen je ethernet poorten van je interne netwerk op zitten en eventueel wlan1?

Als je alleen vlan1 wil doorzetten behandel je die als je inkomende interface en doe je dus daar een dhcp client op e.d. volgens mij moet je die dan niet bridgen maar juist NATten met je interne bridge

[ Voor 42% gewijzigd door maarud op 07-09-2015 15:10 ]

maandag 7 september 2015 17:51

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

En gebruik ook de 'safe mode'-optie om jezelf niet buiten te sluiten

maandag 7 september 2015 17:54

Acties:

0 Henk 'm!

Meauses

Ik wil binnenkort mijn thuisnetwerk aanpakken en wil een 951 inzetten als router. Ik wil een tweetal Netgear 24 ports switches inzetten en elke switch met de 951 verbinden met 2 kabels, oftewel bonding. Ook ga ik gebruikmaken van VLANs.

Ik heb op de verschillende interfaces een vlan interface aangemaakt en voor elk vlan een bridge, en daar alle vlan interfaces aan verbonden. Toen ik uiteindelijk 2 interfaces wilde bonden, gaf de webconfig aan dat er een bridge aanwezig was en de bonding hierdoor niet werkte.

Is het nu zo dat ik eerst een bonding interface moet maken van 2 etherports en daarna de VLANs op de bonding interface moet definiëren? En hoe koppel ik dan de VLANs aan elkaar? Moet ik dan een bridge maken over de 2 bonding interfaces heen?

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 8 september 2015 09:29

Acties:

0 Henk 'm!

maarud

Topicstarter

Als ik een IP heb gekregen op de gateway en ik heb een DHCP server (en een netwerk) ingesteld op mijn bridge dan maakt de router zelf automatisch routes aan.

Waar loop je nu nog tegenaan?

dinsdag 8 september 2015 16:54

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Even een vraagje, is de pricewatch: MikroTik CRS109-8G-1S-2HnD-IN de enige level 3 switch of heeft de goedkopere pricewatch: MikroTik Routerboard RB2011UiAS-2HnD-IN dat ook?

want Ik wil iets gaan doen met multipoint vpn (DMVPN)

ora et labora

dinsdag 8 september 2015 19:55

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

mrc4nl schreef op dinsdag 08 september 2015 @ 16:54:
Even een vraagje, is de pricewatch: MikroTik CRS109-8G-1S-2HnD-IN de enige level 3 switch of heeft de goedkopere pricewatch: MikroTik Routerboard RB2011UiAS-2HnD-IN dat ook?

Het zijn beide routers (ik weiger de term 'layer 3 switch' te gebruiken).

EDIT: gezien de beroerde SoCs van de CRS series in sommige modellen is 'layer 3 switch' misschien toch wel op z'n plaats.

Ze hebben ook exact dezelfde CPU, dus qua performance zou het op papier weinig uit moeten maken. Switch config is iets anders gezien de poortlayout op beide modellen.

want Ik wil iets gaan doen met multipoint vpn (DMVPN)

Dan zou ik heel goed uitzoeken of wat je wil bereiken ondersteund wordt. Als ik zo 1-2-3 even Google is dat een Cisco-uitvinding, en wordt dat niet as-is supported.

Dat uitzoeken geldt overigens in het algemeen, MikroTik is nogal van het not-invented-here'en (zie ook: OpenVPN support enkel via TCP)...

[ Voor 5% gewijzigd door Thralas op 08-09-2015 20:13 ]

dinsdag 8 september 2015 20:22

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Thralas schreef op dinsdag 08 september 2015 @ 19:55:
[...]

Het zijn beide routers (ik weiger de term 'layer 3 switch' te gebruiken).

Ze hebben ook exact dezelfde CPU, dus qua performance zou het op papier weinig uit moeten maken. Switch config is iets anders gezien de poortlayout op beide modellen.

[...]

Dan zou ik heel goed uitzoeken of wat je wil bereiken ondersteund wordt. Als ik zo 1-2-3 even Google is dat een Cisco-uitvinding, en wordt dat niet as-is supported.

Dat uitzoeken geldt overigens in het algemeen, MikroTik is nogal van het not-invented-here'en (zie ook: OpenVPN support enkel via TCP)...

ok dankje voor de info. echt behoefte aan DMVPN heb ik niet, t is voor een thuisnetwerk met nas en op de adere locatie mijn laptop op de 3e locatie mijn webhosting-server

overal mijn nas benaderen zou ik wel fijn vinden samen , maar als ik poorten forward op mijn ziggo modem moet dat ook wel zonder switch lukken, alleen moet ik dan wel handmatig connecten

ora et labora

donderdag 10 september 2015 20:04

Acties:

0 Henk 'm!

Verwijderd

maarud schreef op dinsdag 08 september 2015 @ 09:29:
Als ik een IP heb gekregen op de gateway en ik heb een DHCP server (en een netwerk) ingesteld op mijn bridge dan maakt de router zelf automatisch routes aan.

Waar loop je nu nog tegenaan?

Niets dat was het! Als ik er wat beter bij nagedacht had is een bridge voor een router/modem config ook niet echt logisch. Het is uiteindelijk gelukt en dat is wat telt.

Thnx voor de hulp

woensdag 16 september 2015 08:38

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Gistermiddag plotseling geen toegang meer tot mijn Mikrotik... Tot ik mij bedacht dat ik bijna alle firewall rules uitgeschakeld had en dus mijzelf buitengesloten had van buitenaf. Gelukkig vanaf het lokale LAN niet, dus kon de regels simpelweg weer inschakelen... Blond moment

.

Waar ik wel tegenaan loop is een vreemde firewall rule naar mijn pc toe welke ik mij niet kan herinneren. Heb hem voorlopig maar disabled:
chain=forward action=accept dst-address=192.168.88.200 in-interface=ether1-gateway log=no log-prefix=""

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 16 september 2015 09:28

Acties:

0 Henk 'm!

maarud

Topicstarter

En daarom is het handig om comments te gebruiken

donderdag 17 september 2015 00:10

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

blegh, ik ben de hele avond al bezig om sstp (vpn) werkend te krijgen.

probleem: geen connectie als ik de router vanuit de wan poort benader. vanuit de lan poort werkt het wel.
iemand een idee waar het loos kan zijn, moet ik poort 443 voor ethernet1 openzetten oid?

ora et labora

donderdag 17 september 2015 09:15

Acties:

0 Henk 'm!

_-= Erikje =-_

er vanuitgaande dat dat je externe interface is, de poort die nodig is en je het vanaf buitenaf wilt hebben werken; ja

donderdag 17 september 2015 10:08

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Heeft iemand toevallig probelemen gehad met apple TV's op de mikrotiks?
Er draait er een bij een klant van mij (Verbonden via een UniFi AP).
Sinds de MT er staat krijg ik hem niet met internet verbonden.
(DHCP Geeft 'm wel netjes een IP), er word niks geblokkeerd op het netwerk.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 17 september 2015 10:50

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Ik zie bij mijn zwager dat de Apple TV om de paar seconden interface laat down gaan en weer opkomen, maar volgens mij doet hij het wel online.

donderdag 17 september 2015 10:57

Acties:

0 Henk 'm!

maarud

Topicstarter

Ik heb ook een ATV via een UAP op een MT (leuke afkortingen). Draait al maanden als een zonnetje.

donderdag 17 september 2015 11:07

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Hmm, raar.
Wat we ook doen met 't ding (is al volledig ge-reset). Hij wil niet op internet, hebben 3 vlan's, werkt op geen van allen.
Als ik de connection trace met de MT zegt ie echter alles door te laten, en de responses terug te sturen naar de ATV

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 17 september 2015 11:19

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Ik heb ook een ATV via een UAP op een MT (leuke afkortingen). Draait al maanden als een zonnetje.

Maar heb hem ook bedraad op de MK en dat gaat ook goed.

“Choose a job you love, and you will never have to work a day in your life.”

vrijdag 18 september 2015 10:38

Acties:

0 Henk 'm!

rohaantje

MikroTik

Product catalogus Q4, 2015

Met als opvallendste nieuwtjes, na mijn inzicht:

hEX POE lite (RB750UP revisie 2)
photoshop versie van de 3011(RM) met als CPU: Two core QCA8337-AL3C 1.4 GHz CPU

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 18 september 2015 10:55

Acties:

0 Henk 'm!

chaoscontrol

rohaantje schreef op vrijdag 18 september 2015 @ 10:38:
Product catalogus Q4, 2015

Met als opvallendste nieuwtjes, na mijn inzicht:
hEX POE lite (RB750UP revisie 2)
photoshop versie van de 3011(RM) met als CPU: Two core QCA8337-AL3C 1.4 GHz CPU

Laten we maar hopen dat ze Q4 dan wel halen, zit er nu toch echt op te wachten. Trek met de RB2011 geen 500mbit naar binnen, heb er goede hoop in dat de rb3011 dat wel trekt.

Inventaris - Koop mijn meuk!

vrijdag 18 september 2015 11:55

Acties:

0 Henk 'm!

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

chaoscontrol schreef op vrijdag 18 september 2015 @ 10:55:
[...]

Laten we maar hopen dat ze Q4 dan wel halen, zit er nu toch echt op te wachten. Trek met de RB2011 geen 500mbit naar binnen, heb er goede hoop in dat de rb3011 dat wel trekt.

Dan wacht ik even jou ervaringen af

want als de 3011 in de buurt komt van de prijs van de 2011, dan is dat zeker een beter alternatief dan de 1100.

“Choose a job you love, and you will never have to work a day in your life.”

vrijdag 18 september 2015 14:22

Acties:

0 Henk 'm!

enterz

Hmm, die 3011 ziet er leuk uit inderdaad. Ben beniewd wat die ARM CPU doet met NAT'ing. Als het inderdaad de 500/500 glaslijn kan vullen (met wat ruimte) is dat een goede optie!

vrijdag 18 september 2015 14:41

Acties:

0 Henk 'm!

Verwijderd

Spijtig, geen enkel spoor meer van de hAP ac of hAP ac lite. Langer wachten of toeslaan bij Ubiquiti nu die een gunstig geprijsd sohomodel met 'ac lite' uit zullen brengen dit najaar?

zondag 20 september 2015 15:09

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

De wifi prestaties van de 2011UiAS-IN vind ik beroerd

ziggo 2.4G
Afbeeldingslocatie: http://tweakers.net/ext/f/cf7nKvUAIMlZquSb46h9Azbq/full.png

unifi AP (aangesloten op de 100mbit poort)
Afbeeldingslocatie: http://tweakers.net/ext/f/s1h3A3qg3cfbkOGn5Fv5x4ea/full.png

en dan de mikrotik

Afbeeldingslocatie: http://tweakers.net/ext/f/f16Y6mVKCAVGhLdbXhwfZsOm/full.png

is dit normaal?

ora et labora

zondag 20 september 2015 15:15

Acties:

0 Henk 'm!

Petervanakelyen

Wifi

Die cijfers zeggen natuurlijk niets zonder achtergrondinformatie. Ik haal hier gewoon vlot 50Mbps met een RB2011UiAS-2HnD-IN. Het lijkt erop dat je 2.4GHz spectrum behoorlijk vol is als je zelfs met een Unifi AP slechts 28Mbps haalt?

Somewhere in Texas there's a village missing its idiot.

zondag 20 september 2015 21:01

Acties:

0 Henk 'm!

The Fatal

hier doet hij het anders op een paar meter afstand prima getest met een MBP2010:
Afbeeldingslocatie: http://www.speedtest.net/result/4679623978.png

Afbeeldingslocatie: http://www.speedtest.net/result/4679623978.png

[ Voor 8% gewijzigd door The Fatal op 20-09-2015 21:01 ]

zondag 20 september 2015 22:10

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Petervanakelyen schreef op zondag 20 september 2015 @ 15:15:
Die cijfers zeggen natuurlijk niets zonder achtergrondinformatie. Ik haal hier gewoon vlot 50Mbps met een RB2011UiAS-2HnD-IN. Het lijkt erop dat je 2.4GHz spectrum behoorlijk vol is als je zelfs met een Unifi AP slechts 28Mbps haalt?

mja, de unfi-ap is gewoon geen snelheidsmonster, de pro zal het beter doen maar die vind ik te duur.
de unifi-ap is gewoon super stabiel, en dat is zijn voornaamste taak.Veel beton is hier ook niet in de buurt, t signaal hoeft slechts door èèn houten vloer heen.

