[MikroTik-apparatuur] Ervaringen & Discussie

maandag 17 maart 2025 15:08

Acties:

0 Henk 'm!

MikroTik
Netwerkaccessoires
Modems en routers

InflatableMouse schreef op maandag 17 maart 2025 @ 14:20:
Ik zoek een vervanger voor opnsense, deze draait nu op een low budget pctje met celeron processor. Ding is te langzaam met name wanneer ik Wireguard over 1Gbps vol probeer te duwen. Daarnaast ook wat poblemen / bugs in opnsense waar ik hier niet op in wil gaan (daar is dit topic niet voor ).

Ik heb al heel veel zelf uitgezocht en uitgeprobeerd met demo license, maar ik kom niet overal zelf uit mede omdat ik RouterOS nog helemaal niet ken.

Ik zou graag nog het volgende willen weten over RouterOS:
kan het dhcp leases van ipv4 en 6 in dns registeren?
kan het dhcp scopes aanbieden per interface (vlans)?
kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?
kan het per interface (vlan) outbound nat configureren?
Split horizon DNS?
En minder spannende vragen die ik ook op andere manieren kan oplossen:
heeft het een HAProxy of iets vergelijkbaars?
Aliases voor objecten die je bv in firewall rules kan gebruiken?
DNSSEC and DNS64 ondersteuning?
DNS over HTTPS and DNS over TLS?
DNS blocklists (DNSBL) met whitelist override ondersteuning
NAT reflection Ja, heb ik al gevonden.
Kan het NAT on LAN/internal interfaces?
Iemand die hier (een deel van) kan beantwoorden zou ik erg tof vinden!

Handleiding: https://help.mikrotik.com...ROS/pages/328059/RouterOS (ook in pdf). Als je daarin op je trefwoorden zoekt heb je denk ik al wat antwoorden.

RIPE Atlas probe: 1005104

maandag 17 maart 2025 15:43

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

ernstoud schreef op maandag 17 maart 2025 @ 15:08:
[...]

Handleiding: https://help.mikrotik.com...ROS/pages/328059/RouterOS (ook in pdf). Als je daarin op je trefwoorden zoekt heb je denk ik al wat antwoorden.

Heb ik de indruk gewekt zelf geen moeite te hebben gedaan voodat ik de vraag stelde? Oprechte vraag hoor, dat idee krijg ik als iemand met enkel een linkje naar een handleiding kom. Voor de goede orde: ik zit al dagen te lezen en heb (zonder voorkennis) de router draaien met pppoe, allerlei firewall rules, natting, dhcp, etc. Dat doe je niet zonder een handleiding te lezen.

De demo license is verder te beperkt om veel meer te doen. Ik heb bijvoorbeeld al een vlan nodig voor internet access via kpn, en daarmee kan ik geen tweede vlan meer aanmaken. Een aantal vragen kan ik zelf dus niet eens goed beantwoorden. Ik kan de router ook niet laten draaien omdat er teveel afhankelijkheden in mijn omgeving zitten, dus na een aantal uur moet ik opnsense terugzetten. De VM met routerOS krijgt geen IPv6 (dat moet van WAN met interface tracking afkomen), ik weet in elk geval geen andere manier.

Dan komt er een moment dat ik denk: laat ik het vragen! Dan komt een linkje naar een handleiding. Komt beetje lullig over als ik zo eerlijk mag zijn. En das niet lullig bedoeld verder.

maandag 17 maart 2025 15:52

Acties:

0 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

InflatableMouse schreef op maandag 17 maart 2025 @ 15:43:
[...]

Heb ik de indruk gewekt zelf geen moeite te hebben gedaan voodat ik de vraag stelde? Oprechte vraag hoor, dat idee krijg ik als iemand met enkel een linkje naar een handleiding kom. Voor de goede orde: ik zit al dagen te lezen en heb (zonder voorkennis) de router draaien met pppoe, allerlei firewall rules, natting, dhcp, etc. Dat doe je niet zonder een handleiding te lezen.

De demo license is verder te beperkt om veel meer te doen. Ik heb bijvoorbeeld al een vlan nodig voor internet access via kpn, en daarmee kan ik geen tweede vlan meer aanmaken. Een aantal vragen kan ik zelf dus niet eens goed beantwoorden. Ik kan de router ook niet laten draaien omdat er teveel afhankelijkheden in mijn omgeving zitten, dus na een aantal uur moet ik opnsense terugzetten. De VM met routerOS krijgt geen IPv6 (dat moet van WAN met interface tracking afkomen), ik weet in elk geval geen andere manier.

Dan komt er een moment dat ik denk: laat ik het vragen! Dan komt een linkje naar een handleiding. Komt beetje lullig over als ik zo eerlijk mag zijn. En das niet lullig bedoeld verder. .

Mijn reactie met de link naar de handleiding was niet vervelend bedoeld maar je stelt veel vragen die ook redelijk diep gaan. Dus respect voor je kennis. Maar misschien is het teveel verwachting dat iemand hier de halve handleiding gaat overtypen. Vandaar de link.

Er zullen best een aantal antwoorden komen, ik ben op mijn rb5009 ook nog niet zover gekomen om je te helpen.

RIPE Atlas probe: 1005104

maandag 17 maart 2025 16:01

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

@ernstoud Geen probleem hoor, ik begrijp het ook wel.

Ter verduidelijking, ik ben niet enkel op zoek naar handleiding antwoorden. Daar kan bijvoorbeeld in staan dat het iets kan, maar dat daar wat haken en ogen aanzitten staat er dan niet bij. Ik zoek ook antwoorden die uit ervaring spreken.

Ik heb zojuist vanalles gevonden over IPv6 interface tracking en de mogelijkheden voor het instellen van router advertisements. Dat lijkt dus allemaal wel te kunnen.

Split Horizon DNS schijnt niet (makkelijk) te kunnen. Niet standaard ondersteund, maar ik lees ook wel over work arounds. Ook op dit gebied zijn ervaringen welkom! Is er iemand die lokaal door zn router laat resolven en public queries door een pi-hole? ben benieuwd!

maandag 17 maart 2025 16:13

Acties:

+2 Henk 'm!

pimlie

• kan het dhcp leases van ipv4 en 6 in dns registeren?

Bedoel je mDNS? Dan ja maar alleen ipv4: https://help.mikrotik.com/docs/spaces/ROS/pages/37748767/DNS, maar je kan waarschijnlijk van alles wat je wilt scripten via static dns entries: https://help.mikrotik.com.../pages/47579229/Scripting

• kan het dhcp scopes aanbieden per interface (vlans)?

Dit configureer je in RouterOS meestal via Bridges, maar je kan een dhcp server op elke (master) interface draaien dus sowieso ja: https://help.mikrotik.com...68/Bridging+and+Switching

• kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?

Weet ik niet

• kan het per interface (vlan) outbound nat configureren?

RouterOS is linux based, Firewall & routing in RouterOS werkt daarom eigenlijk grotendeels hetzelfde als in linux. Dus ja.

• Split horizon DNS?

Volgens mij niet, zou dit ook graag willen. Maar je kan evt Bind in een container draaien en daar verschillende zones configureren

• heeft het een HAProxy of iets vergelijkbaars?

Niet native, maar als je een ARM/x86-based device hebt zou je een HAProxy container kunnen draaien: https://help.mikrotik.com...95651/Container+-+HAProxy

• Aliases voor objecten die je bv in firewall rules kan gebruiken?

In beperkte vorm. Zie ip -> firewall -> address lists in WinBox. Deze werken alleen in firewall rules en alleen gebaseerd op ip. MAC support zou je echter kunnen toevoegen via of een dhcp lease script of een scheduled script, maar dan nog werken address lists alleen in firewall.

• DNSSEC and DNS64 ondersteuning?

Volgens mij niet, maar je kan wederom evt een eigen DNS resolver draaien in een container die dit wel ondersteunt

• DNS over HTTPS and DNS over TLS?

https://help.mikrotik.com...#DNS-dohDNSoverHTTPS(DoH)

• DNS blocklists (DNSBL) met whitelist override ondersteuning

https://help.mikrotik.com...8767/DNS#DNS-adlistAdlist of anders draai pihole in een container: https://help.mikrotik.com...ainer-Containeruseexample

• Kan het NAT on LAN/internal interfaces?

Inprincipe is elke bridge die je aanmaakt een LAN/internal interface, dus ja

maandag 17 maart 2025 16:19

Acties:

+1 Henk 'm!

lolgast

InflatableMouse schreef op maandag 17 maart 2025 @ 14:20:
Ik zoek een vervanger voor opnsense, deze draait nu op een low budget pctje met celeron processor. Ding is te langzaam met name wanneer ik Wireguard over 1Gbps vol probeer te duwen. Daarnaast ook wat poblemen / bugs in opnsense waar ik hier niet op in wil gaan (daar is dit topic niet voor ).

Ik heb al heel veel zelf uitgezocht en uitgeprobeerd met demo license, maar ik kom niet overal zelf uit mede omdat ik RouterOS nog helemaal niet ken.

