:fill(white):strip_exif()/i/2000549950.jpeg?f=thumbmini)
:strip_exif()/i/2005749774.png?f=thumbmini)
:fill(white):strip_exif()/i/2001690973.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000609859.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752202.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000752204.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000549946.jpeg?f=thumbmini)
:strip_exif()/i/2001630061.png?f=thumbmini)
:fill(white):strip_exif()/i/2000550046.jpeg?f=thumbmini)
:strip_exif()/i/2001729163.png?f=thumbmini)
:fill(white):strip_exif()/i/2001894267.jpeg?f=thumbmini)
:strip_exif()/i/2001602173.png?f=thumbmini)
:fill(white):strip_exif()/i/2000627608.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001033897.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001603121.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000897642.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281701.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002281691.jpeg?f=thumbmini)
:strip_exif()/i/2004729478.png?f=thumbmini)
:fill(white):strip_exif()/i/2000549949.jpeg?f=thumbmini)
:strip_exif()/i/2000645685.png?f=thumbmini)
:fill(white):strip_exif()/i/2001344711.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000600066.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1395229077.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1396256832.jpeg?f=thumbmini)
:strip_exif()/i/1395224034.png?f=thumbmini)
Staat zoals hier een screendump van winbox. De rule staat er, hij zegt in tcp settings ook enabled.
Maar volgens het mikrotikforum is de 800 wel supported, maar 850gx2 staat er niet expliciet tussen. Dus daar zou het best door kunnen komen lijkt me?
Maar volgens het mikrotikforum is de 800 wel supported, maar 850gx2 staat er niet expliciet tussen. Dus daar zou het best door kunnen komen lijkt me?
:strip_exif()/u/354857/lah-n8p.gif?f=community)
Veel beter zo, ik heb net de video van de presentatie vandaag over fastpath gekeken en dat maakt een en ander weer een stuk duidelijker.
Ik ontdek net een snelle manier om te zien of je fasttrack wel goed werkt, open in winbox de traffic tab van de 'special dummy rule to show fasttrack counters'. Als je nu speedtest doet op een PC die door de router heen verbinding maakt, dan kan je aan het traffic window zien of er wel of geen verkeer via fasttrack gaat.
Zo zie ik op mijn RB1000 met 6.33.3 bijvoorbeeld dat tijdens de download test er helemaal niets door fasttrack gaat (inkomend van pppoe) maar bij upload juist wel (inkomend van lan).
Dus met 6.35rc12 zou er ook bij download verkeer door fasttrack moeten gaan.
Dat verklaart in ieder geval waarom mijn downloadsnelheid lager is dan de uploadsnelheid
Ik ontdek net een snelle manier om te zien of je fasttrack wel goed werkt, open in winbox de traffic tab van de 'special dummy rule to show fasttrack counters'. Als je nu speedtest doet op een PC die door de router heen verbinding maakt, dan kan je aan het traffic window zien of er wel of geen verkeer via fasttrack gaat.
Zo zie ik op mijn RB1000 met 6.33.3 bijvoorbeeld dat tijdens de download test er helemaal niets door fasttrack gaat (inkomend van pppoe) maar bij upload juist wel (inkomend van lan).
Dus met 6.35rc12 zou er ook bij download verkeer door fasttrack moeten gaan.
Dat verklaart in ieder geval waarom mijn downloadsnelheid lager is dan de uploadsnelheid
Gedaan, inmiddels is dit de mailwisseling voor wie het intressant vindt..:
[...]
Misschien moet je deze screenshot en een supout file naar support@mikrotik.com sturen, ik denk dat ze dit ook wel interessant vinden
Dear Mikrotik,
I'm having this strange thing right now, this just catched my glimps.
Kind regards,
Update 03-03-2016 19:00
Ik zal de mailwisseling bij blijven werken.
[ Voor 28% gewijzigd door hendymen op 03-03-2016 19:11 ]
*kick*
Inmiddels is RouterOS 6.35 uit. Vanavond ga ik dus even updaten
Nu staat er dat de pppoe-client fastpath support heeft. Dit zou betekenen dat de pppoe-client dan minder cpu zou gebruiken. Dat zou dus ook betekenen dat m'n throughput iets zal verbeteren.
Ik heb echter geen idee hoe je dit aan moet zetten. Weet iemand dat toevallig?
Inmiddels is RouterOS 6.35 uit. Vanavond ga ik dus even updaten
Nu staat er dat de pppoe-client fastpath support heeft. Dit zou betekenen dat de pppoe-client dan minder cpu zou gebruiken. Dat zou dus ook betekenen dat m'n throughput iets zal verbeteren.