Spectrum kan ook niet vol zitten,slechts èèn extern netwerk kan ik hier ontvangen.
ik heb nog een keer getest met speedtest.ziggo.nl en met de unifi haal ik nu 38mb/s
terwijl ik met de mikrotik de test niet eens af kan maken (ik krijg timeouts op het eind)
na een wifi config reset op de mikrotik haal ik nu 34mb/s, en vind het maar weinig.

edit ben dichterbij de mikrotik gaan staan, haal nu 17mb/s

Edit2, aah ik heb de schuldige gevonden, ik had de mikrotik aan de POE injector van de unfi-ap gehangen, en de infi aan de poe-out van de mikrotik. Nu de mikrotik aan de normale stroomadapter heb hangen haalt ie opeens wel >65mb/s

[ Voor 13% gewijzigd door mrc4nl op 20-09-2015 22:19 ]

ora et labora

maandag 21 september 2015 08:11

Acties:

0 Henk 'm!

_-= Erikje =-_

Verwijderd schreef op vrijdag 18 september 2015 @ 14:41:
Spijtig, geen enkel spoor meer van de hAP ac of hAP ac lite. Langer wachten of toeslaan bij Ubiquiti nu die een gunstig geprijsd sohomodel met 'ac lite' uit zullen brengen dit najaar?

crap idd

maandag 21 september 2015 21:35

Acties:

0 Henk 'm!

Verwijderd

Ik volg nu d MTCWE cursus (advanced wireless cursus) van Mikrotik, en er zijn ZOVEEL mogelijkheden om de snelheid te verhogen....

De vraag is: WAAROM wil je 50 Mbps op WiFi? Welke programma of applicatie heeft zoveel nodig?

maandag 21 september 2015 23:00

Acties:

0 Henk 'm!

Zware Unit

WAAROM? Je bent toch Tweaker? Het is nooit snel genoeg!

Voornamelijk data overdracht van MacBook naar NAS is langzaam in vergelijking tot bedraad.

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

dinsdag 22 september 2015 00:21

Acties:

0 Henk 'm!

chaoscontrol

mrc4nl schreef op zondag 20 september 2015 @ 22:10:
[...]
Spectrum kan ook niet vol zitten,slechts èèn extern netwerk kan ik hier ontvangen.

Er zit meer in het 2.4GHz spectrum dan enkel wifi.

Inventaris - Koop mijn meuk!

dinsdag 22 september 2015 07:56

Acties:

0 Henk 'm!

Verwijderd

Kijk even in de Mikrotik wat de CCQ is. (Interface - Wlan - Status). Ik denk dat die lager is dan 60%. Hoe hoger hoe beter.

Maar het kan ook helpen om de kanaal te veranderen. Kijk even met frequency usage.

dinsdag 22 september 2015 08:43

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Verwijderd schreef op dinsdag 22 september 2015 @ 07:56:
Kijk even in de Mikrotik wat de CCQ is. (Interface - Wlan - Status). Ik denk dat die lager is dan 60%. Hoe hoger hoe beter.

Maar het kan ook helpen om de kanaal te veranderen. Kijk even met frequency usage.

had je het tegen mij?

Overall Tx CCQ 73 %
Distance 1 km
Noise Floor -95 dBm

ik ben al van mijn probleem af sinds ik de meegeleverde adapter gebruik ipv een POE injector

ora et labora

dinsdag 6 oktober 2015 09:17

Acties:

+1 Henk 'm!

rohaantje

MikroTik

Er is een webshop die pre-orders aanneemt voor de nieuwe modellen van Mikrotik.

RB3011uias-2hnd-in 8662 RUB +/- €120,-
hAP AC 3000 RUB +/- €41,-
hAP AC lite 2700 RUB +/- €37,-

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 6 oktober 2015 11:21

Acties:

0 Henk 'm!

_-= Erikje =-_

3x3 AC AP voor 41 euro, zeker wel interessant

specs zijn wel aangepast lijkt het (3x3 vs 2x2)

[ Voor 113% gewijzigd door _-= Erikje =-_ op 06-10-2015 11:24 ]

dinsdag 6 oktober 2015 15:30

Acties:

+1 Henk 'm!

maomanna

https://virtualitsupport....ategory/mikrotik-related/ een site met een beste lading aan handige Mikrotik tuts.

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

dinsdag 6 oktober 2015 16:04

Acties:

0 Henk 'm!

chaoscontrol

maomanna schreef op dinsdag 06 oktober 2015 @ 15:30:
https://virtualitsupport....ategory/mikrotik-related/ een site met een beste lading aan handige Mikrotik tuts.

Dank, zitten wel wat handige dingen tussen waar ik zelf niet aan gedacht zou hebben.

Inventaris - Koop mijn meuk!

dinsdag 6 oktober 2015 16:07

Acties:

0 Henk 'm!

maomanna

Hoeveel vermogen kan de USB poort op de CRS125 eigenlijk leveren?

Is het voldoende om een 2,5" hdd van stroom te voorzien?

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

dinsdag 6 oktober 2015 16:13

Acties:

0 Henk 'm!

rohaantje

MikroTik

maomanna schreef op dinsdag 06 oktober 2015 @ 16:07:
Hoeveel vermogen kan de USB poort op de CRS125 eigenlijk leveren?

Is het voldoende om een 2,5" hdd van stroom te voorzien?

Ik heb aan mijn RB2011 een SSD hangen zonder extra voeding.
Een HDD heb ik nog niet geprobeerd.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 6 oktober 2015 16:14

Acties:

0 Henk 'm!

maomanna

ik twijfel om zo een eraan te hangen: pricewatch: WD Elements Portable Storage 1TB Zwart Weet niet hoeveel die verbruikt.

een andere goede, maar vooral betrouwbare 2,5" is welkom.

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

dinsdag 6 oktober 2015 16:19

Acties:

0 Henk 'm!

rohaantje

MikroTik

Een googletje brengt je hier:
http://wiki.mikrotik.com/...outerBoard_USB_port_table

Die WD is usb powered.
Jouw CRS125 kan via usb voeding leveren dus dat zou moeten werken.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 6 oktober 2015 17:48

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

rohaantje schreef op dinsdag 06 oktober 2015 @ 09:17:
Er is een webshop die pre-orders aanneemt voor de nieuwe modellen van Mikrotik.

RB3011uias-2hnd-in 8662 RUB +/- €120,-
hAP AC 3000 RUB +/- €41,-
hAP AC lite 2700 RUB +/- €37,-

Als die prijzen elders vergelijkbaar opgebouwd zijn heeft de hAP AC lite totaal geen bestaansrecht...

En die winkel lijkt duurder dan Interprojekt (n=3). < €41 voor een 3x3 ac dual band router is wel erg scherp ten opzichte van de nieuwe Ubiquiti lineup.

dinsdag 6 oktober 2015 20:10

Acties:

0 Henk 'm!

Verwijderd

Op mijn RB2011 hangt een 250 Gb Seagate Elements..... Werkt goed.

Een SSD mag NOOIT als webproxy fungeren, want de gigantische hoeveelheid schrijf / lees acties is funest voor de SSD.

Dat werd mij door de trainer van MTCNA verteld.

[ Voor 66% gewijzigd door Verwijderd op 06-10-2015 20:11 ]

woensdag 7 oktober 2015 07:43

Acties:

0 Henk 'm!

_-= Erikje =-_

schijfacties wellicht, al is dat tegenwoordig ook haast verwaarloosbaar op een ssd (wear leveling, veel betere cellen tegenwoordig enz enz)

woensdag 7 oktober 2015 11:48

Acties:

0 Henk 'm!

maomanna

nou tis wat...

Gister sloot ik mn nieuwe 2TB HDD aan op de usbpoort.
in system -> disks kwam hij mooi naar voren. Heb de schijf daar geformatteerd naar ext3.

Nu net kijk ik en er is geen disk gemount bij /files en geen disk in system -> disks. ook niet na het herinpluggen.

Moet ik hem handmatig mounten?

edit:
Na reboot is hij er wel weer, maar zonder label of gemount. 0B free en unknown type.
Nog maar eens een format, maar dan fat32 (wat niet handig is met grotere backup files)

[ Voor 24% gewijzigd door maomanna op 07-10-2015 11:50 ]

https://pvoutput.org/intraday.jsp?id=102416&sid=90116

woensdag 7 oktober 2015 12:44

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Ondersteund RouterOS Ext3 wel?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 7 oktober 2015 13:10

Acties:

+1 Henk 'm!

Verwijderd

ElCondor schreef op woensdag 07 oktober 2015 @ 12:44:
Ondersteund RouterOS Ext3 wel?

Zie de wiki: http://wiki.mikrotik.com/wiki/Manual:System/Disks

3. Formating the disk, in either of two supported file-systems (ext3 or fat32).

woensdag 7 oktober 2015 17:13

Acties:

0 Henk 'm!

Fairy

13kWp

Advies gevraagd

Ik heb op dit moment een glasverbinding van 700/700 (Foutje van de provider, don't ask

)
De lijn deel ik met de buren. Dat zijn incidentele gebruikers, hebben hun eigen router. Zowel aan mijn kant als bij hun staat een Asus RT-N66U. Dit werkt allemaal prima

Het enige 'probleem' wat ik nu heb is dat ik geen apart VLAN kan maken waardoor de buren in principe mijn interne netwerk kunnen bereiken. Nu is dit op zich geen probleem, maar vanuit het beveiligingsoogpunt (virussen) wil ik dit toch scheiden.

Vooropgesteld: Geen discussie aub over het delen met de buren en de risico's als de buurman corrupt is e.d. Daarmee is recent al een topic verziekt....

Ik heb diverse apparaten bekeken en als systeembeheerder heb ik de nodige netwerkkennis om e.e.a. te configureren. Wel zal ik uiteraard de nodige research moeten doen omdat ik nooit eerder apparatuur van Mikrotik heb gebruikt. Wel Cisco, HP, Sophos, Fortinet e.d...

Nu vraag ik mij af wat ik het beste kan doen, want ik was behoorlijk gefocussed op de:

CRS125-24G-1S-2HnD-IN
Deze heeft genoeg LAN poorten. Ik heb er ook wel een aantal nodig, maar kan met minder uit als ik mijn managed switch blijf gebruiken. Helaas is de Wifi een beetje out-of-date met N en 2x2. Ook twijfel ik aan de capaciteit van de CPU om deze snelheid te trekken.

RB850gx2
Minder poorten, dus mijn switch blijft behouden. Echter onduidelijk of het VLAN scheiden goed gaat werken. Ik lees bij dit model veel over problemen met de Max MTU size is sommige gevallen (1504?) waardoor de performance kan achterblijven. Voor WIFI moet ik dan een access point aanhouden. Wel is de CPU krachtiger.

RB3011
10x GBIT poorten, waardoor net wat meer vrijheid. Helaas nog geen AC wifi maar deze is binnenkort optioneel beschikbaar. Helaas is de RB3011 niet leverbaar en volgens de bronnen kan dit nog enige tijd duren. Is het de moeite om op te wachten?

Wat kan ik het beste doen. De CRS125 nemen? Of is deze te beperkt qua router omdat het eigenlijk een switch is met router capaciteiten.....

De RB850gx2 lijkt interessant maar de issues die ik erover lees.......

Wachten op de RB3011.... Of is deze qua software weer een stuk meer uitgekleed zoals de 2011?

Tips zijn welkom

woensdag 7 oktober 2015 17:25

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Die CRS125 kun je afschrijven, dat wordt wel erg krap.

RB850Gx2 zou kunnen werken, maar dat is slechts een inschatting.

Hamvraag: heb je PPPoE of queues nodig? Zonder die twee kun je met FastTrack volgens mij met gemak die 700/700 routeren.

Overigens wil je gewoon losse LANs, VLANs zijn hier niet aan de orde.

woensdag 7 oktober 2015 18:04

Acties:

0 Henk 'm!

Fairy

13kWp

Thralas schreef op woensdag 07 oktober 2015 @ 17:25:
Die CRS125 kun je afschrijven, dat wordt wel erg krap.

RB850Gx2 zou kunnen werken, maar dat is slechts een inschatting.