Ik zou graag nog het volgende willen weten over RouterOS:
kan het dhcp leases van ipv4 en 6 in dns registeren?
kan het dhcp scopes aanbieden per interface (vlans)?
kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?
kan het per interface (vlan) outbound nat configureren?
Split horizon DNS?
En minder spannende vragen die ik ook op andere manieren kan oplossen:
heeft het een HAProxy of iets vergelijkbaars?
Aliases voor objecten die je bv in firewall rules kan gebruiken?
DNSSEC and DNS64 ondersteuning?
DNS over HTTPS and DNS over TLS?
DNS blocklists (DNSBL) met whitelist override ondersteuning
NAT reflection Ja, heb ik al gevonden.
Kan het NAT on LAN/internal interfaces?
Iemand die hier (een deel van) kan beantwoorden zou ik erg tof vinden!

Ik kan op een paar vragen antwoord geven:
kan het dhcp leases van ipv4 en 6 in dns registeren?
Ja, door een script aan de DHCP server te hangen: lolgast in "[MikroTik-apparatuur] Ervaringen & Discussie"

kan het dhcp scopes aanbieden per interface (vlans)?
Ja. Je hangt een DHCP scope aan een interface. Dat kan ook een VLAN interface zijn

kan het per interface (vlan) outbound nat configureren?
Ja, absoluut

heeft het een HAProxy of iets vergelijkbaars?
Nee, er zit geen reverse proxy functionaliteit in. Hoewel sommige modellen met Docker ondersteuning komen dacht ik

Aliases voor objecten die je bv in firewall rules kan gebruiken?
Ja, volgens mij heten ze officieel 'addresslists'

DNSSEC and DNS64 ondersteuning?
Pin me er niet op vast, maar volgens mij niet

DNS blocklists (DNSBL) met whitelist override ondersteuning
Ja, dat zit er in. Nooit gebruikt, geen idee wat het format van de list moet zijn. Het mag een online file zijn, mag ook lokaal op de router staan

maandag 17 maart 2025 16:23

Acties:

0 Henk 'm!

babbelbox

Ik weet niet beter dan dat een trial licentie alle functies gewoon bevat, alleen een limiet heeft op bandbreedte...

maandag 17 maart 2025 16:27

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

@babbelbox klopt, maar max 24 uur. Ik wil ook nog slapen en andere dingen doen dus dat is nooit genoeg tijd voor mij om alles te testen wat ik wil testen met ook nog eens "learning on the job".

@pimlie en @lolgast Tof, dank jullie!

Ik heb mijn oog op de CCR2004-1G-12S+2XS ivm met de 10G en SFP28 poorten dus geen self hosted x86 en daarmee denk ik ook geen container ondersteuning.

Ik zit toevallig net te lezen over scripting, en daarmee in theorie de mogelijkheid dns queries te evalueren tegen een lijst met local domains om te bepalen waar de queries heen moeten (lees: zelf resolven of naar pi-hole sturen).

Het begint er op te lijken dat alles wat ik belangrijk vind mogelijk is. Ik ga zo de router weer aanslingeren wanneer de kids de deur uit zijn.

maandag 17 maart 2025 16:29

Acties:

+1 Henk 'm!

pimlie

InflatableMouse schreef op maandag 17 maart 2025 @ 16:27:
Ik heb mijn oog op de CCR2004-1G-12S+2XS ivm met de 10G en SFP28 poorten dus geen self hosted x86 en daarmee denk ik ook geen container ondersteuning.

Alle arm/arm64/x86 devices ondersteunen containers: https://help.mikrotik.com.../pages/84901929/Container De CCR2004 is een arm64 device.

maandag 17 maart 2025 16:44

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

pimlie schreef op maandag 17 maart 2025 @ 16:13:
[...]

Bedoel je mDNS? Dan ja maar alleen ipv4: https://help.mikrotik.com/docs/spaces/ROS/pages/37748767/DNS, maar je kan waarschijnlijk van alles wat je wilt scripten via static dns entries: https://help.mikrotik.com.../pages/47579229/Scripting

Nee, geen multicast DNS.

Ik bedoel dat (wanneer een client een hostnaam aanbiedt bij het vragen voor een dhcp lease), deze hostnaam wordt geregistreerd in DNS zodat alle lokale clients die hostnaam kunnen resolven. Bij OPNsense doe je dit onder Unbound, door aan te vinken "Register ISC DHCP4 Leases" en " Register DHCP Static Mappings". Hoe het precies werkt met DHCPv6 addressen weet ik niet, die resolvede wel altijd voordat ze deze feature kapot maakte

.

Ik krijg tegenstrijdige antwoorden van LLM's op deze vraag, en in de docs kan ik het niet terugvinden. Dit is wel een beetje breaking point als dit niet mogelijk is (ook niet via scripting bv).

maandag 17 maart 2025 16:53

Acties:

+1 Henk 'm!

pimlie

@InflatableMouse Als ik heel ouderwets zoek met een zoekmachine (

) op routeros hostname to dns dan krijg ik verschillende scripts terug die dit verzorgen. Bv

• https://gist.github.com/SmartFinn/acc7953eaeb43cece034
• https://www.reddit.com/r/...er_entries_in_dns_server/
• https://wiki.mikrotik.com...ecord_for_each_DHCP_lease

Helaas niet zo makkelijk als in OPNsense dus waar je alleen een vinkje hoeft aan te zetten...

maandag 17 maart 2025 16:57

Acties:

+1 Henk 'm!

lolgast

DHCP naar DNS registratie werkt prima via die scripts. Misschien niet zo eenvoudig als een vinkje, wel zo eenvoudig als copy paste

Met als bijkomend voordeel dat je per DHCP scope (en dus VLAN) andere voorwaarde aan de DNS entries kunt geven. Of bepaalde scopes helemaal niet laat terugkomen in je DNS entries

maandag 17 maart 2025 17:08

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Yes, dat had ik gevonden hoor @pimlie .

Via een scriptje is ook goed, als het maar kan.

En het is erg tof dat containers ook op hun ARM appliances werken!

Ik denk dat ik dat ding wel ga bestellen.

maandag 17 maart 2025 17:27

Acties:

+4 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Sterker nog: besteld!

woensdag 26 maart 2025 22:15

Acties:

+1 Henk 'm!

babbelbox

Ik was toch eigenwijs en heb ff met een VM zitten testen met betrekking tot die genoemde 24 uur.
Ik denk dat er een verschil is tussen een VM installeren met behulp van de ISO en het downloaden van de CHR disk image.
In mijn geval maak ik gebruik van Hyper-V, dus heb ik de VHDX gedownload, maar die heeft dan een 'free' license, daar kan ik meerdere VLAN interfaces maken. Verder niet heel erg door getest, maar ik meen mij te herinneren dat je op deze manier gewoon een volwaardige router kan testen, met alleen niet de maximale doorvoersnelheid.
Als ik een ISO installatie doe dan zie ik in de license inderdaad een remaining time, en blijkbaar sluit de VM gewoon direct af als deze tijd voorbij is.

Ik lees net wel dat er op de Mikrotik website een tabelletje staat waar dan inderdaad weer instaat dat bij een free license er maar 1 VLAN interface gebruikt kan worden.
Wat dan het nu is/de werking zal zijn als je er meerder aanmaakt is mij nog even ontgaan.
RouterOS license

Best lastig, alle info in 1 keer hebben en DAARNA pas een post hier maken, maar ja.
Voor CHR blijkt er dus weer een andere opzet te zijn. Daar is de free license inderdaad gemaximaliseerd op een snelheid van 1MBit per interface.
CHR-license

[ Voor 36% gewijzigd door babbelbox op 26-03-2025 22:31 . Reden: typo ]

vrijdag 4 april 2025 16:14

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

Hallo allemaal,
Mikrotek is nieuw voor mij. Ik heb een HEX Mikrotek routertje in huis gehaald om samen met een Nokia XS-010X-Q de Nokia XS-2426 modem/router te vervangen die ik van Delta in bruikleen heb heb gekregen. Ik moet zeggen dat Mikrotek een uitdaging is. Bijna alles is anders dan ik gewend ben. Ik ben gevorderd tot het punt dat IPv4 uitgaand werkt. Ik loop vast bij het bereikbaar maken van mijn Binkp server. Het lukt al niet eens die vanaf het eigen LAN te bereiken. Op het 192.168.88.xx adres dus. Wat mis ik?

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

vrijdag 4 april 2025 18:22

Acties:

0 Henk 'm!

pimlie

@Roetzen Lastig te zeggen zo zonder je configuratie. Kan je misschien iets uitgebreider beschrijven hoe je eea wilt instellen en de configuratie die je tot nu toe hebt? (liefst /export hide-sensitive, controleer uiteraard altijd zelf of er echt geen gevoelige informatie in staat)

Paar tips iig wat betreft debugging:

Voeg bovenaan in je firewall regels toe die alleen het verkeer loggen waar je in geinteresseerd bent. Vaak kan je dan zien of het verkeer misschien onverwacht gerouteerd wordt of niet
Gebruik Tools -> Torch om te kijken wat voor verkeer er voorbij komt. Meestal doe ik dit eerst, en als ik het daarna nog niet snap voeg ik firewall log regels toe.

vrijdag 4 april 2025 21:40

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

@pimlie
Ik heb het apparaat gereset met de reserknop.

Ik heb het wachtwoord veranderd.

Ik heb een VLAN 100 geconfigureerd en daar een DHCP client aan gekoppeld en het opgenomen in de WAN lijst

Ik heb een port mapping gemaakt voor een bepaalde poort en die weer verwijderd.