Ik heb echter geen idee hoe je dit aan moet zetten. Weet iemand dat toevallig?
Je moet deze firewall rules toevoegen.:
*kick*
Inmiddels is RouterOS 6.35 uit. Vanavond ga ik dus even updaten
Nu staat er dat de pppoe-client fastpath support heeft. Dit zou betekenen dat de pppoe-client dan minder cpu zou gebruiken. Dat zou dus ook betekenen dat m'n throughput iets zal verbeteren.
Ik heb echter geen idee hoe je dit aan moet zetten. Weet iemand dat toevallig?
Ik zal vanavond ook ff updaten. Kijken of ik t merk in mijn CPU gebruik.
Als is die niet denderend hoog
code:
1
2
| /ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related /ip firewall filter add chain=forward action=accept connection-state=established,related |
Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!
:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
...oeps, goed punt. Goes to show dat ik me inderdaad nog even verdiepen moet
In ieder geval bedankt allebei - ik pak de masquerade-gerelateerde docs er morgen eens even bij.
De masquerade op zich deed niet veel (verkeer ging gewoon door de standaard gateway) al zou het zomaar kunnen dat als ik die masquerade rule nu zou uitschakelen de NAT naar dat adres ook niet meer zal werken?
Anyway, uiteindelijk wat ik toch wat bang voor de term "experimental" in de release note zoals aangehaald door nescafe, dus heb ik maar dit toegevoegd:
en met routing Mark "Through_VPN" (weet niet zo goed hoe ik dat 'netjes' in de CLI tevoorschijn haal?)
Bedankt voor de hulp heren, het was weer een leerzaam avondje voor me
Anyway, uiteindelijk wat ik toch wat bang voor de term "experimental" in de release note zoals aangehaald door nescafe, dus heb ik maar dit toegevoegd:
code:
1
2
| 2 chain=prerouting action=mark-routing new-routing-mark=Through_VPN passthrough=no
src-address=192.168.88.123 log=no log-prefix="" |
en met routing Mark "Through_VPN" (weet niet zo goed hoe ik dat 'netjes' in de CLI tevoorschijn haal?)
code:
1
2
| # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 AnonVPN Canada ... 1 |
Bedankt voor de hulp heren, het was weer een leerzaam avondje voor me
:strip_icc():strip_exif()/u/28779/avatar.jpg?f=community){kind=avatar}
Sinds de laatste RouterOS versie 6.35 valt het mij op dat het traffic om de 2 a 3 seconden terugvalt naar 0kb/s, op alle interfaces behalve de bridge:
Mogelijk dat dit ook al eerder zo was maar ik het toen niet gezien heb.... het ziet er in ieder geval niet heel normaal uit... weet iemand waar dit door kan komen?
Zo normaal:
en zo om de 3 sec.:
Mogelijk dat dit ook al eerder zo was maar ik het toen niet gezien heb.... het ziet er in ieder geval niet heel normaal uit... weet iemand waar dit door kan komen?
Zo normaal:
en zo om de 3 sec.:
[ Voor 20% gewijzigd door Aesculapius op 16-05-2016 15:13 . Reden: extra plaatjes ]
Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker
Ja, dan mis je wel wat.. In de huidige default config wordt alleen WAN (ether1) geblokkeerd en moet je bijkomende interfaces (VPN, PPPoE) zelf regelen. Als je dat niet gedaan hebt is nieuwe interface niet beveiligd:
- ten aanzien van de input chain zijn je eigen services (WinBox, SSH, DNS) via VPN benaderbaar en ben je vatbaar voor bijv. DNS amplification attacks
- ten aanzien van de forward chain ligt potentieel (indien je VPN-provider traffic naar private reeksen toelaat) je interne netwerk open
E.e.a. is afhankelijk van je specifieke default config en deze wijzigt nog wel eens. Reden te meer om geen aannames te doen en je config goed na te lopen
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
AH oké, nog maar een avondje aan de bak dus
Als ik zolang gewoon de default filter rules dubliceer voor deze verbinding zou ik als het goed is in elk geval zolang veilig moeten zitten lijkt me?
Als ik zolang gewoon de default filter rules dubliceer voor deze verbinding zou ik als het goed is in elk geval zolang veilig moeten zitten lijkt me?
[ Voor 62% gewijzigd door iceheart op 25-04-2016 18:03 ]
Ik had net duplicates van de 'default' DROP rules achterin de INPUT en FORWARD chains gemaakt en de In. Interface gewijzigd naar m'n VPN interface (beiden achterin de respectievelijke chains), dat zou voorlopig de juiste keuze moeten zijn lijkt me?