Hamvraag: heb je PPPoE of queues nodig? Zonder die twee kun je met FastTrack volgens mij met gemak die 700/700 routeren.

Overigens wil je gewoon losse LANs, VLANs zijn hier niet aan de orde.

Ik wil inderdaad losse LAN's. Of dat in de vorm van VLAN's is maakt me niet veel uit, zolang ik het verkeer maar kan scheiden, maar wel op beide LAN's de router beschikbaar heb.

PPPoE heb ik niet nodig. Het internet komt binnen op aparte VLAN's via glas maar dat scheid ik nu met een managed switch. Dat zou de Mikrotik mogen doen, maar is geen vereiste.

Wat ik wel graag wil is gebruik maken van de statistieken die Mikrotik bied. Ik wil geen verkeer afvangen, maar wel graag kijken wat er op bepaalde momenten over de lijn gaat aan throughput. Dat is altijd prettig mocht je willen troubleshooten en daarnaast houd ik wel van stats

Als dat ook per LAN apart kan is helemaal mooi. Met FastTrack verlies ik deze functionaliteit?

[ Voor 27% gewijzigd door Fairy op 07-10-2015 18:09 ]

woensdag 7 oktober 2015 18:26

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Fairy schreef op woensdag 07 oktober 2015 @ 18:04:
Als dat ook per LAN apart kan is helemaal mooi. Met FastTrack verlies ik deze functionaliteit?

Dat gaat in principe allemaal per interface. Mogelijk dat interfaces in dezelfde switch group wel geaggregeerd worden. Staat allemaal los van FastTrack, dat is slechts een firewalloptimalisatietruukje.

Zie deze queuless benchmarks die ik een paar maanden terug deed:

Thralas in "\[Ervaringen/discussie] MikroTik-apparatuur"

Dan moet het met die 850Gx2 toch wel lukken. Misschien zelfs met de 750Gr2?

Qua WiFi zou ik wachten op de hAP AC of Ubiquiti's UniFi..

woensdag 7 oktober 2015 19:37

Acties:

0 Henk 'm!

rohaantje

MikroTik

Fairy schreef op woensdag 07 oktober 2015 @ 17:13:
...

RB3011
10x GBIT poorten, waardoor net wat meer vrijheid. Helaas nog geen AC wifi maar deze is binnenkort optioneel beschikbaar. Helaas is de RB3011 niet leverbaar en volgens de bronnen kan dit nog enige tijd duren. Is het de moeite om op te wachten?

Wat kan ik het beste doen. De CRS125 nemen? Of is deze te beperkt qua router omdat het eigenlijk een switch is met router capaciteiten.....

De RB850gx2 lijkt interessant maar de issues die ik erover lees.......

Wachten op de RB3011.... Of is deze qua software weer een stuk meer uitgekleed zoals de 2011?

Tips zijn welkom

De RB3011 is inderdaad nog niet beschikbaar. Maar komt dat wel binnenkort.
De prestaties zouden volgens mikrotik 2x zo snel moeten zijn als een RB2011.
Hier van uit gaande moet hij 700/700 aan kunnen(met fasttrack).

Daarnaast is het mogelijk om een eigen wifi kaart te plaatsen in de RB3011 waardoor je zelf kunt bepalen of je 2,4ghz gebruikt of 5ghz.
Dualband kaarten zijn er nog niet van mikrotik. Maar het zou mij niet verbazen als deze zeer binnenkort komen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 7 oktober 2015 20:25

Acties:

0 Henk 'm!

Fairy

13kWp

Verwijderd schreef op maandag 07 september 2015 @ 12:14:
Gister de glasvezelverbinding werkend gekregen over de SFP op een RB2011.

Kun je me vertellen welke SFP je precies gebruikt? Ik heb ook een glasverbinding maar de connector is een enkele vezel. Bijna alle SFP's hebben een losse up/down vezel... Volgens mij moet ik een WDM module hebben..... Maar die zijn er ook in vele verschillende soorten. Ik gok dat ik de 'blauwe' moet hebben, maar een exact typenummer zou heel fijn zijn als je die aan me kunt doorgeven

Ik wil binnenkort de RB3011 aanschaffen zodra deze uitkomt (of als dat te lang duurt de RB850gx2) en meteen het glas in de router te brengen.

[ Voor 17% gewijzigd door Fairy op 07-10-2015 20:31 ]

woensdag 7 oktober 2015 20:37

Acties:

0 Henk 'm!

Verwijderd

ja kan twee IP ranges definiëren. Bv. 192.168.xxxx voor jou, en 172.1.1.xxxx voor buurman. Hij krijgt ook een gateway in de 172 serie, dus kan hij nooit op jouw LAN komen. Even twee a drie regeltjes in de firewall, en zelfs met L2 (MAC toegang) kom je er niet in.

Geen gedoe met VLAN's etc....

woensdag 7 oktober 2015 22:40

Acties:

0 Henk 'm!

Verwijderd

Fairy schreef op woensdag 07 oktober 2015 @ 20:25:
[...]

Kun je me vertellen welke SFP je precies gebruikt? Ik heb ook een glasverbinding maar de connector is een enkele vezel. Bijna alle SFP's hebben een losse up/down vezel... Volgens mij moet ik een WDM module hebben..... Maar die zijn er ook in vele verschillende soorten. Ik gok dat ik de 'blauwe' moet hebben, maar een exact typenummer zou heel fijn zijn als je die aan me kunt doorgeven

Ik wil binnenkort de RB3011 aanschaffen zodra deze uitkomt (of als dat te lang duurt de RB850gx2) en meteen het glas in de router te brengen.

Het ligt er natuurlijk aan welke provider je hebt vanwege de golflengte. Ga dus niet blind af op mijn voorbeeld.

Ik heb deze gekocht bij interprojekt.pl

https://www.interprojekt....e-20km-tx1310-p-1350.html

donderdag 8 oktober 2015 00:18

Acties:

0 Henk 'm!

_-= Erikje =-_

Verwijderd schreef op woensdag 07 oktober 2015 @ 20:37:
ja kan twee IP ranges definiëren. Bv. 192.168.xxxx voor jou, en 172.1.1.xxxx voor buurman. Hij krijgt ook een gateway in de 172 serie, dus kan hij nooit op jouw LAN komen. Even twee a drie regeltjes in de firewall, en zelfs met L2 (MAC toegang) kom je er niet in.

Geen gedoe met VLAN's etc....

ehm juist wel VLANs dus, anders kan hij gewoon een IP uit jouw reeks instellen en zit hij alsnog gewoon in hetzelfde (l3) netwerk

donderdag 8 oktober 2015 11:41

Acties:

0 Henk 'm!

Fairy

13kWp

Verwijderd schreef op woensdag 07 oktober 2015 @ 22:40:
[...]

Het ligt er natuurlijk aan welke provider je hebt vanwege de golflengte. Ga dus niet blind af op mijn voorbeeld.

Ik heb deze gekocht bij interprojekt.pl

https://www.interprojekt....e-20km-tx1310-p-1350.html

Mijn FTU grondplaat is een UFTU-S1S2-N3-2-NL38 . Hierop heeft eerst Lijbrandt gezeten met een Genexis. Daarna is dit een 'KPN' constructie geworden. Hij is dus ook sowieso 1gbit of 1,25 gbit.

Connector die er inzit heeft een blauwe rand. Het stekkertje lijkt 't meest op een optische toslink qua vormgeving.

Zoals ik het zie moet ik dus een SC/SC koppelstuk hebben en daarop een SC kabel aansluiten die naar de SFP gaat. Echter de SFP heeft weer een andere connector toch?

Ik wil namelijk niet de FTU uit elkaar halen. Deze is dacht ik ook verzegeld, maar de vezel is zo dun, die wil je niet buiten het kastje hebben bungelen, daarvoor heb ik liever een stevige patchkabel.

Op 't werk hebben we alleen maar dubbele aansluitingen (gescheiden up/down), niet van deze soort dus mijn kennis van deze connectoren en SFP's is wat minder.

[ Voor 18% gewijzigd door Fairy op 08-10-2015 11:45 ]

donderdag 8 oktober 2015 12:40

Acties:

0 Henk 'm!

chaoscontrol

Dus in plaats van:
Glas - Converter - UTP
heb je liever:
Glas - Koppelstuk - Ander glas - SFP

Wat schiet je daarmee op behalve dat je je SFP slot kan gebruiken? Tenzij je net 1 LAN poort te kort komt zie ik het nut niet zo.

Inventaris - Koop mijn meuk!

donderdag 8 oktober 2015 21:03

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

_-= Erikje =-_ schreef op donderdag 08 oktober 2015 @ 00:18:
ehm juist wel VLANs dus, anders kan hij gewoon een IP uit jouw reeks instellen en zit hij alsnog gewoon in hetzelfde (l3) netwerk

Uplink van buren en eigenaar hoeven niet over 1 lijntje, dus je hebt geen VLANs nodig. Bij veel veel switches kun je er misschien niet omheen om toch VLANs in te stellen, bij MikroTik beheer je de switch groups zelf, dus is het een kwestie van aparte switch groups aanmaken (concreter: beide downlinks als master port configureren).

En dan nog los je het probleem enkel op L2 op (net als VLANs dat zouden doen). Je zult toch echt wat moeten firewallen om ongewenst verkeer tegen te gaan (of netter: een default DROP policy op je chains).

Volgens mij zijn er nog wat handige bouwstenen om zoiets 'secure' te realiseren. Reverse path filtering bijvoorbeeld, of een reply-only ARP policy..

donderdag 8 oktober 2015 22:32

Acties:

0 Henk 'm!

Verwijderd

Fairy schreef op donderdag 08 oktober 2015 @ 11:41:
[...]

Mijn FTU grondplaat is een UFTU-S1S2-N3-2-NL38 . Hierop heeft eerst Lijbrandt gezeten met een Genexis. Daarna is dit een 'KPN' constructie geworden. Hij is dus ook sowieso 1gbit of 1,25 gbit.

Connector die er inzit heeft een blauwe rand. Het stekkertje lijkt 't meest op een optische toslink qua vormgeving.

Zoals ik het zie moet ik dus een SC/SC koppelstuk hebben en daarop een SC kabel aansluiten die naar de SFP gaat. Echter de SFP heeft weer een andere connector toch?

Ik wil namelijk niet de FTU uit elkaar halen. Deze is dacht ik ook verzegeld, maar de vezel is zo dun, die wil je niet buiten het kastje hebben bungelen, daarvoor heb ik liever een stevige patchkabel.

Op 't werk hebben we alleen maar dubbele aansluitingen (gescheiden up/down), niet van deze soort dus mijn kennis van deze connectoren en SFP's is wat minder.

ik heb op basis van de sfp die in mijn modem zat van Vodafone die gene gekocht van de link. Dit geldt alleen bij Vodafone zover ik weet. Er kunnen meerdere typen sfp's in de mikrotik. Welke jij moet hebben,.. daar heb ik helaas niet genoeg van op de hoogte. Kun je niet op basis van de hardware die je nu hebt opmaken wat het moet zijn?

donderdag 8 oktober 2015 23:00

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Ik krijg helaas mijn L2TP w/ ipsec niet aan de praat. Ik maak gebruik van de default Android VPN client. Ik blijf hangen op onderstaande melding(en):

code:

1
2
3

806 Oct/08/2015 22:43:01    memory  ipsec, error    key length mismatched, mine:128 peer:256.   
807 Oct/08/2015 22:43:01    memory  ipsec, error    key length mismatched, mine:192 peer:256.   
808 Oct/08/2015 22:43:02    memory  l2tp, info  first L2TP UDP packet received from 192.168.88.199

Ik kom op internet 1 vergelijkbare melding tegen, en dat was in een firmware upgrade notice melding op het forum. Echter, wanneer ik vanaf een W7 machine verbind maak werkt dit wel goed:

code:

1 2	814 Oct/08/2015 22:56:53 memory l2tp, info first L2TP UDP packet received from 192.168.88.200 815 Oct/08/2015 22:56:53 memory l2tp, ppp, info, account Richard logged in, 192.168.88.152

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 8 oktober 2015 23:08

Acties:

0 Henk 'm!

DJSmiley

Verwijderd schreef op donderdag 08 oktober 2015 @ 22:32:
[...]

ik heb op basis van de sfp die in mijn modem zat van Vodafone die gene gekocht van de link. Dit geldt alleen bij Vodafone zover ik weet. Er kunnen meerdere typen sfp's in de mikrotik. Welke jij moet hebben,.. daar heb ik helaas niet genoeg van op de hoogte. Kun je niet op basis van de hardware die je nu hebt opmaken wat het moet zijn?