Dat is alles wat ik tot dusver aan de default configuratie heb gewijzigd.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

zaterdag 5 april 2025 13:00

Acties:

+1 Henk 'm!

pimlie

@Roetzen Waar staat die binkp server, intern of extern?

Mijn tips:

RouterOS is linux based, als je ervaring hebt met netwerk configuratie onder linux dan zal je veel herkennen
Probeer anders eerst eens alles werkend te krijgen zonder vlan's als dit je eerste keer is. VLAN's kunnen wat lastiger zijn onder RouterOS omdat je zowel software matige VLAN's heb (vlan tab onder interfaces) maar ook hardware matige VLAN support op de switch chip. Omdat je alleen beschrijft wat je hebt gedaan maar niets laat zien, kunnen we nu niet zeggen wat je precies hebt geprobeerd
Wat betreft port mapping, geen idee hoe de default firewall werkt maar als die standaard verkeer blokkeert dan moet je zowel een NAT rule aanmaken (om het verkeer om te leiden) als een Filter rule (om het verkeer toe te staan).

Wat betreft het hardware versus software matige gebeuren, bekijk het block diagram van de hex. Je ziet dat als je wire speed switching tussen de gigabit ports wilt hebben dan moet je er voor zorgen dat het verkeer niet via de cpu loopt, want de switch chip is maar met 1GB/s verbonden met de cpu. Daarom is het ook altijd goed om te controleren welke switch chip features worden ondersteund door je device. De HEX maakt gebruik van een MT7621 switch chip en deze ondersteunt iig wel hardwarematige VLAN offloading & filtering

zaterdag 5 april 2025 14:57

Acties:

+2 Henk 'm!

esphome

@Roetzen

Zoek eens op de term "hairpin" in de help documentatie. In het forum: https://forum.mikrotik.com/viewtopic.php?t=172380

Verder zijn er twee hEX routers. De laatste uitvoering heeft een andere chipset en heet hEX refresh

Het block diagram vertelt dat eth1 via de CPU loopt en dat eth2-eth5 via een switch chip gaat en hou er dan rekening meer. Het is dan verstandig om eth1 als WAN poort te gebruiken. Immers de PPPoE naar Freedom is softwarematig en zo moet je in interfaces op die PPPoE vlan6 aanzetten.

Afbeeldingslocatie: https://cdn.mikrotik.com/web-assets/product_files/E50UG_241016.png

Afbeeldingslocatie: https://cdn.mikrotik.com/web-assets/product_files/E50UG_241016.png

[ Voor 34% gewijzigd door esphome op 05-04-2025 15:07 ]

zaterdag 5 april 2025 15:17

Acties:

+2 Henk 'm!

pimlie

@esphome Zelf ben ik niet echt een voorstander van hairpin nat. Liever b.v. gewoon een interne DNS draaien (bv static entries op de mikrotik) dat naar het interne server ip verwijst en de NAT rule alleen voor verkeer inkomend van buiten laten werken.

donderdag 10 april 2025 22:05

Acties:

0 Henk 'm!

llagendijk

Roetzen schreef op vrijdag 4 april 2025 @ 21:40:
@pimlie
Ik heb het apparaat gereset met de reserknop.

Ik heb het wachtwoord veranderd.

Ik heb een VLAN 100 geconfigureerd en daar een DHCP client aan gekoppeld en het opgenomen in de WAN lijst

Ik heb een port mapping gemaakt voor een bepaalde poort en die weer verwijderd.

Dat is alles wat ik tot dusver aan de default configuratie heb gewijzigd.

Heb je de standaard firewall ingesteld?
Post evt eens de output van /export verbose

[ Voor 4% gewijzigd door llagendijk op 10-04-2025 22:10 ]

vrijdag 11 april 2025 10:26

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

pimlie schreef op zaterdag 5 april 2025 @ 15:17:
@esphome Zelf ben ik niet echt een voorstander van hairpin nat. Liever b.v. gewoon een interne DNS draaien (bv static entries op de mikrotik) dat naar het interne server ip verwijst en de NAT rule alleen voor verkeer inkomend van buiten laten werken.

Behalve als je zowel binnenom als buitenom je spullen wil kunnen benaderen (en dan over het internet niet over VPN). Dan is het opeens toch wel heel erg handig!

Deze ruimte is te huur!

vrijdag 11 april 2025 11:15

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Mattie112 schreef op vrijdag 11 april 2025 @ 10:26:
Behalve als je zowel binnenom als buitenom je spullen wil kunnen benaderen (en dan over het internet niet over VPN). Dan is het opeens toch wel heel erg handig!

Als je intern (al dan niet via vpn) laat resolven naar het interne IP adres en publiek naar het publieke adres...dan ben je er toch? Of begrijp ik je nu verkeerd?
Oftewel...ik ben ook voorstander van lokale DNS entries

Eerst het probleem, dan de oplossing

vrijdag 11 april 2025 11:22

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Roetzen schreef op vrijdag 4 april 2025 @ 16:14:
Het lukt al niet eens die vanaf het eigen LAN te bereiken. Op het 192.168.88.xx adres dus. Wat mis ik?

Je benadert hem dus op basis van het IP adres? Als je client aan de LAN kant zit, zou dat geen enkel probleem mogen zijn. Weet je zeker dat je het juiste IP adres gebruikt? Zie je dat ook in de DHCP leases? Of maak je gebruik van een vast IP adres?

Wil je de server publiek beschikbaar maken? En dan via een port forward of kan je hem via VPN ook gebruiken? Wat is het eigenlijk voor server?

Eerst het probleem, dan de oplossing

maandag 14 april 2025 13:54

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

llagendijk schreef op donderdag 10 april 2025 @ 22:05:
[...]

Heb je de standaard firewall ingesteld?

Ik heb de default instellingen van de firewall.

Post evt eens de output van /export verbose

Eh??? Waar vind ik zo iets?

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

maandag 14 april 2025 14:09

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

lier schreef op vrijdag 11 april 2025 @ 11:22:
[...]

Je benadert hem dus op basis van het IP adres?

Ja, voor de test.

Als je client aan de LAN kant zit, zou dat geen enkel probleem mogen zijn.

Dat dacht ik ook en in de twintig jaar dat ik hier mee speel is het ook nooit een probleem geweest. Niet met IPv4 en niet met IPv6. Tot nu met Mikrotik.

Weet je zeker dat je het juiste IP adres gebruikt? Zie je dat ook in de DHCP leases? Of maak je gebruik van een vast IP adres?

Ja, ja en nee.

Wil je de server publiek beschikbaar maken? En dan via een port forward

Uiteindelijk wel, maar zo lang ik hem niet eens intern kan bereiken heeft het weinig zin het extern te gaan proberen lijkt me.

Wat is het eigenlijk voor server?

Brinkd. Een protocol voor Fidonet. Heeft hier altijd gewerkt met andere routers…

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

maandag 14 april 2025 16:49

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

@llagendijk @pimlie @esphome
Ik heb nog wat testjes gedaan en het lijkt er op dat alle apparaten op het LAN grotendeels van elkaar afgeschermd zijn. Ping werkt wel met de lokale adressen en de globale IPv6 adressen maar dat is het dan zo’n beetje. Het LAN bestaat interface “bridge” en dat zijn ether1-ether5.

Ik zie nu bij “Switch” iets staan met “Port isolation”. Kan dat iets zijn?

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

maandag 14 april 2025 17:20

Acties:

+1 Henk 'm!

llagendijk

Roetzen schreef op maandag 14 april 2025 @ 13:54:
[...]

Ik heb de default instellingen van de firewall.

[...]

Eh??? Waar vind ik zo iets?

gebruik een terminal (ssh of klik op terminal bovenin de web interface). Type dan
/export verbose file=filename
en dan download die file (webinterface, files filename.rsc).

Port forwarding zou een probleem op kunnen leveren maar alleen als je zelf wat hebt gewijzigd daar. Maar dat zou uit de export output moeten blijken

[ Voor 16% gewijzigd door llagendijk op 14-04-2025 17:37 ]

dinsdag 15 april 2025 16:07

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

lier schreef op vrijdag 11 april 2025 @ 11:15:
[...]

Als je intern (al dan niet via vpn) laat resolven naar het interne IP adres en publiek naar het publieke adres...dan ben je er toch? Of begrijp ik je nu verkeerd?
Oftewel...ik ben ook voorstander van lokale DNS entries

Dat kan, maar dan moet je wel je DNS server draaien intern (of fixed entries toevoegen). Die je weer los van je externe DNS moet bijhouden. Niet mijn ding maar ieder zn smaak natuurlijk.

Deze ruimte is te huur!

woensdag 16 april 2025 17:38

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

llagendijk schreef op maandag 14 april 2025 @ 17:20:
[...]

gebruik een terminal (ssh of klik op terminal bovenin de web interface). Type dan
/export verbose file=filename en dan download die file (webinterface, files filename.rsc).

Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.

Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.

Port forwarding zou een probleem op kunnen leveren maar alleen als je zelf wat hebt gewijzigd daar. Maar dat zou uit de export output moeten blijken

Wat voor probleem dan?