Wel vreemd dat de default accept rules niet tot één interface beperkt zijn en de DROPs wel.
Zal de boel denk ik vanavond nog even naar jouw suggestie omkatten, is inderdaad wel wat mooier. Mis ik nu nog iets?
Anyway, nogmaals heel erg bedankt, zonder jullie had ik veel meer werk en een joekel van een beveiligingsrisico erbij gehad
Zo goed
Hoewel het in feite geen "default configuration" entry meer is.. 
Ben het met Thralas eens dat een onvoorwaardelijke drop aan het einde van zowel de input als de forward chain beter (veiliger) is. Zet voor de zekerheid even safe mode aan voor je gaat knutselen
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Zo goed, nu zelfs beter::
[...]
Zo goed
Ben het met Thralas eens dat een onvoorwaardelijke drop aan het einde van zowel de input als de forward chain beter (veiliger) is. Zet voor de zekerheid even safe mode aan voor je gaat knutselen
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| [admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""
1 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""
2 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
3 ;;; Definitely not default configuration
chain=input action=drop in-interface=VPN Interface log=no log-prefix=""
4 ;;; default configuration
chain=forward action=accept connection-state=established,related log=no log-prefix=""
5 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""
6 ;;; default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no
log-prefix=""
7 ;;; Definitely not default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat
in-interface=VPN Interface log=no log-prefix="" |
een onvoorwaardelijke drop achterin m'n FORWARD chain nekt op het moment m'n toegang tot externe DNS. alle andere verkeer lijkt gewoon te blijven lopen (allicht, diverse interfaces blijven mbits aan verkeer naar buiten vertonen...). Zoals inmiddels gewoonte in dit topic snap ik er geloof ik weer geen snars van. Hoe dan ook, dit werkt nu en ik zorg volgende keer wel dat ik meteen filter (heb m'n lesje denk ik allicht op dat kleine puntje geleerd
)
[ Voor 0% gewijzigd door iceheart op 26-04-2016 16:46 . Reden: ...auw. ]
Juist wegens het onverwachte gedrag kun je het beste met safe mode gaan klooien.. En als je met MAC Winbox (tabblad Neighbors) verbindt vliegt hij er a) lekker snel uit als je een interface error maakt en b) niet uit als je jezelf in de ipv4-firewall buitensluit.
Ben je bang dat je fouten maakt, maak dan eerst even een backup (of een export). Er zijn ook scripts beschikbaar voor het automatisch (periodiek) maken van een backup naar bijv. mail.
Als je het vermoeden hebt dat bepaalde traffic ten onrechte in je drop rule terecht komt, zet dan even logging aan op deze rule dan kun je vrij gericht nagaan welke eigenschappen deze packets hebben.
offtopic:
Het is definitely
Het is definitely
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
...oeps (spelling) dat doet pijn
Backups maak ik sowieso elke paar minuten (dát routerOS lesje leer je héél snel )
Logging ga ik mee spelen. Wat bedoel je met een interface error?
Op MAC verbinden doe ik geloof ik standaard al overigens (ook dat op de harde manier geleerd)
Backups maak ik sowieso elke paar minuten (dát routerOS lesje leer je héél snel
)Logging ga ik mee spelen. Wat bedoel je met een interface error?
Op MAC verbinden doe ik geloof ik standaard al overigens (ook dat op de harde manier geleerd)
Bijv. bridge-local disablen, vlan tagging in-/uitschakelen, zaken waardoor je de router best wel uit het oog verliest..
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Je kan ook een watchdog activeren en laten pingen naar een ander apparaat in je netwerk.
Dan in safe mode klooien... if fuckup dan reboot ie automatisch
Als je klaar bent safe mode eraf en watchdog disablen
Dan in safe mode klooien... if fuckup dan reboot ie automatisch
Als je klaar bent safe mode eraf en watchdog disablen
logs en watchdog, twee zaken waar ik nog niet bijster veel mee gedaan heb. weer een weekendje spelen op komst zo te zien. Het wordt wel een leerzaam apparaatje zo
:strip_icc():strip_exif()/u/298667/crop564da5f628b8b_cropped.jpeg?f=community)
🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp
🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp
🔋 MG Marvel R Luxury 70kWh | ☀️ 2225Wp oost, 1580Wp zuid, 2225Wp west | 🌡️ Daikin 3,5kW + 3x 2,5kW l/l & Ariston Nuos Split 270L l/w warmtepomp
Dat ben ik helemaal met je eens
, maar ik ontwijk graag scripts die op b.v. poort 22 scannen en vandaar dat ik die poort wil door routeren naar b.v. 9999
/u/201651/beastie_300.png?f=community)
Daar hoef je geen PAT voor de gebruiken, gewoon twee firewall-rules toevoegen in de forward-chain waarmee je established/related toelaat en al de rest inkomend dropt en dan een dstnat-rule die poort 9999 forward naar 22
Somewhere in Texas there's a village missing its idiot.