KPN gebruikt afaik overal 1550/1310 optics.
Een standaard 1000Base-BX optic moet prima werken. 10 of 20km maakt niet uit kwa optic, dat zal beide werken. Belangrijk is wel dat je de juiste kant kiest: Aan de klant zijde dus 1550RX, 1310TX. Idd, zoals gezegd, de 'blauwe' kant (de andere kant is vaak paars). Met een SC/PC koppelblokje kun je dat idd koppelen op je NTU.
De SFP kan zowel SC/PC (wat ook op je NTU zit) als LC/PC zijn, mits je maar de juiste kabel neemt.

Mocht je nog in 'oude' gebieden zitten, of een oudere aansluiting hebben, dan kan het zijn dat je nog op een 100Mbit poortje zit. Dan heb je een andere optic nodig (En ik weet niet of de Mikrotik op de SFP poort ook 100Mbit ondersteunt)

De vraag is alleen wat de meerwaarde is. Zelf met koppelblokjes aan je NT klooien is leuk maar als je geen ervaring hebt met glas niet verstandig. Reggefiber zal het niet leuk vinden als je dat sloopt (lees: rekening sturen)

Ook loop je nog de kans dat je ISP (misschien in de toekomst) wat gaat doen met security, bv poort uit als er geen CPE gezien wordt. Je maakt t jezelf onnodig moeilijk gok ik.

Als je het perse wel wilt doen, dan kun je ook een simpele MC901 erop klikken. Dat is ervoor bedoeld (voor op de UFTU) en is gewoon een domme mediaconverter (glas in, koper uit). Dan kun je met koper alles naar je Mikrotikje doen. Houd je wel het risico dat je ISP wat wijzigd, maar hoef je niet te klooien met koppelstukjes, kabels en optics.

Tenzij je een specifieke reden hebt zou ik er in normale situaties niet aan beginnen.

vrijdag 9 oktober 2015 00:20

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

The Executer schreef op donderdag 08 oktober 2015 @ 23:00:
Ik krijg helaas mijn L2TP w/ ipsec niet aan de praat. Ik maak gebruik van de default Android VPN client. Ik blijf hangen op onderstaande melding(en):
code:
1
2
3
806 Oct/08/2015 22:43:01    memory  ipsec, error    key length mismatched, mine:128 peer:256.   
807 Oct/08/2015 22:43:01    memory  ipsec, error    key length mismatched, mine:192 peer:256.   
808 Oct/08/2015 22:43:02    memory  l2tp, info  first L2TP UDP packet received from 192.168.88.199

Er mist wat cruciale info. Namelijk hoe je IPSec geconfigureerd hebt. Config snippets, config snippets..

Maar de error lijkt me een redelijke hint geven; welke ciphers heb je enabled? Is AES-256 enabled? Of zet AES-128/192 eens uit?

En dan is er nog de optie in het logging-menu om debug output van ipsec te krijgen..

vrijdag 9 oktober 2015 07:21

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Ik heb L2TP ingesteld via Winbox. Hier zat een optie bij om IPSec aan te vinken en een secret op te geven. Verder heb ik aan de config niets veranderd.

Hierbij de L2TP config:

code:

 1 * name="default-encryption" local-address=192.168.88.1 remote-address=dhcp
     remote-ipv6-prefix-pool=*0 use-ipv6=no use-mpls=default
     use-compression=default use-encryption=yes only-one=default
     change-tcp-mss=yes address-list="" dns-server=192.168.88.1

Secret:

code:

1 2	0 name="name" service=any caller-id="" password="vpnpassword" profile=default-encryption routes="" limit-bytes-in=0 limit-bytes-out=0

IPSec:

code:

 0  D address=::/0 local-address=:: passive=yes port=500
      auth-method=pre-shared-key secret="supersecret ;)"
      generate-policy=port-strict policy-template-group=default
      exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes
      hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256
      dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

Ik heb zojuist aes-128 & aes-192 uitgezet, ik krijg nu niet meer de error zoals hierboven. Tevens nog geprobeerd met MD5 ipv SHA-1, maar mijn telefoon blijkt SHA-1 te gebruiken dus deze weer ingeschakeld.

Debug log:

code:

echo: ipsec,debug,packet HASH computed:
echo: ipsec,debug,packet 86951691 8ed06976 dd2f0ae3 53d6cd20 8ee4afe9
echo: ipsec,debug,packet hash validated.
echo: ipsec,debug,packet begin.
echo: ipsec,debug,packet seen nptype=8(hash)
echo: ipsec,debug,packet seen nptype=11(notify)
echo: ipsec,debug,packet succeed.
echo: ipsec,debug purging spi=226315801.
echo: ipsec,debug,packet an undead schedule has been deleted.
echo: ipsec,debug purging spi=37039149.
echo: ipsec,debug pfkey DELETE received: ESP xxx.xxx.xxx.xxx[500]->192.168.88.199[500] spi=226315801(0xd7d4e19)
echo: ipsec,debug pfkey DELETE received: ESP 192.168.88.199[500]->xxx.xxx.xxx.xxx[500] spi=37039149(0x2352c2d)
[admin@MikroTik] >
  (369 messages discarded)
echo: ipsec,debug,packet 2cd53041 37610d1e 960e1390 15efd8ff 1bd89a5d b8b8e725 93ad0653 a30794fd
echo: ipsec,debug,packet 0e1a3a66 3c61e527 f85adf71 24f30287
echo: ipsec,debug,packet KEYMAT computed.
echo: ipsec,debug,packet call pk_sendupdate
echo: ipsec,debug,packet encryption(aes-cbc)
echo: ipsec,debug,packet hmac(sha1)
echo: ipsec,debug,packet call pfkey_send_update_nat
echo: ipsec,debug,packet pfkey update sent.
echo: ipsec,debug,packet encryption(aes-cbc)
echo: ipsec,debug,packet hmac(sha1)
echo: ipsec,debug,packet call pfkey_send_add_nat
echo: ipsec,debug,packet pfkey add sent.
[admin@MikroTik] >
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet ee0843e2 323309f4 9e0b89e9 910f5c8b 08100501 e3aa48af 0000005c c04456db
echo: ipsec,debug,packet 7965b645 df0e322e 201c48b0 85f38991 a5d03f14 3dc4ad32 2bce907c 618deb26
echo: ipsec,debug,packet a239252f 4d3e13ab 379531b1 93e17fe7 2769bec6 ed77df8d 7fb98eb1
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet ee0843e2 323309f4 9e0b89e9 910f5c8b 08100501 e7e57172 0000005c ae0d34a7
echo: ipsec,debug,packet c4baaab8 d1f24acd 93454774 17a1e5b6 fb1a02ca 3534f884 c162bd41 f66d89e5
echo: ipsec,debug,packet fa676911 a75eaebe f0e6e19e f6bb6daa 504d48a9 51024d74 e2293d2e
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet ee0843e2 323309f4 9e0b89e9 910f5c8b 08100501 97c83946 0000005c 8552951c
echo: ipsec,debug,packet 03ade742 af817094 626e538b fdf4100d 38037a4f ff1708d0 8969e52e 914867c9
echo: ipsec,debug,packet cc9242b2 6421be3f d5db390a 93b7634a 78072126 f4536d13 5ad009b8
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet ee0843e2 323309f4 9e0b89e9 910f5c8b 08100501 ca792de9 0000005c 04806368
echo: ipsec,debug,packet 1185aa61 3f4191e8 08244c20 ce00009e e79c2996 9b340a71 f4d8ac79 48604474
echo: ipsec,debug,packet fc851739 4039ed1a 2d268e01 0866b0a2 09b03992 0baae436 c8b299c6
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet 3f68df50 cbeadb8e b391c47e c1f581b7 08100501 8df5260b 0000005c a017cba1
echo: ipsec,debug,packet 18ccc16a cfcb0e78 93ad67b0 26c44ccb 2f214ea9 a428ebfb ee87ff58 92188821
echo: ipsec,debug,packet 2f913cd3 39456747 e4105302 f2223fb4 6a1f321a 290d3cc4 9a797f7d
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet ee0843e2 323309f4 9e0b89e9 910f5c8b 08100501 b5a8d16b 0000005c cea82e60
echo: ipsec,debug,packet 26773cc0 1580112e 57bdcd36 b38afd18 966e1578 41f21853 dcc310f0 f6c9670e
echo: ipsec,debug,packet e12eb72a def8120a d7c75714 2f2555e0 577461ce 4d93d5e3 e505dde5
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet 3f68df50 cbeadb8e b391c47e c1f581b7 08100501 f41e4faf 0000005c 48d5351a
echo: ipsec,debug,packet 577c274c bc6d745e ec818ca2 e647f6fb 7ea3d297 ecf51839 628b8ec7 7a7ed4f1
echo: ipsec,debug,packet 7169f1c5 4b24c36c 897a026c 690400b8 463f08d0 53ee9229 fec792ad
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
echo: ipsec,debug,packet DPD monitoring....
echo: ipsec,debug DPD: remote (ISAKMP-SA xxx.xxx.xxx.xxx[500]<=>192.168.88.199[500] spi=ee0843e2323309f4:9e0b89e9910f5c8b) seems to be dead.
echo: ipsec,debug purging ISAKMP-SA xxx.xxx.xxx.xxx[500]<=>192.168.88.199[500] spi=ee0843e2323309f4:9e0b89e9910f5c8b.
[admin@MikroTik] >
echo: ipsec,debug ISAKMP-SA deleted xxx.xxx.xxx.xxx[500]-192.168.88.199[500] spi:ee0843e2323309f4:9e0b89e9910f5c8b
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet 3f68df50 cbeadb8e b391c47e c1f581b7 08100501 b9ae0802 0000005c 4b6793c9
echo: ipsec,debug,packet 3ed19276 751912ac dfe0af92 c527831a 3ad8b67a f41f9101 3de5ac6f 05c01f39
echo: ipsec,debug,packet d28d0490 6baec01d 7d874e50 819d7069 4031fa92 d035d8ee 35dbb4e7
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet 3f68df50 cbeadb8e b391c47e c1f581b7 08100501 c75c93e8 0000005c 7bd2b65c
echo: ipsec,debug,packet e428f186 580370ac b6da6f86 9c690fff 703ca4bb c1f42d77 477dd3bb 83ede6ba
echo: ipsec,debug,packet 14681386 584cd2b5 4508445c e58dcfb2 d5edce22 02f677ad b6160573
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
  (28 messages discarded)
echo: ipsec,debug,packet sockname xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet from xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet send packet to 192.168.88.199[500]
echo: ipsec,debug,packet src4 xxx.xxx.xxx.xxx[500]
echo: ipsec,debug,packet dst4 192.168.88.199[500]
echo: ipsec,debug,packet 1 times of 92 bytes message will be sent to 192.168.88.199[500]
echo: ipsec,debug,packet 3f68df50 cbeadb8e b391c47e c1f581b7 08100501 e1a41488 0000005c 76a64c30
echo: ipsec,debug,packet 3c955339 b1f32e28 b92bedd3 6ed3d43d 94aa954f 6fa88578 81e916d9 8997917b
echo: ipsec,debug,packet 3c1b5f06 dd13dc92 8e25a3d4 b75337ef 7410c6ad 9f2c73bb 7db45836
echo: ipsec,debug,packet sendto Information notify.
echo: ipsec,debug,packet DPD R-U-There sent (0)
echo: ipsec,debug,packet rescheduling send_r_u (5).
[admin@MikroTik] >
echo: ipsec,debug,packet DPD monitoring....
echo: ipsec,debug DPD: remote (ISAKMP-SA xxx.xxx.xxx.xxx[500]<=>192.168.88.199[500] spi=3f68df50cbeadb8e:b391c47ec1f581b7) seems to be dead.
echo: ipsec,debug purging ISAKMP-SA xxx.xxx.xxx.xxx[500]<=>192.168.88.199[500] spi=3f68df50cbeadb8e:b391c47ec1f581b7.
echo: ipsec,debug,packet an undead schedule has been deleted.
echo: ipsec,debug pfkey DELETE received: ESP xxx.xxx.xxx.xxx[500]->192.168.88.199[500] spi=202125875(0xc0c3233)
echo: ipsec,debug pfkey DELETE received: ESP 192.168.88.199[500]->xxx.xxx.xxx.xxx[500] spi=228314164(0xd9bcc34)
[admin@MikroTik] >
echo: ipsec,debug ISAKMP-SA deleted xxx.xxx.xxx.xxx[500]-192.168.88.199[500] spi:3f68df50cbeadb8e:b391c47ec1f581b7

[ Voor 0% gewijzigd door The Executer op 09-10-2015 09:40 . Reden: Extern IP adres gemaskeerd ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 9 oktober 2015 08:31

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

In je logs mis ik een error, maar phase 1 lijkt prima te werken? Dan klopt de peer config, denk ik.