Hier is wat ik krijg met export:

code:

[admin@MikroTik] > /export 
# 2025-04-16 16:44:59 by RouterOS 7.18.2
# software id = KDQG-E3VI
#
# model = RB750Gr3
# serial number = HGVXXXXXX
/interface bridge
add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan1 vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment="Delta Fiber" interface=vlan1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ipv6 address
add comment="Local LAN" from-pool=Delta interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

woensdag 16 april 2025 20:12

Acties:

+1 Henk 'm!

orvintax

www.fab1an.dev

Roetzen schreef op woensdag 16 april 2025 @ 17:38:
[...]

Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.

Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.

[...]

Wat voor probleem dan?

Hier is wat ik krijg met export:

=== begin ===

[admin@MikroTik] > /export

# 2025-04-16 16:44:59 by RouterOS 7.18.2

# software id = KDQG-E3VI

#

# model = RB750Gr3

# serial number = HGVXXXXXX

/interface bridge

add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge

/interface vlan

add interface=ether1 name=vlan1 vlan-id=100

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/ip pool

add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server

add address-pool=default-dhcp interface=bridge name=defconf

/disk settings

set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes

/interface bridge port

add bridge=bridge comment=defconf interface=ether2

add bridge=bridge comment=defconf interface=ether3

add bridge=bridge comment=defconf interface=ether4

add bridge=bridge comment=defconf interface=ether5

/ip neighbor discovery-settings

set discover-interface-list=LAN

/interface detect-internet

set wan-interface-list=WAN

/interface list member

add comment=defconf interface=bridge list=LAN

add comment=defconf interface=ether1 list=WAN

add comment="Delta Fiber" interface=vlan1 list=WAN

/ip address

add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip dhcp-client

add comment=defconf interface=ether1

add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1

/ip dhcp-server network

add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1

/ip dns

set allow-remote-requests=yes

/ip dns static

add address=192.168.88.1 comment=defconf name=router.lan type=A

/ip firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes

add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/ip hotspot profile

set [ find default=yes ] html-directory=hotspot

/ipv6 address

add comment="Local LAN" from-pool=Delta interface=bridge

/ipv6 dhcp-client

add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix

/ipv6 firewall address-list

add address=::/128 comment="defconf: unspecified address" list=bad_ipv6

add address=::1/128 comment="defconf: lo" list=bad_ipv6

add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6

add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6

add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6

add address=100::/64 comment="defconf: discard only " list=bad_ipv6

add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6

add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6

add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6

add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp

add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10

add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp

add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah

add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp

add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec

add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related

add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6

add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6

add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6

add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6

add action=accept chain=forward comment="defconf: accept HIP" protocol=139

add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp

add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah

add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp

add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec

add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp

/system clock

set time-zone-name=Europe/Amsterdam

/system note

set show-at-login=no

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN

[admin@MikroTik] >

=== einde ===

Gelieve je export in een code block te zetten, dat maakt het stukken leesbaarder.

https://dontasktoask.com/

woensdag 16 april 2025 20:47

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

orvintax schreef op woensdag 16 april 2025 @ 20:12:
[...]

Gelieve je export in een code block te zetten, dat maakt het stukken leesbaarder.

Done.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

woensdag 16 april 2025 20:56

Acties:

0 Henk 'm!

DJP!

Roetzen schreef op woensdag 16 april 2025 @ 17:38:
[...]

Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.

Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.

[...]

Wat voor probleem dan?

Hier is wat ik krijg met export:

code:

[admin@MikroTik] > /export 
# 2025-04-16 16:44:59 by RouterOS 7.18.2
# software id = KDQG-E3VI
#
# model = RB750Gr3
# serial number = HGVXXXXXX
/interface bridge
add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan1 vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment="Delta Fiber" interface=vlan1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ipv6 address
add comment="Local LAN" from-pool=Delta interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >

Heb je niets ingesteld bij IPv6 ND? Waarschijnlijk krijg je namelijk nu wel een IPv6 adres en prefix van Delta alleen zet je deze niet door naar je clients.

woensdag 16 april 2025 21:13

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

DJP! schreef op woensdag 16 april 2025 @ 20:56:
[...]

Heb je niets ingesteld bij IPv6 ND? Waarschijnlijk krijg je namelijk nu wel een IPv6 adres en prefix van Delta alleen zet je deze niet door naar je clients.

Ik heb niets ingesteld bij IPv6 ND maar ik heb wel een /64 aangevraagd uit de pool "Delta voor het interface "bridge". De clients op het LAN krijgen IPv6 adressen.

Dat is dan ook niet mijn probleem. Het probleem is dat de apparaten op het LAN van elkaar geïsoleerd lijken te zijn waardoor ik de server die op een er van draait niet eens lokaal kan bereiken. Niet op IPv4 en niet op IPv6.

[ Voor 20% gewijzigd door Roetzen op 16-04-2025 21:35 ]

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

woensdag 16 april 2025 23:17

Acties:

+1 Henk 'm!

pimlie

@Roetzen Zijn je desktop en server beide met een netwerk kabel aangesloten op de mikrotik? En je hebt geverifieerd dat beide een 192.168.88.x ip adres krijgen via dhcp? Dat wil zeggen dat je zowel het lokale ip adress + netmask hebt gecontroleerd van de desktop/server als de dhcp leases tab en je hebt gecontroleerd dat beide hetzelfde zijn.

Het zou raar zijn dat het niet zo werken als dat zo was, want verkeer van/naar 192.168.88.x kan direct over de switch chip lopen en komt dus niet eens op de cpu/firewall terecht.

Kan je de server wel pingen vanaf je desktop? Zo nee, zet een doorlopende ping aan (`ping -t` in windows) en door loop de eerder genoemde stappen van torch/firewall om te controleren of je die icmp packets ziet. Voor de duidelijkheid, je zou dus geen icmp packets moeten zijn als je die 2 pingt omdat het verkeer over de switch chip zou moeten gaan en niet de cpu.

Die dhcp client op ether1 zou trouwens niet nodig hoeven te zijn, ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.

Laatste tip, probeer eerst alleen ipv4 werkend te krijgen (ie disable alle ipv6 gedoe op de mikrotik). Voor hetzelfde geldt is er een ipv4/ipv6 routing voorkeur probleem.

donderdag 17 april 2025 07:05

Acties:

0 Henk 'm!

babbelbox

@Roetzen Ik zie in je config ook niets geks wat kan verklaren waarom je vanaf je desktop PC je server niet kan bereiken. Wat pimlie ook aangeeft, kan je wel pingen van PC naar server, en zitten ze ook daadwerkelijk aan de poorten van de MikroTik de je in je bridge hebt gekoppeld.
En verder nog, misschien een firewall op je server die de boel blokkeert?

donderdag 17 april 2025 10:50

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

pimlie schreef op woensdag 16 april 2025 @ 23:17:
@Roetzen Zijn je desktop en server beide met een netwerk kabel aangesloten op de mikrotik? En je hebt geverifieerd dat beide een 192.168.88.x ip adres krijgen via dhcp? Dat wil zeggen dat je zowel het lokale ip adress + netmask hebt gecontroleerd van de desktop/server als de dhcp leases tab en je hebt gecontroleerd dat beide hetzelfde zijn.

Driemaal ja.

Het zou raar zijn dat het niet zo werken als dat zo was, want verkeer van/naar 192.168.88.x kan direct over de switch chip lopen en komt dus niet eens op de cpu/firewall terecht.

Het is inderdaad heel raar en ik snap er dan ook niets van. Dit heeft in het verleden met andere routers ook altijd gewerkt. Alleen nu met Mikrotek niet. Sterker nog het werkt zelfs niet als ik via een externe switch de client en de server op dezelfde ethernet poort op de Mikrotik zet. (ether3 in dit geval). Het lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.

Kan je de server wel pingen vanaf je desktop?

Ja pingen gaat wel. Zowel op IPv4 als op IPv6. Pingen op IPv6 werkt ook van buiten af.

Als ik de client op dezelfde PC draai als waar de server op draait, dan is de server wel bereikbaar.

Die dhcp client op ether1 zou trouwens niet nodig hoeven te zijn, ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.

Maar het kan ook geen kwaad? Volgens mij is dat gewoon de default configuratie en is die blijven staan toen ik VLAN 100 aanmaakte en koppelde aan ether1.

Laatste tip, probeer eerst alleen ipv4 werkend te krijgen (ie disable alle ipv6 gedoe op de mikrotik). Voor hetzelfde geldt is er een ipv4/ipv6 routing voorkeur probleem.

Dat heb ik ook al gehad. Ik ben begonnen met IPv4 only. En toen dat niet ging heb ik IPv6 ingeschakeld om te zien of ik daar hetzelfde probleem zou hebben. En dat heb ik dus inderdaad.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 10:53

Acties:

0 Henk 'm!

orvintax

www.fab1an.dev

Roetzen schreef op donderdag 17 april 2025 @ 10:50:
[...]

Driemaal ja.

[...]

Het is inderdaad heel raar en ik snap er dan ook niets van. Dit heeft in het verleden met andere routers ook altijd gewerkt. Alleen nu met Mikrotek niet. Sterker nog het werkt zelfs niet als ik via een externe switch de client en de server op dezelfde ethernet poort op de Mikrotik zet. (ether3 in dit geval). Het lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.

[...]