Het kan zijn dat ik iets mis, niet helemaal begrijp (user error, goed mogelijk ) In de FW van IPv6 kan ik geen optie voor PAT vinden helaas.
) In de FW van IPv6 kan ik geen optie voor PAT vinden helaas.
Ik denk dat we langs elkaar heen praten
Ik weet het principe van IPv6 en het verschil met IPv4, maar wat ik wil is "overal ter wereld" kunnen inloggen op SSH via IPv6 maar dan niet op de standaard poort 22 maar b.v. port 9999. Noem het maar paranoia modus
/u/148921/meteoravatar.png?f=community){kind=avatar}
Je kan je SSH service toch op 9999 laten luisteren? Moet je dan alleen in je SSH config aanpassen en niet je firewall.:
[...]
Ik denk dat we langs elkaar heen praten
Het liefst doe ik het met een PAT regel maar als dat in de MT niet kan dan is dat mijn volgende optie.
Het gold voor elk verkeer dat er overheen ging, van ftp, http tot gewoon rdp verkeer. Maar zojuist zag ik dat er een routerboard firmware upgrade was dus die gedaan (3.33) en RouterOS naar 6.35.2 en waarempel loopt alles nu weer in de pas zoals verwacht.
Alleen nu nog een bandwidth issue op de WAN interface, maar daar sleutel ik eerst wel eens wat aan.
Alleen nu nog een bandwidth issue op de WAN interface, maar daar sleutel ik eerst wel eens wat aan.
Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker
Je WiFi-wachtwoord is nog niet helemaal weggepoetst..:
Is allemaal waar wat je zegt, denk ik. Ik weet er niet zoveel van. Ben echt een totale noob, maar hoop hiet iets te leren. Dit is mijn eerste kennismaking met Mikrotik en heb me nooit met deze zaken bezig gehouden, maar dat had je vast wel al door.
Die 'dual band AP' Quickset-optie doet ook niet helemaal wat ik verwachtte. Blijkbaar verwacht hij toch een echt apart 'upstream' netwerk, terwijl jij 1 groot netwerk wil. Lijkt me desalniettemin het handigste startpunt.
Tenzij je in die port dropdown voor 'none' kunt kiezen...
De handigste route is dan, voor nu:
- Vul onder 'Local Network' de juiste IP-reeks van je LAN in, geef je routerboard het liefst een adres dat niet wordt uitgedeeld door de DHCP server op je router..
- 'DHCP Server' en NAT uitvinken
- Prik het kabeltje richting je router in eth2
Bonustip: als je in Winbox (versie 3!) even op het tabblad 'neighbours' klikt kun je verbinding maken op laag 2 (dubbelklikken op de entry van je router, zodat het MAC-adres in het 'Connect to' veld verschijnt). Dat heeft als voordeel dat je verbinding er niet uitvliegt als je het IP van de router wijzigt (bijvoorbeeld als je met Quickset in de weer bent).
Verwijderd
Ik vrees dat ik een beginners guide nodig ben, om de instellingen te veranderen. Ben op het moment buitengesloten en kom niet meer in de hAP AC. Kan ik hem resetten tot factory defaults en opnieuw beginnen?
Ik wil gewoon een kabel van router naar eth1 ivm POE. En dan via de hAP AC met laptop, telefoon en Ipad op internet en NAS op thuisnetwerk kunnen.
Moet ik dan de DHCP server van de router anders instellen en DHCP en NAT op de hAP AC uitschakelen? De hAP AC een vast IP adres geven?
Moet ik onder Local network op hAP AC nog een IP adres instellen als DHCP en NAT hierop uitgeschakeld zijn?
Krijgen apparaten die via de hAP AC toegang krijgen tot mijn thuisnetwerk een ip addres van de DHCP server op de router?
Wat is de juiste volgorde van instellen om te voorkomen dat ik weer buiten gesloten raak?
Ik heb ook de instelling onder de buttons aan de zijkant van het scherm bekijken en raakte hierdoor een beetje overdondert/
Sorry hoor! Alvast bedankt voor alle hulp! Ik ga dit nog wel leuk vinden als ik het een beetje ga snappen.
En dan wil ik later ook nog een MT router. Hebben jullie suggesties? RB3011 1100AHX2? CRR of CRS series?