De config die je post onder 'IPSec' is de peer config, maar de foutmelding krijg je in phase 2, dus je moet het ergens onder '/ip ipsec proposal' zoeken..

vrijdag 9 oktober 2015 10:44

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Thralas schreef op vrijdag 09 oktober 2015 @ 08:31:
In je logs mis ik een error, maar phase 1 lijkt prima te werken? Dan klopt de peer config, denk ik.

De config die je post onder 'IPSec' is de peer config, maar de foutmelding krijg je in phase 2, dus je moet het ergens onder '/ip ipsec proposal' zoeken..

Die info heb ik ook nog even uit de router gehaald. Zoals je ziet heb ik de overige opties uitgezet (128 & 192). Ik krijg nu geen foutmelding meer, maar de verbinding wordt nog wel afgekapt.

code:

1	0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=modp1024

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 9 oktober 2015 18:14

Acties:

0 Henk 'm!

The Fatal

ik zal straks mijn config even op zoeken.
Hier werkt L2TP/IPSEC wel.

edit:

code:

1
2
3

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 local-address=192.168.10.1 \
    name="L2TP \"Others\"" remote-address=dhcp_Guest

code:

1
2
3

/ppp secret
add comment=Test disabled=yes name=Test password=TEST profile=\
    "L2TP \"Others\"" service=l2tp

code:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc pfs-group=none
/ip ipsec peer
add enc-algorithm=3des,aes-256 generate-policy=port-override secret=*PASWORD*
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0

code:

/ip firewall filter
add chain=input comment=VPN dst-port=500,1701,4500 in-interface=Gateway-ETH1 \
    protocol=udp
add chain=input in-interface=Gateway-ETH1 protocol=ipsec-esp

[ Voor 85% gewijzigd door The Fatal op 09-10-2015 18:38 ]

vrijdag 9 oktober 2015 18:35

Acties:

0 Henk 'm!

Fairy

13kWp

DJSmiley schreef op donderdag 08 oktober 2015 @ 23:08:
[...]

KPN gebruikt afaik overal 1550/1310 optics.
Een standaard 1000Base-BX optic moet prima werken. 10 of 20km maakt niet uit kwa optic, dat zal beide werken. Belangrijk is wel dat je de juiste kant kiest: Aan de klant zijde dus 1550RX, 1310TX. Idd, zoals gezegd, de 'blauwe' kant (de andere kant is vaak paars). Met een SC/PC koppelblokje kun je dat idd koppelen op je NTU.
De SFP kan zowel SC/PC (wat ook op je NTU zit) als LC/PC zijn, mits je maar de juiste kabel neemt.

Mocht je nog in 'oude' gebieden zitten, of een oudere aansluiting hebben, dan kan het zijn dat je nog op een 100Mbit poortje zit. Dan heb je een andere optic nodig (En ik weet niet of de Mikrotik op de SFP poort ook 100Mbit ondersteunt)

De vraag is alleen wat de meerwaarde is. Zelf met koppelblokjes aan je NT klooien is leuk maar als je geen ervaring hebt met glas niet verstandig. Reggefiber zal het niet leuk vinden als je dat sloopt (lees: rekening sturen)

Ook loop je nog de kans dat je ISP (misschien in de toekomst) wat gaat doen met security, bv poort uit als er geen CPE gezien wordt. Je maakt t jezelf onnodig moeilijk gok ik.

Als je het perse wel wilt doen, dan kun je ook een simpele MC901 erop klikken. Dat is ervoor bedoeld (voor op de UFTU) en is gewoon een domme mediaconverter (glas in, koper uit). Dan kun je met koper alles naar je Mikrotikje doen. Houd je wel het risico dat je ISP wat wijzigd, maar hoef je niet te klooien met koppelstukjes, kabels en optics.

Tenzij je een specifieke reden hebt zou ik er in normale situaties niet aan beginnen.

Top, bedankt voor deze info! Daarmee durf ik het wel aan. Ik heb wel vanuit mijn werk enige ervaring met glas, maar dat is van een hele andere categorie.

De MC901 die je noemt heb ik in principe al (maar dan in het wit). Dat is inderdaad een domme mediaconverter dus het zal technisch waarschijnlijk verwaarloosbaar zijn qua performanceverschil. Die is inderdaad gigabit, aangezien ik een snelheid van 700mbit krijg (don't ask

).

Ik wil daarmee het pad tussen de router en het glas zo kort mogelijk houden. Ik heb daar nu namelijk een managed switch tussen hangen.

Mijn huidige situatie:

Glas > MC901 > Managed switch (VLAN splitsing) > Router

Ik wil dit straks vervangen en dan naar het volgende gaan:

Glas > RB3011

Dat scheelt me meteen een switch en een mediaconverter die constant aan de stroom hangen

In hoeverre ze dit kunnen of willen beveiligen weet ik niet. Ik weet niet of het mogelijk is om op afstand de ene mediaconverter van de andere te onderscheiden. Mediaconverters hebben naar mijn weten geen mac adres en zijn gewoon domme omzetters.

Wat voor mij wel een voordeel is, is dat ik met een RB3011 net een poort kan sparen en dan zou ik zonder extra switch uitkunnen.

vrijdag 9 oktober 2015 19:15

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Fairy schreef op vrijdag 09 oktober 2015 @ 18:35:
Ik weet niet of het mogelijk is om op afstand de ene mediaconverter van de andere te onderscheiden. Mediaconverters hebben naar mijn weten geen mac adres en zijn gewoon domme omzetters.

Inderdaad. Bovendien zet >95% in dit topic z'n routerboard waarschijnlijk in als primaire router, met dus een ander MAC-adres. Geen enkele ISP die daar moeilijk over doet, mits je ze niet lastigvalt met supportvragen..

Wat voor mij wel een voordeel is, is dat ik met een RB3011 net een poort kan sparen en dan zou ik zonder extra switch uitkunnen.

Je kunt er ook een 1000BASE-T-module in prikken he

zaterdag 10 oktober 2015 20:31

Acties:

0 Henk 'm!

Fairy

13kWp

Thralas schreef op vrijdag 09 oktober 2015 @ 19:15:
[...]

Inderdaad. Bovendien zet >95% in dit topic z'n routerboard waarschijnlijk in als primaire router, met dus een ander MAC-adres. Geen enkele ISP die daar moeilijk over doet, mits je ze niet lastigvalt met supportvragen..

[...]

Je kunt er ook een 1000BASE-T-module in prikken he

Klopt, ik heb in plaats van de experiabox ook een managed switch en een router er achter. Dat van die 1000BASE-T module is inderdaad een punt, dat kan ook

zondag 11 oktober 2015 22:12

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Ik heb spijt van mijn aankoop (MikroTik Routerboard RB2011UiAS-2HnD-IN)
ik vind de mikrotik niet stabiel.Op onverklaarbare wijze laden sites als youtube en memebase.com sneller, en zijn sneller compleet geladen via de ziggo wifi dan via de mikrotik

op de ziggo ubee wifi, wordt youtube wordt direct gestart als ik een video aanklik, maar via de Unfi-ap op de mikrotik mag ik 5 a 40 seconden wachten.Op nedelandse sites als tweakers merk ik geen verschil, maar google services zijn traag.

Ik heb een speedtest geprobeerd met de mikrotik+unifi maar ik kan de test niet afronden door timeouts

pauperding, die mikrotik

edit, ja naar een config reset werkt de doel wel weer normaal.

[ Voor 13% gewijzigd door mrc4nl op 11-10-2015 22:48 ]

ora et labora

zondag 11 oktober 2015 22:56

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

En in plaats van uitzoeken wat er nu werkelijk misgaat (Wireshark) of wat zaken uit te sluiten (ethernet ipv. WiFi, Unifi direct aan Ubee of juist zonder Unifi) noem je de RB2011 een pauperding.

Right.

Sorry, maar de kans dat het probleem tussen toetsenbord en computer zit is groter dan dat het aan de hardware ansich ligt.

In other news, de hAP AC staat niet in de Q4 2015 catalogue. De RB3011 wel. Benieuwd wat dat te betekenen heeft voor de releasedate van eerstgenoemde.

zondag 11 oktober 2015 23:01

Acties:

0 Henk 'm!

rohaantje

MikroTik

Thralas schreef op zondag 11 oktober 2015 @ 22:56:
...

In other news, de hAP AC staat niet in de Q4 2015 catalogue. De RB3011 wel. Benieuwd wat dat te betekenen heeft voor de releasedate van eerstgenoemde.

Dat was mij ook al opgevallen inderdaad!!
Ik zit eigenlijk wel een beetje te wachten op deze apparaten.
Ik wil graag de 5ghz band gaan gebruiken.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

maandag 12 oktober 2015 00:29

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Thralas schreef op zondag 11 oktober 2015 @ 22:56:
En in plaats van uitzoeken wat er nu werkelijk misgaat (Wireshark) of wat zaken uit te sluiten (ethernet ipv. WiFi, Unifi direct aan Ubee of juist zonder Unifi) noem je de RB2011 een pauperding.

Right.

Sorry, maar de kans dat het probleem tussen toetsenbord en computer zit is groter dan dat het aan de hardware ansich ligt.

Jaja ik ben de noob, ik weet het. En verdwaald raken al altijd de schuld van de persoon niet de wegwijzers.

Vind het gewoon stom dat een verkeerde config "prima" draait.
te weinig power via POE? droppen we random wat packets of connecties.

ow je hebt drop packets uitstaan bij de firewall config, geen probleem, sommige verbindingen laat ik wel in de wachtrij staan. we laten 9/10 door en die ene heeft dan pech.

ow je wil een sstp vpn server draaien?
prima, maar we houden de wan poort wel gesloten, stel je voor dat iemand van buiten je vpn server kan benaderen.Want documentatie hoe je die op een nette manier sstp openzetop de wan poort hebben we niet. Wel hoe je een sstp server aanmaakt, en port forwarding naar een intern adres is natuurlijk vreemd, dat gaat niet werken, want wat is het externe adres bij dubbele nat?

zodra ik ga rommelen in de firewall config om die sstp toe te laten, gaat het bij mij mis.
fdan werkt sstp wel maar krijg je zulke dingen

Afbeeldingslocatie: http://tweakers.net/ext/f/9z9S6bMSa5q7bCiTslMccC8z/thumb.png

ook èèntje gahad dat het laatste odnerdeel pas na 12 minuten binnenkwam

ora et labora

maandag 12 oktober 2015 02:32

Acties:

0 Henk 'm!

chaoscontrol

mrc4nl schreef op maandag 12 oktober 2015 @ 00:29:
[...]

Jaja ik ben de noob, ik weet het. En verdwaald raken al altijd de schuld van de persoon niet de wegwijzers.

Vind het gewoon stom dat een verkeerde config "prima" draait.
te weinig power via POE? droppen we random wat packets of connecties.

ow je hebt drop packets uitstaan bij de firewall config, geen probleem, sommige verbindingen laat ik wel in de wachtrij staan. we laten 9/10 door en die ene heeft dan pech.

ow je wil een sstp vpn server draaien?
prima, maar we houden de wan poort wel gesloten, stel je voor dat iemand van buiten je vpn server kan benaderen.Want documentatie hoe je die op een nette manier sstp openzetop de wan poort hebben we niet. Wel hoe je een sstp server aanmaakt, en port forwarding naar een intern adres is natuurlijk vreemd, dat gaat niet werken, want wat is het externe adres bij dubbele nat?

zodra ik ga rommelen in de firewall config om die sstp toe te laten, gaat het bij mij mis.
fdan werkt sstp wel maar krijg je zulke dingen
[afbeelding]
ook èèntje gahad dat het laatste odnerdeel pas na 12 minuten binnenkwam

Schrijf een review, gooi hem in V&A en koop een consumenten routertje.