Ja pingen gaat wel. Zowel op IPv4 als op IPv6. Pingen op IPv6 werkt ook van buiten af.

Als ik de client op dezelfde PC draai als waar de server op draait, dan is de server wel bereikbaar.

[...]

Maar het kan ook geen kwaad? Volgens mij is dat gewoon de default configuratie en is die blijven staan toen ik VLAN 100 aanmaakte en koppelde aan ether1.

[...]

Dat heb ik ook al gehad. Ik ben begonnen met IPv4 only. En toen dat niet ging heb ik IPv6 ingeschakeld om te zien of ik daar hetzelfde probleem zou hebben. En dat heb ik dus inderdaad.

Begrijp ik het nu goed dat zelfs als je een switch tussen de Mikrotik router en je server/client hangt dat het dan nog altijd niet werkt? In dat geval zou de data niet eens bij de router moeten komen.

https://dontasktoask.com/

donderdag 17 april 2025 10:58

Acties:

0 Henk 'm!

pimlie

@Roetzen Weet je zeker dat die binkp server wel op 0.0.0.0 bind? Of bind die nog op een oud/specifiek ip adres?

--edit--
Voor de duidelijkheid, ik bedoel de service zelf die op de server met het 192.168.88.x ip draait

[ Voor 32% gewijzigd door pimlie op 17-04-2025 11:04 ]

donderdag 17 april 2025 11:00

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

babbelbox schreef op donderdag 17 april 2025 @ 07:05:
@Roetzen Ik zie in je config ook niets geks wat kan verklaren waarom je vanaf je desktop PC je server niet kan bereiken.

Het blijft dus een mysterie..

Wat pimlie ook aangeeft, kan je wel pingen van PC naar server, en zitten ze ook daadwerkelijk aan de poorten van de MikroTik de je in je bridge hebt gekoppeld.

Ja, het klopt echt allemaal. En het werkte intern ook toen het nog aan de Nokia XG2426 hing die ik van Delta had gekregen. Ik ben juist naar een eigen ONT en router overgestapt omdat ik daar de port forwarding en pinholing niet aan de praat kreeg.
En ik heb mijn Ziggo lijntje ook nog even aan gehouden en als ik het aan mijn Ziggo modem/router hang dan werkt alles zoals verwacht.

En verder nog, misschien een firewall op je server die de boel blokkeert?

Tja, het heeft meer dan tien jaar gewerkt. Totdat ik met een Mikrotek router aan de gang ging..En het werkt nog steeds weer als ik even terug ga naar mijn Ziggo configuratie met de zwarte Sagemcom modem/router van Ziggo...

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 11:03

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

orvintax schreef op donderdag 17 april 2025 @ 10:53:
[...]

Begrijp ik het nu goed dat zelfs als je een switch tussen de Mikrotik router en je server/client hangt dat het dan nog altijd niet werkt? In dat geval zou de data niet eens bij de router moeten komen.

Je begrijpt het goed, zelfs dan werkt het niet.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 11:06

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

pimlie schreef op donderdag 17 april 2025 @ 10:58:
@Roetzen Weet je zeker dat die binkp server wel op 0.0.0.0 bind? Of bind die nog op een oud/specifiek ip adres?

--edit--
Voor de duidelijkheid, ik bedoel de service zelf die op de server met het 192.168.88.x ip draait

Ja, dat weet ik zeker.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 11:18

Acties:

0 Henk 'm!

pimlie

@Roetzen Kan je screenshots maken van de netwerk configuratie van je desktop & server? Liefst ook de routes op beide (dus ipconfig /all & route print op windows of ip a & ip r op linux). Het is niet dat ik je niet geloof, maar als het allemaal klopt wat je zegt dan zou het gewoon moeten werken.
Maar omdat je aangeeft dat het toch nog niet werkt, moet er dus ergens iets aan de hand zijn. Het is moeilijk om vanaf hier te achterhalen wat het is, vooral ook omdat je vooral de hele tijd zegt dat het klopt maar je laat het ons niet zien dat het klopt. Dus voor hetzelfde geldt heb jij nu al 5x ergens over heen gekeken waarvan jij het idee hebt dat het klopt, maar waarvan wij direct zouden zien dat het niet klopt.

Het lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.

Heb je dit gecontroleerd? Zie je verkeer naar de binkp server voorbij komen in Torch of als je een firewall regel logt? Zie ook mijn laatste zin boven deze quote

En ik heb mijn Ziggo lijntje ook nog even aan gehouden en als ik het aan mijn Ziggo modem/router hang dan werkt alles zoals verwacht.

Welke ip reeks geeft dat Ziggo modem uit? Als je op de Mikrotik alle 192.168.88.x ip reeksen aanpast naar dezelfde als op je Ziggo modem, werkt het dan wel?

donderdag 17 april 2025 15:09

Acties:

0 Henk 'm!

kaaas

@Roetzen Het is mij nog niet helemaal duidelijk wat het exacte probleem is.
Feitelijk zeg je 2 dingen kun je dit bevestigen?
-Pingen naar lokale adressen werkt (ipv4 of 6 is onduidelijk)
-Binkp service is niet bereikbaar op het lokale adres (ipv4 of 6 is onduidelijk)

Zou je het volgende willen testen?
Kun je de binkp server pingen op zijn lokale ipv4 adres
Kun je een telnet sessie op zetten naar je binkp server op het lokale ipv4 adres en poort 24554?

Zoals hierboven aangegeven kan het zijn dat doordat je adres reeks is veranderd van 192.168.2.0/24 naar 192.168.88.0/24 de instellingen op je binkp server niet meer kloppen?
Bijv een statisch adres, default gateway, statische routes, dns settings, firewall regels, binkp service luistert op een specifiek adres noem maar op.

Als ik naar je config kijk en het feit dat het via een switch ook niet werkt heb ik een sterk vermoeden dat het probleem niet in je mikrotik zit.

donderdag 17 april 2025 16:12

Acties:

0 Henk 'm!

Roetzen

he.net Certified Sage

babbelbox schreef op donderdag 17 april 2025 @ 07:05:
@Roetzen
En verder nog, misschien een firewall op je server die de boel blokkeert?

Na nog wat testen ben ik er niet zo zeker meer van.

Wordt vervolgd....

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 17:33

Acties:

+4 Henk 'm!

Roetzen

he.net Certified Sage

@pimlie @kaaas @orvintax @babbelbox @DJP!
Het is potjankukeltje toch de firewall op de PC waar de server op draait. Om één of andere reden stond die om verder onverklaarbare redenen op “ openbaar netwerk”. Nadat ik dat gewijzigd had in “thuisnetwerk” kon ik de server wel bereiken vanaf clients in het LAN.

Nu nog de port IPv4 forward en de IPv6 pinholing. Morgen is er weer een dag.

Iedereen hartelijk bedankt voor het meedenken tot zo ver.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

donderdag 17 april 2025 18:03

Acties:

+3 Henk 'm!

kaaas

Ooh het is een windows machine dan snap ik het wel

donderdag 17 april 2025 23:43

Acties:

+1 Henk 'm!

Roetzen

he.net Certified Sage

De port forward en de pinholing bleken geen probleem meer te vormen. Het werkt nu allemaal zoals bedoeld.

Iedereen nogmaals bedankt voor het meedenken.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

vrijdag 25 april 2025 10:06

Acties:

0 Henk 'm!

martinschilder

Hi allen

Ik heb een dilema.... Ik zie even door de bomen het bos niet meer..

Ik krijg mijn kpn tv multicast niet werkend en ik zie even niet waar ik nu de mist in ga.

Zou iemand mij kunnen helpen?

Alvsat dank

code:

add igmp-snooping=yes name=Bridge_KPN_TV
add igmp-snooping=yes igmp-version=3 multicast-querier=yes name=bridge-lan \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether16 ] disabled=yes
/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan
add comment=internet interface=sfp-sfpplus1 name=internet vlan-id=6
add interface=sfp-sfpplus1 name=televisie vlan-id=4
add comment=Management interface=bridge-lan name=vlan190 vlan-id=190
add comment=Streaming interface=bridge-lan name=vlan3500 vlan-id=3500
add comment=Televisie interface=bridge-lan name=vlan3501 vlan-id=3501
add comment=Radio interface=bridge-lan name=vlan3502 vlan-id=3502
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=internet name=\
    pppoe-out1 use-peer-dns=yes user=internet
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=dhcp_pool0 ranges=192.168.150.2-192.168.150.254
add name=dhcp_pool1 ranges=192.168.60.2-192.168.60.254
add name=dhcp_pool2 ranges=192.168.150.2-192.168.150.254
add name=dhcp_pool3 ranges=192.168.160.2-192.168.160.254
add name=dhcp_pool4 ranges=192.168.190.2-192.168.190.254
add name=dhcp_pool5 ranges=192.168.191.2-192.168.191.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=vlan3500 name=dhcp1
add address-pool=dhcp_pool2 interface=vlan3502 name=dhcp2
add address-pool=dhcp_pool3 interface=vlan3501 name=dhcp3
add address-pool=dhcp_pool4 interface=vlan190 name=dhcp4
add address-pool=dhcp_pool5 interface=bridge-lan name=dhcp5
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge-lan interface=sfp-sfpplus2
add bridge=bridge-lan interface=ether2 pvid=3500
add bridge=bridge-lan interface=ether3 pvid=3500
add bridge=bridge-lan interface=ether4 pvid=3500
add bridge=bridge-lan interface=ether5 pvid=3501
add bridge=bridge-lan interface=ether6 pvid=3501
add bridge=bridge-lan interface=ether7 pvid=3501
add bridge=bridge-lan interface=ether8 pvid=3501
add bridge=bridge-lan interface=ether9 pvid=3502
add bridge=bridge-lan interface=ether10 pvid=3502
add bridge=bridge-lan interface=ether11 pvid=3502
add bridge=bridge-lan interface=ether12 pvid=3502
add bridge=bridge-lan interface=ether13
add bridge=Bridge_KPN_TV interface=televisie
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=ether2,ether3,ether4 \
    vlan-ids=3500
add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=\
    ether5,ether6,ether7,ether8 vlan-ids=3501
add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=\
    ether9,ether10,ether11,ether12 vlan-ids=3502
add bridge=bridge-lan tagged=sfp-sfpplus2 vlan-ids=1,190
/interface ovpn-server server
add mac-address=FE:E8:4B:1C:72:F4 name=ovpn-server1