Resetten van de hAP AC is gelukt!
Winbox liet de volgende default config van de hAP AC zien
[ Voor 3% gewijzigd door Verwijderd op 17-05-2016 12:21 ]
Hoop vragen maar voor wat je wilt is de richting die Thralas schetst voor jou toch het makkelijkst.
Voor de oplossing die je wilt moet je namelijk port 1 gaan configureren.
Daarbij zal de router vast wel 's een reset nodig hebben (of zowieso onbereikbaar worden).
Als je even tijdelijk de 'uplink' kabel in port 2 stopt (en dus even externe voeding eraan hangt) dan zal hoogstwaarschijnlijk je hele netwerk al werken hoe je het wilt hebben. Dan is het een kwestie, om vanuit een stabiele situatie, port 1 om te gooien naar dezelfde switchgroep/bridge, NAT / DHCP / DNS uitzetten en vervolgens uplink weer in port 1 prikken.
En vooral: niet te bang zijn dat je er uit wordt geknikkerd. Onderdeel van 't leerproces, je weet nu hoe je 'm reset.
Wat betreft een Mikrotik router hangt helemaal weer af van je wensen/eisen. CRS valt over 't algemeen af,dat is een switch die wel routing ondersteund wat betreft software maar de hardware vindt het wat minder prettig. Zou wel, voordat je hiermee begint, eerst eens goed inlezen over de verschillende soorten netwerk materie. Dit is nog iets complexer dan het inrichten van een relatief simpele AP/Switch. Als je 't fout doet sta je met een router ook nog 's wagenwijd open op 't grote boze internet.
Ik krijg zelf overigens morgen m'n 3011 binnen als het goed is, die zou redelijk 500/500 mbps glas lijntje kunnen voltrekken wat betreft NAT hoop ik. Leuk speelgoed in ieder geval
Voor de oplossing die je wilt moet je namelijk port 1 gaan configureren.
Daarbij zal de router vast wel 's een reset nodig hebben (of zowieso onbereikbaar worden).
Als je even tijdelijk de 'uplink' kabel in port 2 stopt (en dus even externe voeding eraan hangt) dan zal hoogstwaarschijnlijk je hele netwerk al werken hoe je het wilt hebben. Dan is het een kwestie, om vanuit een stabiele situatie, port 1 om te gooien naar dezelfde switchgroep/bridge, NAT / DHCP / DNS uitzetten en vervolgens uplink weer in port 1 prikken.
En vooral: niet te bang zijn dat je er uit wordt geknikkerd. Onderdeel van 't leerproces, je weet nu hoe je 'm reset.
Wat betreft een Mikrotik router hangt helemaal weer af van je wensen/eisen. CRS valt over 't algemeen af,dat is een switch die wel routing ondersteund wat betreft software maar de hardware vindt het wat minder prettig. Zou wel, voordat je hiermee begint, eerst eens goed inlezen over de verschillende soorten netwerk materie. Dit is nog iets complexer dan het inrichten van een relatief simpele AP/Switch. Als je 't fout doet sta je met een router ook nog 's wagenwijd open op 't grote boze internet.
Ik krijg zelf overigens morgen m'n 3011 binnen als het goed is, die zou redelijk 500/500 mbps glas lijntje kunnen voltrekken wat betreft NAT hoop ik. Leuk speelgoed in ieder geval
Verwijderd
Ja, dat zeg ik ook tegen anderen, niet bang zijn, als ze met een router of computer aan het stoeien zijn. Vaak kan ik dan weer langs gaan om de boel te resetten of op te lossen.:
Hoop vragen maar voor wat je wilt is de richting die Thralas schetst voor jou toch het makkelijkst.
Voor de oplossing die je wilt moet je namelijk port 1 gaan configureren.
Daarbij zal de router vast wel 's een reset nodig hebben (of zowieso onbereikbaar worden).
Als je even tijdelijk de 'uplink' kabel in port 2 stopt (en dus even externe voeding eraan hangt) dan zal hoogstwaarschijnlijk je hele netwerk al werken hoe je het wilt hebben. Dan is het een kwestie, om vanuit een stabiele situatie, port 1 om te gooien naar dezelfde switchgroep/bridge, NAT / DHCP / DNS uitzetten en vervolgens uplink weer in port 1 prikken.
En vooral: niet te bang zijn dat je er uit wordt geknikkerd. Onderdeel van 't leerproces, je weet nu hoe je 'm reset.