Woei weer een wereld probleem opgelost.

Inventaris - Koop mijn meuk!

maandag 12 oktober 2015 18:26

Acties:

0 Henk 'm!

The Fatal

mrc4nl schreef op maandag 12 oktober 2015 @ 00:29:
[...]

Jaja ik ben de noob, ik weet het. En verdwaald raken al altijd de schuld van de persoon niet de wegwijzers.

Vind het gewoon stom dat een verkeerde config "prima" draait.
te weinig power via POE? droppen we random wat packets of connecties.

ow je hebt drop packets uitstaan bij de firewall config, geen probleem, sommige verbindingen laat ik wel in de wachtrij staan. we laten 9/10 door en die ene heeft dan pech.

ow je wil een sstp vpn server draaien?
prima, maar we houden de wan poort wel gesloten, stel je voor dat iemand van buiten je vpn server kan benaderen.Want documentatie hoe je die op een nette manier sstp openzetop de wan poort hebben we niet. Wel hoe je een sstp server aanmaakt, en port forwarding naar een intern adres is natuurlijk vreemd, dat gaat niet werken, want wat is het externe adres bij dubbele nat?

zodra ik ga rommelen in de firewall config om die sstp toe te laten, gaat het bij mij mis.
fdan werkt sstp wel maar krijg je zulke dingen
[afbeelding]
ook èèntje gahad dat het laatste odnerdeel pas na 12 minuten binnenkwam

heb anders wel interesse

, maar tis geen V&A hier.
Hier draait de 2011 erg degelijk, word alleen gereboot na een update welke ik 2 x per jaar doe ofzo.

[ Voor 4% gewijzigd door The Fatal op 12-10-2015 18:28 ]

dinsdag 13 oktober 2015 01:44

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

The Fatal schreef op maandag 12 oktober 2015 @ 18:26:
[...]

heb anders wel interesse , maar tis geen V&A hier.
Hier draait de 2011 erg degelijk, word alleen gereboot na een update welke ik 2 x per jaar doe ofzo.

stabiliteit is niet de issue, het is het openzetten van poort 443 op de wan.Ik heb het nog eens geprobeerd en ben nu heel zeker van mijn zaak. zodra de poort effectief openzet op de ether1 gateway, en ik de sstp server kan bereiken stoppen google sites met betrouwbaar laden. zoekresultaten blijft een witte pagina, en youtube videos laden traag, of zelfs helemaal niet. zodra ik de regel op disabled zet en f5 druk, is het probleem direct over. en de vpn mogelijkheid ook

ik heb die 443 nodig voor de sstp server. (die op de mikrotik zelf staat) dus

routerboard
dan installeer ik wel sstp om mn windows server

[ Voor 5% gewijzigd door mrc4nl op 13-10-2015 01:46 ]

ora et labora

dinsdag 13 oktober 2015 08:26

Acties:

0 Henk 'm!

allure

Titaan fase 2/3

Heb je onder IP -> Services -> www-ssl op enabled staan?

Misschien veroorzaakt dit je probleem.

dinsdag 13 oktober 2015 20:54

Acties:

0 Henk 'm!

The Fatal

ik heb net bij mij poort 443 even open gezet en nergens last van eigenlijk.

woensdag 14 oktober 2015 08:51

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Laten we het er maar niet meer over hebben, geen idee waarom maar t werkt nu. inc vpn.

ora et labora

woensdag 21 oktober 2015 00:44

Acties:

0 Henk 'm!

Verwijderd

Heb m'n Mikrotik maar weer eens bijgewerkt: RouterOS 6.32.3 is uitgebracht (current branch).

donderdag 12 november 2015 11:15

Acties:

+1 Henk 'm!

digital-IMEI

Zojuist hier ook maar eens geupdate naar 6.33. Ook voor het eerst alle cAP's automatsch geupdate via CAPsMAN, erg fijn om te lezen: $_/-\o_$

code:

10:48:59 caps,info [E4:8D:8C:F1:09:52/14/d990,Join,[E4:8D:8C:F1:09:52]] joined, provides radio(s): E4:8D:8C:F1:09:53 
10:49:00 caps,info [E4:8D:8C:F1:09:52/14/d990,Run,[E4:8D:8C:F1:09:52]] should auto upgrade 
10:49:00 caps,info [E4:8D:8C:F1:09:52/14/d990,Run,[E4:8D:8C:F1:09:52]] ask to upgrade, version 6.33 
10:49:01 caps,info [E4:8D:8C:F1:F1:77/14/a1,Join,[E4:8D:8C:F1:F1:77]] joined, provides radio(s): E4:8D:8C:F1:F1:78 
10:49:01 caps,info [E4:8D:8C:F1:F1:77/14/a1,Run,[E4:8D:8C:F1:F1:77]] should auto upgrade 
10:49:01 caps,info [E4:8D:8C:F1:F1:77/14/a1,Run,[E4:8D:8C:F1:F1:77]] ask to upgrade, version 6.33 
10:49:01 caps,info [E4:8D:8C:F1:30:EC/14/a105,Join,[E4:8D:8C:F1:30:EC]] joined, provides radio(s): E4:8D:8C:F1:30:ED 
10:49:01 caps,info [E4:8D:8C:F1:30:EC/14/a105,Run,[E4:8D:8C:F1:30:EC]] should auto upgrade 
10:49:01 caps,info [E4:8D:8C:F1:30:EC/14/a105,Run,[E4:8D:8C:F1:30:EC]] ask to upgrade, version 6.33 
10:49:02 caps,info [E4:8D:8C:F1:DA:DD/14/40c4,Join,[E4:8D:8C:F1:DA:DD]] joined, provides radio(s): E4:8D:8C:F1:DA:DE 
10:49:02 caps,info [E4:8D:8C:F1:DA:DD/14/40c4,Run,[E4:8D:8C:F1:DA:DD]] should auto upgrade 
10:49:02 caps,info [E4:8D:8C:F1:DA:DD/14/40c4,Run,[E4:8D:8C:F1:DA:DD]] ask to upgrade, version 6.33 
10:49:02 caps,info [E4:8D:8C:F1:30:12/14/aac1,Join,[E4:8D:8C:F1:30:12]] joined, provides radio(s): E4:8D:8C:F1:30:13 
10:49:02 caps,info [E4:8D:8C:F1:30:12/14/aac1,Run,[E4:8D:8C:F1:30:12]] should auto upgrade 
10:49:02 caps,info [E4:8D:8C:F1:30:12/14/aac1,Run,[E4:8D:8C:F1:30:12]] ask to upgrade, version 6.33 
10:49:02 caps,info [E4:8D:8C:F2:C0:32/14/9849,Join,[E4:8D:8C:F2:C0:32]] joined, provides radio(s): E4:8D:8C:F2:C0:33 
10:49:02 caps,info [E4:8D:8C:F2:C0:32/14/9849,Run,[E4:8D:8C:F2:C0:32]] should auto upgrade 
10:49:02 caps,info [E4:8D:8C:F2:C0:32/14/9849,Run,[E4:8D:8C:F2:C0:32]] ask to upgrade, version 6.33 
10:49:02 caps,info [E4:8D:8C:F1:53:D6/14/6426,Join,[E4:8D:8C:F1:53:D6]] joined, provides radio(s): E4:8D:8C:F1:53:D7 
10:49:02 caps,info [E4:8D:8C:F1:53:D6/14/6426,Run,[E4:8D:8C:F1:53:D6]] should auto upgrade 
10:49:02 caps,info [E4:8D:8C:F1:53:D6/14/6426,Run,[E4:8D:8C:F1:53:D6]] ask to upgrade, version 6.33 
10:49:03 caps,info [E4:8D:8C:F1:57:14/14/c06d,Join,[E4:8D:8C:F1:57:14]] joined, provides radio(s): E4:8D:8C:F1:57:15 
10:49:03 caps,info [E4:8D:8C:F1:57:14/14/c06d,Run,[E4:8D:8C:F1:57:14]] should auto upgrade 
10:49:03 caps,info [E4:8D:8C:F1:57:14/14/c06d,Run,[E4:8D:8C:F1:57:14]] ask to upgrade, version 6.33 
10:49:03 caps,info [E4:8D:8C:F1:DA:D7/14/26fe,Join,[E4:8D:8C:F1:DA:D7]] joined, provides radio(s): E4:8D:8C:F1:DA:D8 
10:49:03 caps,info [E4:8D:8C:F1:DA:D7/14/26fe,Run,[E4:8D:8C:F1:DA:D7]] should auto upgrade 
10:49:03 caps,info [E4:8D:8C:F1:DA:D7/14/26fe,Run,[E4:8D:8C:F1:DA:D7]] ask to upgrade, version 6.33 
10:49:03 caps,info [E4:8D:8C:F1:09:5E/14/434f,Join,[E4:8D:8C:F1:09:5E]] joined, provides radio(s): E4:8D:8C:F1:09:5F 
10:49:03 caps,info [E4:8D:8C:F1:09:5E/14/434f,Run,[E4:8D:8C:F1:09:5E]] should auto upgrade 
10:49:03 caps,info [E4:8D:8C:F1:09:5E/14/434f,Run,[E4:8D:8C:F1:09:5E]] ask to upgrade, version 6.33 
10:49:04 caps,info [E4:8D:8C:F1:B4:9E/14/eb32,Join,[E4:8D:8C:F1:B4:9E]] joined, provides radio(s): E4:8D:8C:F1:B4:9F 
10:49:04 caps,info [E4:8D:8C:F1:B4:9E/14/eb32,Run,[E4:8D:8C:F1:B4:9E]] should auto upgrade 
10:49:04 caps,info [E4:8D:8C:F1:B4:9E/14/eb32,Run,[E4:8D:8C:F1:B4:9E]] ask to upgrade, version 6.33 
10:49:04 caps,info [E4:8D:8C:F1:30:DA/14/ee89,Join,[E4:8D:8C:F1:30:DA]] joined, provides radio(s): E4:8D:8C:F1:30:DB 
10:49:04 caps,info [E4:8D:8C:F1:30:DA/14/ee89,Run,[E4:8D:8C:F1:30:DA]] should auto upgrade 
10:49:04 caps,info [E4:8D:8C:F1:30:DA/14/ee89,Run,[E4:8D:8C:F1:30:DA]] ask to upgrade, version 6.33 
10:49:05 caps,info [E4:8D:8C:F1:B3:F4/14/bc68,Join,[E4:8D:8C:F1:B3:F4]] joined, provides radio(s): E4:8D:8C:F1:B3:F5 
10:49:05 caps,info [E4:8D:8C:F1:B3:F4/14/bc68,Run,[E4:8D:8C:F1:B3:F4]] should auto upgrade 
10:49:05 caps,info [E4:8D:8C:F1:B3:F4/14/bc68,Run,[E4:8D:8C:F1:B3:F4]] ask to upgrade, version 6.33 
10:49:05 caps,info [E4:8D:8C:F1:2D:04/14/95b7,Join,[E4:8D:8C:F1:2D:04]] joined, provides radio(s): E4:8D:8C:F1:2D:05 
10:49:05 caps,info [E4:8D:8C:F1:2D:04/14/95b7,Run,[E4:8D:8C:F1:2D:04]] should auto upgrade 
10:49:05 caps,info [E4:8D:8C:F1:2D:04/14/95b7,Run,[E4:8D:8C:F1:2D:04]] ask to upgrade, version 6.33 
10:49:06 caps,info [4C:5E:0C:87:52:73/14/8032,Join,[4C:5E:0C:87:52:73]] joined, provides radio(s): 4C:5E:0C:87:52:74 
10:49:06 caps,info [4C:5E:0C:87:52:73/14/8032,Run,[4C:5E:0C:87:52:73]] should auto upgrade 
10:49:06 caps,info [4C:5E:0C:87:52:73/14/8032,Run,[4C:5E:0C:87:52:73]] ask to upgrade, version 6.33
10:49:52 caps,info [E4:8D:8C:F1:DA:D7/14/26fe,Run,[E4:8D:8C:F1:DA:D7]] upgrade status: rebooting, disconnect 
10:49:53 caps,info [E4:8D:8C:F1:F1:77/14/a1,Run,[E4:8D:8C:F1:F1:77]] upgrade status: rebooting, disconnect 
10:49:55 caps,info [E4:8D:8C:F1:30:EC/14/a105,Run,[E4:8D:8C:F1:30:EC]] upgrade status: rebooting, disconnect 
10:49:56 caps,info [E4:8D:8C:F2:C0:32/14/9849,Run,[E4:8D:8C:F2:C0:32]] upgrade status: rebooting, disconnect 
10:49:57 caps,info [E4:8D:8C:F1:53:D6/14/6426,Run,[E4:8D:8C:F1:53:D6]] upgrade status: rebooting, disconnect 
10:49:57 caps,info [E4:8D:8C:F1:09:52/14/d990,Run,[E4:8D:8C:F1:09:52]] upgrade status: rebooting, disconnect 
10:50:00 caps,info [E4:8D:8C:F1:DA:DD/14/40c4,Run,[E4:8D:8C:F1:DA:DD]] upgrade status: rebooting, disconnect 
10:50:02 caps,info [E4:8D:8C:F1:30:12/14/aac1,Run,[E4:8D:8C:F1:30:12]] upgrade status: rebooting, disconnect 
10:50:03 caps,info [E4:8D:8C:F1:B4:9E/14/eb32,Run,[E4:8D:8C:F1:B4:9E]] upgrade status: rebooting, disconnect 
10:50:06 caps,info [E4:8D:8C:F1:09:5E/14/434f,Run,[E4:8D:8C:F1:09:5E]] upgrade status: rebooting, disconnect 
10:50:07 caps,info [E4:8D:8C:F1:B3:F4/14/bc68,Run,[E4:8D:8C:F1:B3:F4]] upgrade status: rebooting, disconnect 
10:50:08 caps,info [E4:8D:8C:F1:2D:04/14/95b7,Run,[E4:8D:8C:F1:2D:04]] upgrade status: rebooting, disconnect 
10:50:08 caps,info [E4:8D:8C:F1:57:14/14/c06d,Run,[E4:8D:8C:F1:57:14]] upgrade status: rebooting, disconnect 
10:50:09 caps,info [E4:8D:8C:F1:30:DA/14/ee89,Run,[E4:8D:8C:F1:30:DA]] upgrade status: rebooting, disconnect 
10:50:14 caps,info [4C:5E:0C:87:52:73/14/8032,Run,[4C:5E:0C:87:52:73]] upgrade status: rebooting, disconnect 
10:51:40 caps,info [E4:8D:8C:F1:F1:77/14/10b2,Join,[E4:8D:8C:F1:F1:77]] joined, provides radio(s): E4:8D:8C:F1:F1:78 
10:51:41 caps,info [E4:8D:8C:F1:30:EC/14/4c72,Join,[E4:8D:8C:F1:30:EC]] joined, provides radio(s): E4:8D:8C:F1:30:ED 
10:51:44 caps,info [E4:8D:8C:F2:C0:32/14/86bf,Join,[E4:8D:8C:F2:C0:32]] joined, provides radio(s): E4:8D:8C:F2:C0:33 
10:51:46 caps,info [E4:8D:8C:F1:53:D6/14/b120,Join,[E4:8D:8C:F1:53:D6]] joined, provides radio(s): E4:8D:8C:F1:53:D7 
10:51:46 caps,info [E4:8D:8C:F1:DA:D7/14/2ae7,Join,[E4:8D:8C:F1:DA:D7]] joined, provides radio(s): E4:8D:8C:F1:DA:D8 
10:51:47 caps,info [E4:8D:8C:F1:B4:9E/14/63d4,Join,[E4:8D:8C:F1:B4:9E]] joined, provides radio(s): E4:8D:8C:F1:B4:9F 
10:51:47 caps,info [E4:8D:8C:F1:09:52/14/8e90,Join,[E4:8D:8C:F1:09:52]] joined, provides radio(s): E4:8D:8C:F1:09:53 
10:51:52 caps,info [E4:8D:8C:F1:DA:DD/14/7781,Join,[E4:8D:8C:F1:DA:DD]] joined, provides radio(s): E4:8D:8C:F1:DA:DE 
10:51:52 caps,info [E4:8D:8C:F1:30:12/14/bf2c,Join,[E4:8D:8C:F1:30:12]] joined, provides radio(s): E4:8D:8C:F1:30:13 
10:51:56 caps,info [E4:8D:8C:F1:57:14/14/a600,Join,[E4:8D:8C:F1:57:14]] joined, provides radio(s): E4:8D:8C:F1:57:15 
10:51:57 caps,info [4C:5E:0C:87:52:73/14/c707,Join,[4C:5E:0C:87:52:73]] joined, provides radio(s): 4C:5E:0C:87:52:74 
10:51:59 caps,info [E4:8D:8C:F1:2D:04/14/3ed0,Join,[E4:8D:8C:F1:2D:04]] joined, provides radio(s): E4:8D:8C:F1:2D:05 
10:52:00 caps,info [E4:8D:8C:F1:09:5E/14/8116,Join,[E4:8D:8C:F1:09:5E]] joined, provides radio(s): E4:8D:8C:F1:09:5F 
10:52:06 caps,info [E4:8D:8C:F1:30:DA/14/c0e5,Join,[E4:8D:8C:F1:30:DA]] joined, provides radio(s): E4:8D:8C:F1:30:DB 
10:52:20 caps,info [E4:8D:8C:F1:B3:F4/14/d2f1,Join,[E4:8D:8C:F1:B3:F4]] joined, provides radio(s): E4:8D:8C:F1:B3:F5