/ip address
add address=10.138.138.1/24 interface=wireguard1 network=10.138.138.0
add address=192.168.60.1/24 interface=vlan3500 network=192.168.60.0
add address=192.168.150.1/24 comment="Radio Management" interface=vlan3502 \
    network=192.168.150.0
add address=192.168.160.1/24 interface=vlan3501 network=192.168.160.0
add address=192.168.190.1/24 interface=vlan190 network=192.168.190.0
add address=192.168.191.1/24 interface=bridge-lan network=192.168.191.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=250 \
    dhcp-options=option60-vendorclassx interface=Bridge_KPN_TV use-peer-dns=\
    no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.150.247 comment=Aeron0 mac-address=6C:3B:E5:16:FB:9C \
    server=dhcp2
/ip dhcp-server network
add address=192.168.60.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\
    192.168.60.1
add address=192.168.150.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\
    192.168.150.1
add address=192.168.160.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\
    192.168.160.1
add address=192.168.190.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\
    192.168.190.1
add address=192.168.191.0/24 gateway=192.168.191.1
/ip firewall address-list
add address=192.168.60.0/24 list=BGP-Martin
add address=192.168.150.0/24 list=BGP-Martin
add address=192.168.160.0/24 list=BGP-Martin
add address=192.168.190.0/24 list=BGP-Martin
add address=192.168.191.0/24 list=BGP-Martin
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=\
    tcp
add action=accept chain=input comment=Wireguard dst-port=51820 in-interface=\
    pppoe-out1 protocol=udp
add action=accept chain=input comment="KPN TV Multicast IN" dst-address=\
    224.0.0.0/4 in-interface=Bridge_KPN_TV protocol=igmp
add action=reject chain=input in-interface=pppoe-out1 protocol=tcp \
    reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment=Radio out-interface=pppoe-out1 \
    src-address=192.168.150.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
    100.64.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
    192.168.190.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
    192.168.60.0/24
add action=masquerade chain=srcnat comment="televisie subnet" out-interface=\
    pppoe-out1 src-address=192.168.160.0/24
add action=masquerade chain=srcnat comment="lan vlan1" out-interface=\
    pppoe-out1 src-address=192.168.191.0/24
add action=dst-nat chain=dstnat comment="Nat naar Alarmcentrale" dst-address=\
    x.x.x.x.x  dst-port=10001 in-interface=pppoe-out1 protocol=tcp \
    to-addresses=192.168.190.110 to-ports=10001
add action=dst-nat chain=dstnat dst-address=x.x.x.x.x dst-port=9000 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.150.221 \
    to-ports=9000
add action=masquerade chain=srcnat comment="KPN TV" dst-address=\
    217.166.0.0/16 out-interface=Bridge_KPN_TV
add action=masquerade chain=srcnat comment="KPN TV" dst-address=213.75.0.0/16 \
    out-interface=Bridge_KPN_TV
add action=masquerade chain=srcnat dst-address=10.207.0.0/20 out-interface=\
    Bridge_KPN_TV
add action=masquerade chain=srcnat comment="NAT Voor KPN TB" out-interface=\
    Bridge_KPN_TV
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip smb shares
set [ find default=yes ] directory=flash/pub
/routing igmp-proxy
set query-interval=30s
/routing igmp-proxy interface
add interface=bridge-lan
add alternative-subnets=0.0.0.0/0 interface=Bridge_KPN_TV upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool romon
set enabled=yes

vrijdag 25 april 2025 12:02

Acties:

0 Henk 'm!

pimlie

@martinschilder In je igmp proxy zou je iig direct de interface met vlan 4 als upstream moeten kunnen configureren, niet een bridge. Volgens mij noem je de iptv vlan interface 'televisie'? Zelfde met je firewall rules.

zondag 27 april 2025 16:28

Acties:

+1 Henk 'm!

Roetzen

he.net Certified Sage

pimlie schreef op woensdag 16 april 2025 @ 23:17:
ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.

Nog even een aanvulling. Ik leer er steeds een beetje bij. ether1 hoeft inderdaad niet aan de WAN interface list toegevoegd te worden in dit geval. De communicatie met de buitenwereld loopt immers geheel over VLAN100. Maar ja omdat het deel was van de default configuratie durfde ik dat aanvankelijk niet te veranderen, aangenomen dat het geen kwaad kon.

Maar nu komt het toch van pas omdat ik een toevoeging heb gemaakt waardoor ik vanaf de apparaten op het LAN toch bij het webinterface van de Nokia ONT kan komen. Dat bleek heel eenvoudig. Gewoon een vrij adres in de range 192.168.100.0/24 aan ether1 toevoegen et voila! Met dank aan @mvdnes

Heel nuttig is het verder niet, je kan eigenlijk niks met de WEBgui van de Nokia XS-010X-Q. Maar het is leuk om nu eens te snappen wat ik doe.

Ripe Atlas Probes 2462, 2635 en 17297 helaas RIP

zondag 27 april 2025 16:36

Acties:

+1 Henk 'm!

babbelbox

Roetzen schreef op zondag 27 april 2025 @ 16:28:
[...]

Nog even een aanvulling. Ik leer er steeds een beetje bij. ether1 hoeft inderdaad niet aan de WAN interface list toegevoegd te worden in dit geval. De communicatie met de buitenwereld loopt immers geheel over VLAN100. Maar ja omdat het deel was van de default configuratie durfde ik dat aanvankelijk niet te veranderen, aangenomen dat het geen kwaad kon.

Maar nu komt het toch van pas omdat ik een toevoeging heb gemaakt waardoor ik vanaf de apparaten op het LAN toch bij het webinterface van de Nokia ONT kan komen. Dat bleek heel eenvoudig. Gewoon een vrij adres in de range 192.168.100.0/24 aan ether1 toevoegen et voila! Met dank aan @mvdnes

Heel nuttig is het verder niet, je kan eigenlijk niks met de WEBgui van de Nokia XS-010X-Q. Maar het is leuk om nu eens te snappen wat ik doe.

Ook zonder de toevoeging aan de WAN list kan het werken zoals je omschrijft. Mits je maar de juiste firewall filter rules maakt en evt. een NAT rule.

vrijdag 2 mei 2025 12:30

Acties:

0 Henk 'm!

martinschilder

Hi ik heb een vraagje

Ik zit met de volgende situatie

Ik heb op Lokatie A op ether1 2 vlans

vlan2 internet
vlan10 lan

daarnaast heb ik ook vxlan draaien

de vxlan interface heeft verbinding met lokatieB

op side A heb ik een bridge aangemaak waar vlan10 en vxlan1 in hangen

op side B als ik daar torch op vxlan1 dan zie ik de data van vlan10

Nu wil ik dat de vlan10 data op lokatieB terecht komt in vlan241 zodat ik dat verder het netwerk in kan laten vloeien.

dus ik heb ook op lokatie B een bridge gemaakt en daar vxlan1 en vlan241 in gehangen.

Als ik nu ga snifen op vlan241 zie ik niet de data echter op de bridge wel..

Wat doe ik fout?

Alvast dank

vrijdag 2 mei 2025 12:44

Acties:

+2 Henk 'm!

pimlie

@martinschilder Vertel svp eerst eens of / hoe je vorige probleem is opgelost voordat we je met het volgende probleem helpen.

Sowieso is het aan te raden altijd alle relevante configs & test commandos te delen

vrijdag 2 mei 2025 12:51

Acties:

0 Henk 'm!

martinschilder

pimlie schreef op vrijdag 2 mei 2025 @ 12:44:
@martinschilder Vertel svp eerst eens of / hoe je vorige probleem is opgelost voordat we je met het volgende probleem helpen.

Sowieso is het aan te raden altijd alle relevante configs & test commandos te delen

naar welk vorig probeem?

vrijdag 2 mei 2025 13:06

Acties:

+2 Henk 'm!

pimlie

martinschilder in "[MikroTik-apparatuur] Ervaringen & Discussie"

zondag 4 mei 2025 10:13

Acties:

0 Henk 'm!

martinschilder

pimlie schreef op vrijdag 25 april 2025 @ 12:02:
@martinschilder In je igmp proxy zou je iig direct de interface met vlan 4 als upstream moeten kunnen configureren, niet een bridge. Volgens mij noem je de iptv vlan interface 'televisie'? Zelfde met je firewall rules.