Wat betreft een Mikrotik router hangt helemaal weer af van je wensen/eisen. CRS valt over 't algemeen af,dat is een switch die wel routing ondersteund wat betreft software maar de hardware vindt het wat minder prettig. Zou wel, voordat je hiermee begint, eerst eens goed inlezen over de verschillende soorten netwerk materie. Dit is nog iets complexer dan het inrichten van een relatief simpele AP/Switch. Als je 't fout doet sta je met een router ook nog 's wagenwijd open op 't grote boze internet.
Ik krijg zelf overigens morgen m'n 3011 binnen als het goed is, die zou redelijk 500/500 mbps glas lijntje kunnen voltrekken wat betreft NAT hoop ik. Leuk speelgoed in ieder geval
Bijkomend nadeel in mijn geval is dat ik total onbekend ben met RouterOS en ik niet echt een beginners gids kan vinden en steeds maar weer zit te zoeken waar al die settings staan.
Waar haal jij trouwens eeb RB3011 tegen een redelijke prijs? Amazon of Polen of zo?
Sluit ik mij bij aan, voor IPTV heb ik het al op de CRS manier gedaan, wat uitstekend werkt maar ik ben benieuwd hoe dat het beste voor internet gedaan kan worden met een PPPoE verbinding van XS4ALL.
Wat leesvoer (mits nog accuraat en actueel
) voor de 3011:http://ww.abicom.co.uk/se..._Sheet_MKG-17793_v1.0.pdf
Kijk even naar de bonustip van Thralas.. misschien met een plaatje iets duidelijker:
Als je onder neighbors in de kolom MAC Address op een entry dubbelklikt zal dit adres in 'Connect To' verschijnen. Hiermee kun je zonder ip (bekabeld) op iedere poort connecten in een empty config. In de default config alleen op ether2-5.
Het is wel belangrijk dat je in de eerste kolom dubbelklikt, anders zal hij alsnog het ip-adres gebruiken.
Als je onder neighbors in de kolom MAC Address op een entry dubbelklikt zal dit adres in 'Connect To' verschijnen. Hiermee kun je zonder ip (bekabeld) op iedere poort connecten in een empty config. In de default config alleen op ether2-5.
Het is wel belangrijk dat je in de eerste kolom dubbelklikt, anders zal hij alsnog het ip-adres gebruiken.
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Ik zou van de quickset en/of default config uitgaan. Dan heb je iig je wlan goed geregeld (dat is nogal een klus om handmatig te doen).
Vervolgens alle firewall rules clearen (filter + nat), DHCP-server verwijderen, DHCP-client verplaatsen van ether1 naar ether2-master, Switch > switch all ports inschakelen en ether1 op master-port=ether2-master zetten.
Dat laatste kun je afleiden uit het block diagram.. in de default config is dit een wan-poort en dus gescheiden van je lan, om deze in de lan te betrekken moet je ofwel een bridge aanmaken waarin je ether1 en ether2-master opneemt maar in dit geval kun je makkelijker de 'switch all ports'-feature gebruiken om ether1 naar je switch-chip te routeren.
edit:
Oops, verkeerde block diagram.. vergeet dat
Oops, verkeerde block diagram.. vergeet dat
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Verwijderd
Ik krijg al een gevoel waar het fout gaat. Ik begrijp wat die commandos' betekenen, maar waar vind ik al die instellingen. Ik bedoel firewall rules clearen (filter + nat), DHCP-server verwijderen, DHCP-client verplaatsen van ether1 naar ether2-master, Switch > switch all ports inschakelen en ether1 op master-port=ether2-master zetten. Moet ik alle firewall rules clearen, of alleen die voor eth1?:
[...]
Ik zou van de quickset en/of default config uitgaan. Dan heb je iig je wlan goed geregeld (dat is nogal een klus om handmatig te doen).
Vervolgens alle firewall rules clearen (filter + nat), DHCP-server verwijderen, DHCP-client verplaatsen van ether1 naar ether2-master, Switch > switch all ports inschakelen en ether1 op master-port=ether2-master zetten.
Dat laatste kun je afleiden uit het block diagram.. in de default config is dit een wan-poort en dus gescheiden van je lan, om deze in de lan te betrekken moet je ofwel een bridge aanmaken waarin je ether1 en ether2-master opneemt maar in dit geval kun je makkelijker de 'switch all ports'-feature gebruiken om ether1 naar je switch-chip te routeren.
edit:
Oops, verkeerde block diagram.. vergeet dat
Wat houdt die master eigenlijk in? En de LAN poorten zitten intern toch op dezelfde switch? En wat maakt van eth1 een WAN ipv een LAN poort? Is dat de toevoeging van firewall rules en DHCP.