Zijn hier overigens al mensen die ervaring hebben met de RBwAP2nD?

Uit ervaring weet ik dat Mikrotik helaas niet per definitie "zomaar" via PoE werkt.
De cAP krijg ik bijvoorbeeld wel werkend via een HP 1910 PoE switch maar niet via een Netgear Prosafe M4100-D10 PoE.
De mAP weigert alle dienst op beide switches maar werkt wel weer wanneer je deze op een ander mAP (eth2 PoE out) aansluit....

Ik ga komende maand een locatie voorzien van nieuwe aparatuur maar door de plaatsing is de cAP niet ideaal (boven een systeem plafond) en zolang ik de mAP niet via een PoE switch kan voeden ga ik die niet groot inzetten, de wAP zou dan een goed alternatief zijn.

PoE injectors gebruiken vind ik geen optie ivm betrouwbaarheid, onderhoud en beheersbaarheid.

donderdag 12 november 2015 12:08

Acties:

+1 Henk 'm!

rohaantje

MikroTik

Sjengcity schreef op donderdag 12 november 2015 @ 11:15:
Zojuist hier ook maar eens geupdate naar 6.33. Ook voor het eerst alle cAP's automatsch geupdate via CAPsMAN, erg fijn om te lezen: $_/-\o_$

...

Ideaal de automatische update functie. Ik gebruik het zelf ook. Enigste probleem wat ik nog heb is dat ik de files voor mijn hAP's(smips) appart moet downloaden. Dit omdat mijn RB2011 een mipsbe is.

Wat ik jammer vindt is dat RB's zonder wlan hier niet direct gebruik van kunnen maken. Tenzij je een vAP maakt en die aan de CapsMan toewijst.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 12 november 2015 12:48

Acties:

0 Henk 'm!

Hoteldebotel

Ben benieuwd wanneer de Mikrotik hAP AC op de markt wordt gebracht. Zit er al een tijdje op te wachten omdat ik nu geen AC wireless heb thuis. Als het nog veel langer duurt moet ik misschien naar Ubiquiti gaan kijken..

donderdag 12 november 2015 13:10

Acties:

0 Henk 'm!

chaoscontrol

rohaantje schreef op donderdag 12 november 2015 @ 12:08:
[...]

Ideaal de automatische update functie. Ik gebruik het zelf ook. Enigste probleem wat ik nog heb is dat ik de files voor mijn hAP's(smips) appart moet downloaden. Dit omdat mijn RB2011 een mipsbe is.

Wat ik jammer vindt is dat RB's zonder wlan hier niet direct gebruik van kunnen maken. Tenzij je een vAP maakt en die aan de CapsMan toewijst..

Ooh wat slim! Dat ga ik ook even stelen doen.

Inventaris - Koop mijn meuk!

donderdag 12 november 2015 15:17

Acties:

0 Henk 'm!

digital-IMEI

rohaantje schreef op donderdag 12 november 2015 @ 12:08:
[...]
Ideaal de automatische update functie. Ik gebruik het zelf ook. Enigste probleem wat ik nog heb is dat ik de files voor mijn hAP's(smips) appart moet downloaden. Dit omdat mijn RB2011 een mipsbe is.

Wat ik jammer vindt is dat RB's zonder wlan hier niet direct gebruik van kunnen maken. Tenzij je een vAP maakt en die aan de CapsMan toewijst.

Ik ben er nog niet achter hoe je de files van een RB2011 direct kunt doorzetten naar in mijn geval m`n cAP's. Ik moest ze ook handmatig downloaden en klaar zetten.

Interessante gedachte om non-wlan RB's te voorzien van vAP's en die aan een CAPsMAN te koppelen, op deze manier zou ik 50+ RB's in 1x kunnen updaten

donderdag 19 november 2015 17:23

Acties:

0 Henk 'm!

digital-IMEI

Vandaag op de gok 18x RBwAP2nD's binnen gekregen.

Om m`n eigen vraag voor iedereen zijn informatie te beantwoorden: de wAP's werken (eindelijk!) zonder problemen op PoE switches.

Getest met een HP 1910 PoE en Netgear Prosafe M4100-D10 switch.

Mijn ervaring is dus:
mAP: Alleen op PoE out op andere mAP's, niet op PoE switches en ook niet op de PoE out van een RB2011
cAP: Wel op de HP switch, niet de op Netgear. wel op de PoE out van de mAP
wAP: Zowel op de HP als de Netgear switch als de PoE out van de mAP

vrijdag 27 november 2015 19:17

Acties:

0 Henk 'm!

Keiichi

Hoe vlot zijn mikrotik routers met openvpn? Ik vind her en der wel wat oudere benchmarks, dus echt veel heb ik er niet aan.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

vrijdag 27 november 2015 23:45

Acties:

0 Henk 'm!

Thralas

MikroTik
Wifi

Keiichi schreef op vrijdag 27 november 2015 @ 19:17:
Hoe vlot zijn mikrotik routers met openvpn? Ik vind her en der wel wat oudere benchmarks, dus echt veel heb ik er niet aan.

Hoe vlot is een x86-PC met OpenVPN?

Welke routers? Welke ciphersuites?

Om toch maar een gooi te doen: als het geen CCR of 1100AHx2 (oud!) is zou ik niet meer dan 10-20 Mbit/s verwachten met de gunstigste cipher suite.

De enige andere positieve uitzondering die ik kan bedenken is de RB850Gx2; hiervan hebben recente modellen AES acceleration. Benchmarks mag je er zelf bijzoeken.

woensdag 2 december 2015 19:44

Acties:

0 Henk 'm!

rohaantje

MikroTik

Ik ben uit nieuwschierigheid is met IPv6 aan de gang gegaan via Hurricane Electric.
Ik heb een /64 ip-range aangevraagd. En met de settings die op hun website staan ingesteld.
Nu krijg ik het niet voor elkaar om de route van de /64 range naar de gateway op gang te krijgen.
Zijn er mensen die dit al eens gedaan hebben??

Het ip van HE is te pingen vanaf mijn gateway extern IP.
Het lokale ip van mijn gateway is te pingen vanaf mijn host.
Maar er is geen route vanaf het lokale ip naar het externe ip.
Terwijl deze wel is aangemaakt in de settings.

(de firewall is niet van invloed)

Dit zijn de settings die ik gebruikt:

code:

/interface 6to4
add comment="Hurricane Electric IPv6 Tunnel Broker" !keepalive local-address=80.XX.XX.XX mtu=1480 name=sit1 remote-address=216.XX.XX.XX

/ipv6 address
add address=2001:470:XX4:5aa::2 interface=sit1
add address=2001:470:XX5:5a9:4e5e:cff:fe65:5478 eui-64=yes interface=bridge-XXXX

/ipv6 firewall filter
add chain=input comment="Allow established connections" connection-state=established
add chain=input comment="Allow related connections" connection-state=related
add chain=input comment="Allow limited ICMP" limit=50/5s,5 protocol=icmpv6
add chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward

/ipv6 route
add distance=1 gateway=2001:470:XX4:5aa::1

[ Voor 6% gewijzigd door rohaantje op 02-12-2015 20:16 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 2 december 2015 21:24

Acties:

0 Henk 'm!

Verwijderd

Heren, ik heb een probleem.