Nou dit geloof je niet maar de itv plus box daar heb je een functie om wel of geen multicast te gebruiken.
Aldus het menu stond deze aan maar door heen en weer te schakelen tussen unicast en mulitcast begon het te werken.

zondag 4 mei 2025 10:14

Acties:

0 Henk 'm!

martinschilder

pimlie schreef op vrijdag 2 mei 2025 @ 13:06:
martinschilder in "[MikroTik-apparatuur] Ervaringen & Discussie"

zie reactie

zondag 4 mei 2025 17:09

Acties:

0 Henk 'm!

pimlie

martinschilder schreef op zondag 4 mei 2025 @ 10:13:
Nou dit geloof je niet maar de itv plus box daar heb je een functie om wel of geen multicast te gebruiken.
Aldus het menu stond deze aan maar door heen en weer te schakelen tussen unicast en mulitcast begon het te werken.

Hmm, klinkt raar inderdaad. Je hebt nog altijd die bridge als igmp upstream? Hoe was je erachter gekomen dat dit het was?

Als ik nu ga snifen op vlan241 zie ik niet de data echter op de bridge wel..

Kan je wat meer uitleggen hoe en wat, bv subnets/ips/routes etc? Wat voor verkeer zie je wel en waarom verwacht je dat dat verkeer over vlan241 wordt gerouteerd?

woensdag 7 mei 2025 07:58

Acties:

0 Henk 'm!

martinschilder

pimlie schreef op zondag 4 mei 2025 @ 17:09:
[...]

Hmm, klinkt raar inderdaad. Je hebt nog altijd die bridge als igmp upstream? Hoe was je erachter gekomen dat dit het was?

toeval

[...]

Kan je wat meer uitleggen hoe en wat, bv subnets/ips/routes etc? Wat voor verkeer zie je wel en waarom verwacht je dat dat verkeer over vlan241 wordt gerouteerd?

Lokatie A:

Ehter1 heeft 2 vlans

vlan2 hier zit het default internet op
vlan30 hier zit lan verkeer op

Lokatie A heeft via wireguard verbinding met Lokatie B

WG ip A 100.80.1.1
WB ip B 100.80.1.2

A & B kunnen netjes met elkaar praten via de wireguard interface

Op lokatie A is een VXLAN interface gemaakt met VNI 9852 en local address 100.80.1.1 VTEP Remote ip 100.80.1.2

Lokatie B zelfde VXLAN/9862 en local address 100.80.1.2 VTEP remote ip 100.80.1.1

Voor Lokatie A heb ik een bridge aangemaakt waar dus het VXLAN interface en vlan30 heb toegevoegd met de gedachtegang dat het verkeer untagged doorvloeid naar de bridge.

Lokatie B idem bridge en vxlan maar dan een vlan241 interface toegevoegd.

Die vlan241 interface is vervolgens weer toegevoegd aan sfp-plus1 welke daar op B aan het netwerk hangt.

Ik zou verwachten dat ik nu het verkeer van vlan30 zou zien maar dit is niet het geval.... Ik loop dus een beetje vast

woensdag 7 mei 2025 14:18

Acties:

0 Henk 'm!

verguldebarman

Vraagje. Ik heb gisteravond een Mikrotik hEX refresh geplaatst met de defaulf config in de firewall. Om te kijken wat er allemaal gedropped wordt heb ik de log aangezet voor "defconf: drop all not coming from LAN". Daarmee wordt alles op de WAN gedropped, muv de lijst met NAT regels.

Binnen een half uur loopt mijn log vervolgens helemaal vol met regels als:

2025-05-07 13:31:16 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 20.169.104.255:35233->XXX.XXX.XXX.XXX:9200, len 40
2025-05-07 13:31:19 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 23.94.28.175:48875->XXX.XXX.XXX.XXX:10459, len 40
2025-05-07 13:31:21 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto UDP, 84.116.46.20:53->XXX.XXX.XXX.XXX:5678, len 80
2025-05-07 13:31:26 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 59.125.205.245:1209->XXX.XXX.XXX.XXX:80, len 40
2025-05-07 13:31:35 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 83.222.191.38:40005->XXX.XXX.XXX.XXX:49026, len 40
2025-05-07 13:31:35 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 104.248.161.168:43516->XXX.XXX.XXX.XXX:18043, len 44
2025-05-07 13:31:49 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto UDP, 159.148.147.229:30000->XXX.XXX.XXX.XXX:5678, len 60
2025-05-07 13:31:57 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 167.94.138.128:22588->XXX.XXX.XXX.XXX:8443, len 60
2025-05-07 13:32:00 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 216.144.248.22:23142->XXX.XXX.XXX.XXX:9091, len 60
2025-05-07 13:32:01 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 216.144.248.22:23142->XXX.XXX.XXX.XXX:9091, len 60

Zou het kunnen zijn dat iemand via mijn public IP de router als DDoS traffic generator probeert te gebruiken?
Of is er iets anders aan de hand?

Enig advies wat te doen?

Vrijstaande woning, dubbel glas, veel ramen, alles open verbonden, ca 300m3, geen extra isolatie, vvw in de woonkamer, rest type 10 zonder boosters, T6 op 20°C & 19,5°C nacht, 4,5kW Quatt, Intergas Xtreme36, 6MWh Wp, Warmteverl. (-10°C) 7kW bij max 15°C

woensdag 7 mei 2025 15:54

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Ruis van het Internet, niet zo spannend. Logging uitzetten

Eerst het probleem, dan de oplossing

woensdag 7 mei 2025 16:33

Acties:

0 Henk 'm!

verguldebarman

lier schreef op woensdag 7 mei 2025 @ 15:54:
Ruis van het Internet, niet zo spannend. Logging uitzetten

Ruis van het Internet... mooie term $_/-\o_$

dinsdag 20 mei 2025 22:01

Acties:

0 Henk 'm!

FrankHe

Ik heb denk ik even wat hulp nodig aangaande een Huawei LTE USB-stick in combinatie met RouterOS.

In het forum kwam ik de volgende post tegen van @mbovenka die kennelijk een werkende situatie heeft:
mbovenka in "[MikroTik-apparatuur] Ervaringen & Discussie"

Nu wil het geval dat ik ook met zo'n combinatie aan het spelen ben. In mijn geval betreft het de Huawei E3372-325 met een Mikrotik E50UG (hEX refresh)

De hEX refresh is nieuw uit doos en ben van plan deze verder naar mijn wens in te richten. Heb al enkele hAP ax lite's in gebruik en ben ondertussen redelijk thuis in RouterOS.

Waar ik nu tegenaan loop is dat de stick wordt herkend maar dat RouterOS er geen traffic naartoe routeert. Voor mijn gevoel is het iets simpels maar ik kan het niet vinden.

Er zijn geen Routing Tables of Rules ingericht. Bij Routing Nexthops is de 'lte1' netjes te zien.
Bij IP Route zit ook alles er keurig uit.

De LTE USB-stick heb ik ingericht als subnet 192.168.33.0/24. Zodra ik de USB-stick direct in mijn laptop steek dan kan ik netjes de webinterface 192.168.33.1 van de stick benaderen. Zodra ik de stick in de Mikrotik steek dan lukt het me niet om die 192.168.33.1 te benaderen. Verder is 'lte1' helemaal zichtbaar en bij de IP Routes zie ik ook netjes het subnet 192.168.33.0/24 verschijnen. Het lukt me wel om het 'lokale adres' van dat subnet te pingen, het adres wat de DHCP-server in de stick heeft toegekend aan de Mikrotik. Wanneer ik de stick zelf probeer te pingen dan komt er geen response.

Het subnet van de hEX refresh is de standaard 192.168.88.0/24 en zit elkaar dus niet in de weg.
Edit, voor aankoop heb ik goed op de compatibility gelet: "Models with suffixes -325 works only with arm cpu", of te wel, deze stick is compatible met de CPU in de Mikrotik.
Edit 2, de stick werkt naar behoren wanneer ik deze in mijn GL-iNET AX1800 travelrouter steek. Ik doe dus iets fout op de hEX refresh maar ik zie het zo snel niet.

Het is wellicht iets simpels, hopelijk schiet iemand iets te binnen?

Bij voorbaat hartelijk dank!

[ Voor 10% gewijzigd door FrankHe op 20-05-2025 22:15 ]

woensdag 21 mei 2025 07:32

Acties:

0 Henk 'm!

kaaas

Zou je een export van je config kunnen posten?

woensdag 21 mei 2025 08:34

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Heb je de LTE interface toegevoegd aan de WAN interface list?

Eerst het probleem, dan de oplossing

woensdag 21 mei 2025 15:18

Acties:

+1 Henk 'm!

FrankHe

lier schreef op woensdag 21 mei 2025 @ 08:34:
Heb je de LTE interface toegevoegd aan de WAN interface list?

Dat was hem inderdaad! Toegevoegd en het werkt nu, hartelijk dank!