Ik ga van menu naar submenu naar interface en raak verstrikt in de RouterOS jungle.
Voor een leek als ik moeilijk te begrijpen. Ga geloof ik maar breien, maar dan raak ik denk ik ook verstrikt in garen
Ik heb de bovenstaande commandos uitgevoerd en na het laatste commando ether1 op master-port=ether2-master zetten verandert de default configuratie in een WISP AP in bridge mode en heb ik nog maar een 5 GHz wlan ipv 2. Het 2.4 GHz wlan is verdwenen. Is dat wel de bedoeling?
[ Voor 8% gewijzigd door Verwijderd op 18-05-2016 12:47 ]
Firewall rules clearen (filter + nat)
Ga naar IP, Firewall en verwijder daar alle regels onder de 1e twee tabbladen (filter en nat).
Waarom? Omdat je AP al in het interne netwerk zit, hoef je verder niet veel aan firewalling te doen. Uiteraard niet het meest veilige advies maar ik denk voor jou nu wel het meest effectief/het handigst.
DHCP-server verwijderen
Ga naar IP, DHCP Server en verwijder daar de entry onder het 1e tabblad (DHCP), waarschijnlijk heet deze 'default'.
DHCP-client verplaatsen van ether1 naar ether2-master
Ga naar IP, DHCP Client, dubbelklik de eerste (en enige) entry en wijzig de interface van ether1 in ether2-master.
ether1 op master-port=ether2-master zetten
Ga naar Interfaces, dubbelklik ether1 en zet 'master port' op ether2-master.
Wat de MT zo flexibel maakt is dat er juist geen vaste WAN/LAN-interface bestaat. Om hierin tegemoet te komen heeft men wel een default config toegevoegd geschikt voor een WAN/LAN-situatie.
Er zit weliswaar een switch-chip op maar de daadwerkelijke switch-functionaliteit wordt pas geactiveerd als je de te switchen poorten aan elkaar koppelt via een master/slave-combinatie. In de default config wordt dit alleen voor het LAN-gedeelte gedaan (ether2-5). Ether1 heeft geen master-port, is daarmee een losstaande interface en maakt geen onderdeel uit van je switch. Door de master-port in te stellen op ether2-master zal hij wel onderdeel uit gaan maken van je switch.
E.e.a. staat verder beschreven in de wiki: Port Switching
De 'default configuratie' resp. 'Quick Set'-configuratie is bedoeld voor het snel / eenvoudig opzetten van je initiële configuratie. Hierna zou je eigenlijk niet meer naar dit scherm moeten kijken. Het kan je configuratie behoorlijk door elkaar gooien. Het standaard tonen van de quickset in de webinterface (na initiele config) wordt door de gebruikers ook als onlogisch ervaren.
[ Voor 15% gewijzigd door nescafe op 18-05-2016 13:00 ]
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
:strip_icc():strip_exif()/u/38800/i_m_weasel-char.jpg?f=community)
Kijk dat is nog eens nuttige informatie waar we wat mee kunnen. Toen ik mijn CRS125 binnen kreeg begreep ik maar niet wat het verschil was tussen /interface vlan en /interface ethernet switch port. Het werkte alle twee. Uiteindelijk op deze pagina (welke al eerder aangehaald is) een goede uitleg gevonden maar toen al behoorlijk wat tijd in gestoken.
Kan jij eens delen hoe je dat op de CRS geconfigureerd hebt, elke tutorial die ik tot nu toe op internet vindt (bijv. netwerkje.com) heeft het geconfigureerd via /interface vlan!?:
[...]
Sluit ik mij bij aan, voor IPTV heb ik het al op de CRS manier gedaan, wat uitstekend werkt maar ik ben benieuwd hoe dat het beste voor internet gedaan kan worden met een PPPoE verbinding van XS4ALL.
Wat leesvoer (mits nog accuraat en actueel
http://ww.abicom.co.uk/se..._Sheet_MKG-17793_v1.0.pdf
Wat ik uiteindelijk wil doen is deze manier van configuratie (switch chip) in mijn CRS integreren op de manier zoals deze Tweaker gedaan heeft op /interface vlan niveau, ivm met het uitblijven van een IGMP snooping functionaliteit op de CRS125.