Op mijn RB 2011 zijn twee DHCP ranges gedefineerd. De eerste zit op bridge 1 (eth 2 t/m 5) en de tweede op bridge 2 (eth6 t/m 10). De tweede range werkt feilloos (is ook voor de WiFi clients). De eerste geeft een probleem, waarbij ALLE type bedrade PC's een "client has rejected the IP address". Dus maakt niet uit of het een PC is, of een MAC, als deze via LAN wordt aangesloten, rejecten ze allemaal een voorgestelde IP. De mikrotik gaat dan op zijn beurt de volgende IP uit de pool haeln en uitdelen. 3 seconden later, een reject. etc.... En het stopt dus niet.

Ik heb logging aangezet op de DHCp en je ziet keurig een broadcast van de PC, een IP wordt offered, met netmask, en gateway en DNS. De PC stuurt een ack terug, , en daarna een Msg-type: = decline.
En er komt een log entry te staan dat client A4:D6xxxx declines IP adrress 192.168....
En het riedeltje begint opnieuw.

Wat is hier aan de hand? Sinds wanneer besluiten de PC's om geen IP adressen te accepteren? Ook een MacbookPro en de netwerkprinter doen dit.

Hieronder een voorbeeld

nov/29 11:38:16 dhcp,debug,packet DHCP-Local-LAN sending offer with id 2749550326 to 55.255.255.255
nov/29 11:38:16 dhcp,debug,packet flags = broadcast
nov/29 11:38:16 dhcp,debug,packet ciaddr = 0.0.0.0
nov/29 11:38:16 dhcp,debug,packet yiaddr = 192.168.10.121
nov/29 11:38:16 dhcp,debug,packet siaddr = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet chaddr = B8:AC:6F:C7:76:E7
nov/29 11:38:16 dhcp,debug,packet Msg-Type = offer
nov/29 11:38:16 dhcp,debug,packet Server-Id = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet Address-Time = 86400
nov/29 11:38:16 dhcp,debug,packet Subnet-Mask = 255.255.255.0
nov/29 11:38:16 dhcp,debug,packet Router = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet Domain-Server = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet DHCP-Local-LAN received request with id 2749550326 from 0.0.0.0
nov/29 11:38:16 dhcp,debug,packet flags = broadcast
nov/29 11:38:16 dhcp,debug,packet ciaddr = 0.0.0.0
nov/29 11:38:16 dhcp,debug,packet chaddr = B8:AC:6F:C7:76:E7
nov/29 11:38:16 dhcp,debug,packet Msg-Type = request
nov/29 11:38:16 dhcp,debug,packet Client-Id = 01-B8-AC-6F-C7-76-E7
nov/29 11:38:16 dhcp,debug,packet Address-Request = 192.168.10.121
nov/29 11:38:16 dhcp,debug,packet Server-Id = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet Host-Name = "BORG"
nov/29 11:38:16 dhcp,debug,packet Client-FQDN = 00-00-00-42-4F-52-47
nov/29 11:38:16 dhcp,debug,packet Class-Id = "MSFT 5.0"
nov/29 11:38:16 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Rou
ter,Domain-Server,NETBIOS-Name-Server,NETBIOS-Node-Type,NETBIOS-Scope,Router-Discovery,Static-Route,Classless-Route,MS-Classless-Route,Vendor-Specific
nov/29 11:38:16 dhcp,info DHCP-Local-LAN assigned 192.168.10.121 to B8:AC:6F:C7:76:E7
nov/29 11:38:16 dhcp,debug,packet DHCP-Local-LAN sending ack with id 2749550326 to 255.255.255.255
nov/29 11:38:16 dhcp,debug,packet flags = broadcast
nov/29 11:38:16 dhcp,debug,packet ciaddr = 0.0.0.0
nov/29 11:38:16 dhcp,debug,packet yiaddr = 192.168.10.121
nov/29 11:38:16 dhcp,debug,packet siaddr = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet chaddr = B8:AC:6F:C7:76:E7
nov/29 11:38:16 dhcp,debug,packet Msg-Type = ack
nov/29 11:38:16 dhcp,debug,packet Server-Id = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet Address-Time = 86400
nov/29 11:38:16 dhcp,debug,packet Subnet-Mask = 255.255.255.0
nov/29 11:38:16 dhcp,debug,packet Router = 192.168.10.1
nov/29 11:38:16 dhcp,debug,packet Domain-Server = 192.168.10.1
nov/29 11:38:17 dhcp,debug,packet DHCP-Local-LAN received decline with id 2749550326 from 0.0.0.0
nov/29 11:38:17 dhcp,debug,packet flags = broadcast
nov/29 11:38:17 dhcp,debug,packet ciaddr = 192.168.10.121
nov/29 11:38:17 dhcp,debug,packet chaddr = B8:AC:6F:C7:76:E7
nov/29 11:38:17 dhcp,debug,packet Msg-Type = decline
nov/29 11:38:17 dhcp,debug,packet Client-Id = 01-B8-AC-6F-C7-76-E7
nov/29 11:38:17 dhcp,debug,packet Address-Request = 192.168.10.121
nov/29 11:38:17 dhcp,debug,packet Server-Id = 192.168.10.1
nov/29 11:38:17 dhcp,warning DHCP-Local-LAN client B8:AC:6F:C7:76:E7 declines IP address 192.168.10.121

[ Voor 61% gewijzigd door Verwijderd op 02-12-2015 21:32 ]

woensdag 2 december 2015 21:31

Acties:

0 Henk 'm!

rohaantje

MikroTik

kun je een export geven van jou settings??

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 2 december 2015 21:35

Acties:

0 Henk 'm!

Verwijderd

en hier de export van IP settings:

# dec/02/2015 21:34:39 by RouterOS 6.33.1
# software id = ZKKE-INAX
#
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.10.30-192.168.10.100
add name=dhcp_WiFi ranges=172.17.0.2-172.17.0.254
/ip address
add address=192.168.1.252/24 interface=ether1-gateway network=192.168.1.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=172.17.0.1/24 interface=bridge-wifi network=172.17.0.0
add address=172.17.1.1/24 interface=bridge-wifi network=172.17.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1d name=DHCP-Local-LAN
add address-pool=dhcp_WiFi disabled=no interface=bridge-wifi lease-time=30m name=DHCP-WiFi-users
/ip dhcp-server network
add address=172.17.0.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=172.17.0.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=62.179.104.196,213.46.228.196
/ip dns static
add address=192.168.10.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add action=drop chain=forward dst-address=172.17.1.0/24 src-address=172.17.0.0/24
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=input src-address=192.168.10.0/24
add action=drop chain=input comment="default configuration" disabled=yes in-interface=ether1-gateway
add action=drop chain=input src-address=172.17.0.0/24
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=172.17.0.0/24
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip proxy
set cache-path=web-proxy1
/ip route
add distance=1 gateway=192.168.1.254

En de DHCP server instellingen:

[admin@Router 2011 ROK] /ip dhcp-server> print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 DHCP-Local-LAN bridge-local dhcp 1d
1 DHCP-WiFi-users bridge-wifi dhcp_WiFi 30m
[admin@Router 2011 ROK] /ip dhcp-server>

[ Voor 13% gewijzigd door Verwijderd op 02-12-2015 21:37 ]

woensdag 2 december 2015 21:47

Acties:

0 Henk 'm!

rohaantje

MikroTik

add name=dhcp ranges=192.168.10.30-192.168.10.100

nov/29 11:38:16 dhcp,debug,packet Address-Request = 192.168.10.121

Jou ip range is kleiner dan de gevraagde ip adressen.
Dus ik weet niet of je wat in je ranges hebt verandert de laatste tijd.
MAar dan kan het zijn dat je pc vraagt om een adres buiten de reeks

[ Voor 50% gewijzigd door rohaantje op 02-12-2015 21:49 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 2 december 2015 22:47

Acties:

0 Henk 'm!

Verwijderd

ja dat was eerst groter. Ik dacht misschien is het té groot.

Ik heb het nu .10 --> .250 gemaakt. Ik zal eens zondag als ik daar weer ben de laptop eraan hangen. Heb nu de clients rechtstreeks op de UPC modem geplaatst, zodat ze op zijn minst internet hebben.

Dank voor het uitzoeken.

Maar ook toen ik met dezelfde DHCP server een andere pool range had genomen (die van de wifi users, in de 172 serie....) had ik hetzelfde probleem. Maar toen ik de PC in eth 6-10 stak (bij de WiFi AP's), kreeg ik gewoon keurig een IP uit de 172 serie. En dan werkte alles.

Het lijkt erop dat die DHCP server een beetje "gaar" is....

En trouwens, sinds wanneer "vraagt" een client een adres? De PC vraagt dit aan:

DHCP-Local-LAN received request with id 2749550326 from 0.0.0.0

donderdag 3 december 2015 09:39

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 02 december 2015 @ 22:47:
ja dat was eerst groter. Ik dacht misschien is het té groot.

Ik heb het nu .10 --> .250 gemaakt. Ik zal eens zondag als ik daar weer ben de laptop eraan hangen. Heb nu de clients rechtstreeks op de UPC modem geplaatst, zodat ze op zijn minst internet hebben.

Dank voor het uitzoeken.

Maar ook toen ik met dezelfde DHCP server een andere pool range had genomen (die van de wifi users, in de 172 serie....) had ik hetzelfde probleem. Maar toen ik de PC in eth 6-10 stak (bij de WiFi AP's), kreeg ik gewoon keurig een IP uit de 172 serie. En dan werkte alles.

Het lijkt erop dat die DHCP server een beetje "gaar" is....

En trouwens, sinds wanneer "vraagt" een client een adres? De PC vraagt dit aan:

DHCP-Local-LAN received request with id 2749550326 from 0.0.0.0

DHCP request is altijd van toepassing.

donderdag 3 december 2015 11:56

Acties:

0 Henk 'm!

rohaantje

MikroTik

Verwijderd schreef op woensdag 02 december 2015 @ 22:47:
...

En trouwens, sinds wanneer "vraagt" een client een adres? De PC vraagt dit aan:

DHCP-Local-LAN received request with id 2749550326 from 0.0.0.0

Afbeeldingslocatie: https://upload.wikimedia.org/wikipedia/commons/0/0d/DHCPDORA.png

Standaard:
Een pc vraagt op t netwerk "is hier een dhcp??"
DHCP zegt "Ja hier! Dit adres mag jij wel gebruiken"
PC zegt "okee ik gebruik dit adres"
DHCP zegt "okee"

Bekend lan:
Een pc vraagt op t bekende netwerk "is hier een dhcp?? Zo ja ik had dit adres mag ik die weer."
DHCP zegt "Ja hier! Dit adres mag jij wel gebruiken"
PC zegt "okee ik gebruik dit adres"
DHCP zegt "okee"

Check ook even of de ranges van jouw dhcp server en zijn pool matchen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 3 december 2015 12:45

Acties:

0 Henk 'm!

Verwijderd

klopt. Zo gaat dat ook.

Echter, als de PC zegt: "nee, ik weiger jouw IP adres"? Wat dan? Dan gaat de DHCP weer een andere adres geven, en dat gaat zo maar door.

En bij Mikrotik geeft de DHCP server niet de range aan. Deze wordt gedefinieerd in /ip/pool. De pool geef je een naam, en vertel je aan de DHCP server uit welke pool hij de adressen moet halen. Ook de VPN inbel adressen kan je daar uit laten halen, maar deze worden dan door de PPP verbinding eruit gehaald en gebruikt.
En in ip/pool/used addresses zie je welke adressen door wie zijn uitgegeven.

donderdag 3 december 2015 13:43

Acties:

0 Henk 'm!

dovo

In windows wordt een 169.x.x.x adres geconfigureerd als er iets mis loopt/de pc het ip weigert.
En normaal gezien wordt er geen tweede ip adres aan een computer aangeboden, dit om oa. misbruik te voorkomen.

Onderwerpen