Mijn werkende config tot op heden zonder XS4all (KPN) IPTV of internet configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
| #Create a group of switched ports. /interface ethernet set ether4 master-port=ether2 set ether5 master-port=ether2 set ether6 master-port=ether2 set ether7 master-port=ether2 set ether8 master-port=ether2 set ether9 master-port=ether2 set ether10 master-port=ether2 set ether11 master-port=ether2 set ether12 master-port=ether2 set ether23 master-port=ether2 #Add initial VLAN assignments (PVID) for untagged traffic on ether3, ether4, ether5 ports. /interface ethernet switch ingress-vlan-translation add ports=ether2 customer-vid=0 new-customer-vid=888 sa-learning=yes add ports=ether23 customer-vid=0 new-customer-vid=888 sa-learning=yes #Add VLAN 34, VLAN 27, vlan 49, vlan 678 and VLAN 888 tagging on ports according to diagram. /interface ethernet switch egress-vlan-tag add tagged-ports=switch1-cpu,ether4,ether5,ether8 vlan-id=27 add tagged-ports=switch1-cpu,ether6,ether10,ether12 vlan-id=34 add tagged-ports=switch1-cpu,ether7,ether9,ether11 vlan-id=49 add tagged-ports=switch1-cpu,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12,ether23 vlan-id=678 add tagged-ports=switch1-cpu vlan-id=888 #VLAN membership definitions in the VLAN table are required for proper isolation. Adding entries with VLAN id and ports makes that VLAN traffic valid on those ports. /interface ethernet switch vlan add ports=switch1-cpu,ether4,ether5,ether8 vlan-id=27 learn=yes add ports=switch1-cpu,ether6,ether10,ether12 vlan-id=34 learn=yes add ports=switch1-cpu,ether7,ether9,ether11 vlan-id=49 learn=yes add ports=switch1-cpu,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12,ether23 vlan-id=678 learn=yes add ports=switch1-cpu,ether2,ether23 vlan-id=888 learn=yes #For routing add VLAN interfaces on master-port because it connects with CPU port and add IP addresses to created VLAN interfaces. /interface vlan add name=VLAN27 interface=ether2 vlan-id=27 add name=VLAN34 interface=ether2 vlan-id=34 add name=VLAN49 interface=ether2 vlan-id=49 add name=VLAN678 interface=ether2 vlan-id=678 add name=VLAN888 interface=ether2 vlan-id=888 #Add IP addresses to VLANs: /ip address add address=10.234.0.201/29 interface=VLAN27 add address=10.9.8.17/29 interface=VLAN34 add address=10.17.6.105/29 interface=VLAN49 add address=172.18.8.1/28 interface=VLAN678 add address=192.168.3.1/24 interface=VLAN888 /interface ethernet set ether1 name=WAN set WAN comment="Internet Provider" /system clock set time-zone-name=Europe/Amsterdam /system ntp client set enabled=yes server-dns-names=0.nl.pool.ntp.org,1.nl.pool.ntp.org,2.nl.pool.ntp.org,3.nl.pool.ntp.org /ip firewall nat add chain=srcnat action=masquerade out-interface=WAN /ip dns set allow-remote-requests=yes cache-size=1024KiB servers=192.241.77.55,195.241.77.58 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=WAN /ip dns static add address=172.18.8.1 name=mikrotik add address=172.18.8.2 name=wanker add address=172.18.8.3 name=nslu1 add address=172.18.8.4 name=nslu2 add address=172.18.8.10 name=nslu3 |
Gewoon random Vlan's, doel was om interconnectiviteit te testen tussen verschillende access poorten / trunks en dat lukte aardig. Nu nog een stapje verder om vervolgens het e.e.a. met mijn ISP te integreren.
[ Voor 48% gewijzigd door WeaZuL op 19-05-2016 14:37 ]
NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict
Ik kan je alleen mijn ervaringen met de 3011 delen
Ik was hiervoor alleen een router met een klikker de klik wizard gewend, dus ik vond het een zeer steile leercurve, het heeft wel wat tijd en inspanning gekost om alles te begrijpen en in te stellen maar ik ben persoonlijk erg positief over de 3011. Ook handig om te weten is dat ik een 500Mbps FttH lijn van XS4ALL heb, op die lijn haal ik met speedtest.xs4all.nl (IPv4) +/- 490Mbps down en +/- 590Mbps up, de CPU zit dan ongeveer op gemiddeld 80 a 85%. Op speedtest6.ziggo.nl (IPv6) haal ik ongeveer dezelfde waardes maar dan staat de CPU vol op 100%.
Mocht je besluiten om een MT aan te schaffen dan zou ik willen meegeven dat, in mijn geval toen ik hem binnen kreeg, alles compleet openstaat voor de "grote boze buitenwereld", is wel een puntje van aandacht voordat je hem aansluit op je internet verbinding, maar er zijn genoeg guru's hier aanwezig (ik ben maar een hobbyist) die je verder kunnen helpen.