Dit is de eerste keer dat ik met multi-WAN aan de slag ben. Weer iets geleerd.

woensdag 21 mei 2025 15:41

Acties:

0 Henk 'm!

GarBaGe

Zijn hier ook mensen die ervaring hebben met Mikrotik configuratie extern bewaren / beheren?
Via Git -> Ansible -> Mikrotik ?
Dan kan je op 1 centrale plek alle configuratie bijhouden en in 1 keer uitrollen?

Of wellicht een alternatief voor Ansible?

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

woensdag 21 mei 2025 16:26

Acties:

0 Henk 'm!

Freeaqingme

@GarBaGe Ik heb het wel andersom. Daarbij doe ik Mikrotik -> Oxidized -> Git. Daarbij pullt Oxidized bijvoorbeeld ieder uur de config naar een centrale git repo toe. Op die manier kan je makkelijk zien wanneer welke wijziging gemaakt is en kan je 't eventueel als backup gebruiken.

Afhankelijk van wat je exact wilt bereiken sluit dat precies wel of niet aan bij wat je zoekt

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

woensdag 28 mei 2025 18:17

Acties:

0 Henk 'm!

mgom

Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.

vrijdag 30 mei 2025 20:47

Acties:

+1 Henk 'm!

FrankHe

@mgom Wel de hEX refresh maar ik zit niet bij KPN. De ARM CPU in de MikroTik E50UG is echt bijzonder krachtig voor dat geld. Het zou me verbazen als die problemen heeft met 1 Gbps PPPoE.

Enkele weken geleden heb ik twee hEX refreshes gekocht en ben er mee aan het spelen. Ik zal komende week eens een PPPoE opzetten tussen beide units en kijken hoe dat performt.

vrijdag 30 mei 2025 22:04

Acties:

+3 Henk 'm!

sambaloedjek

mgom schreef op woensdag 28 mei 2025 @ 18:17:
Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.

Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.

Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025

maandag 2 juni 2025 09:06

Acties:

0 Henk 'm!

FrankHe

sambaloedjek schreef op vrijdag 30 mei 2025 @ 22:04:
[...]

Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.

Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025

De E60iUGS is inderdaad net gelanceerd, letterlijk gisteren. Ook mij lijkt dat de uitgelezen oplossing in deze situatie. Echter duurt het wellicht nog een aantal weken voordat deze daadwerkelijk beschikbaar komt.

donderdag 5 juni 2025 07:23

Acties:

0 Henk 'm!

mukky

babbelbox schreef op donderdag 21 maart 2024 @ 13:11:
[...]

Maar dan heb jij een AON verbinding, vermoed ik.
Ik heb een GPON aansluiting, vandaar de 'specifieke' SFP+ module

Heb je je probleem ooit opgelost? Ik ben van plan om een nieuwe Hex S te kopen en wil er dan een SFP+ module instoppen voor mijn e-fiber aansluiting maar weet niet welke SFP ik moet kopen

donderdag 5 juni 2025 11:43

Acties:

0 Henk 'm!

superyupkent

Hier zit veel kennis over KPN/Delta icm SFP modules: LINK

donderdag 5 juni 2025 11:59

Acties:

0 Henk 'm!

Commendatore

Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

donderdag 5 juni 2025 12:02

Acties:

+2 Henk 'm!

Shinji

Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

Ik moest zoeken wat het was, heb paar Mikrotiks sinds de originele HEX, en ook de RB5009 maar nog nooit nodig gehad.

donderdag 5 juni 2025 13:29

Acties:

+1 Henk 'm!

Hmmbob

Nope, ik zie dat ook meer als oplossing voor als je t echt heel erg verkloot hebt

Heb zelfs ik nog niet eerder nodig gehad

Altijd Winbox of WebUI, heel soms ssh

Sometimes you need to plan for coincidence

donderdag 5 juni 2025 15:11

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

Ik heb slechts 1 keer de Netinstall nodig gehad.
Dat was op mijn hAP ac2, omdat Mikrotik een nieuwe firmware te groot had gemaakt voor het (te kleine) interne geheugen van die routers.

Maar ik zou me daar bij de RB5009 geen zorgen over maken.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 20 juni 2025 12:11

Acties:

0 Henk 'm!

BaseBoyNL

Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.

Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?

Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.

Iemand die me wegwijs kan maken in deze keuze?

vrijdag 20 juni 2025 12:49

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Mijn bevooroordeelde "2 cents":

Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.

Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.

Voor wat betreft je vraag, op dit moment zijn er globaal 4 producten voor Wifi die binnen "kunnen":
hAP AX2, hAP AX3, cAP AX en wAP AX. Deze laatste is een bizar goed accesspoint en draait hier (in drievoud) kneiterstabiel mijn thuisnetwerk in CAPsMAN (de centrale manager voor wifi).

Als je "echte" vragen hebt, laat maar weten!

Eerst het probleem, dan de oplossing

vrijdag 20 juni 2025 13:41

Acties:

0 Henk 'm!

BaseBoyNL

lier schreef op vrijdag 20 juni 2025 @ 12:49:
Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.

Compleet nieuwe infra voor het huis.
1x Router
1x 16 port switch met PoE?
3x Accesspoint voor binnen
1x Accesspoint voor buiten

Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.
Liefste geen cloud omgeving en alles lokaal te beheren (self hosted).

Mooi product van unify vind ik bijvoorbeeld:
https://techspecs.ui.com/unifi/wifi/u7-iw?s=eu

Budget is ongeveer 800,- maar dat hoeft het niet te kosten natuurlijk

vrijdag 20 juni 2025 13:45

Acties:

0 Henk 'm!

Shinji

lier schreef op vrijdag 20 juni 2025 @ 12:49:
Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.

Wat betreft APs ben ik het hier niet mee eens overigens. APs van Ubiquity zijn prima standalone te gebruiken zonder verder iets af te nemen. Net zo goed als de Mikrotiks samenwerken met andere vendoren.

vrijdag 20 juni 2025 14:00

Acties:

0 Henk 'm!

mbovenka

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 13:41:
Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.

Als WiFi7 een eis is, valt MikroTik af. Dat hebben ze (nog) niet.

vrijdag 20 juni 2025 14:00

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.

Ik heb ook overal Mikrotik hangen in huis.
Maar gewoon met Wifi5 en 1Gb poorten.

De RB4011iGS+5HacQ2HnD-IN als Wifi AP (voor de begane grond), switch en DHCP server.
En 3 hAP AC2's als AP's en switch (op de 1e, zolder en tuin).

Dat voldoet meer dan genoeg voor alles wat de vrouw en kinderen doen op hun mobieltjes, TV's en laptops.
Evenals voor mijn pc's, NAS-en, etc...

[ Voor 15% gewijzigd door Thasaidon op 20-06-2025 14:07 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 20 juni 2025 14:06

Acties:

+1 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

Laat ik hier delen hoe ik tot mijn keuze ben gekomen.

In mijn meterkast stond al jaren een FRITZ!Box 7590 te zoemen. Daar was ik op zich tevreden over en de functies waren uitgebreid (voor een consumentenrouter, welteverstaan). Maar wat ik bv. miste was de mogelijkheid om een echte DMZ in te richten en met de komst van glasvezel (Glaspoort is hier onlangs met de aanleg begonnen) zou ik ook te weinig Ethernetpoorten hebben. Verder begon ik mij in toenemende mate te storen aan het gefragmenteerde updatebeleid van AVM.

Ik ben bij MikroTik uitgekomen omdat je voor een bescheiden bedrag (Ubiquity is toch een heel stuk duurder) prima hardware krijgt en de functionaliteit zeer uitgebreid is (op enterpriseniveau). Je wordt in de configuratiemogelijkheden niet beperkt tot wat het product management van de fabrikant zinvol vindt om in een GUI te ondersteunen.

De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:

Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.

PoE bleek het lastigste punt. MikroTik heeft weliswaar veel producten die PoE ondersteunen, maar ze zij er in twee smaken: passive PoE (24V) en 802.3af/at (tot 57V). Die twee smaken kun je niet door elkaar gebruiken! Na lang wikken en wegen ben ik uitgekomen bij een RB5009UPr+S+IN als hart van mijn netwerk en twee stuks wAP ax (een beneden en een op de verdieping, beide hangen tegen een buitenmuur). Van die keuzes heb ik nog geen seconde spijt gehad. Omdat ik nu nog een VDSL-aansluiting heb, doet een DrayTek Vigor 165 tijdelijk dienst als VDSL-bridge.

Dan resten mij nog een paar waarschuwingen:

Je kunt MikroTik apparatuur zoals gezegd op detailniveau configureren. De keerzijde is dat je ook heel verkeerde dingen kunt doen. RouterOS houdt je daarbij op geen enkele wijze tegen. In de leerfase heb ik de hardwarematige factory reset dan ook een keer nodig gehad. Grondige netwerkkennis is zeer gewenst om te voorkomen dat er gekke dingen gebeuren en je niet begrijpt waarom.
De RouterOS documentatie is zeer uitgebreid, maar helaas niet altijd even goed toegankelijk. De juiste pagina vinden gaat nogal eens gemakkelijker met Google dan met de zoekfunctie op de MikroTik site.
MikroTik doet dingen op de MikroTik manier. Zelfs als je vele jaren ervaring hebt in netwerken zul je merken dat de leercurve heel steil is. Maar als je eenmaal boven bent is het uitzicht prachtig.

vrijdag 20 juni 2025 14:29

Acties:

+1 Henk 'm!

BaseBoyNL

Allereerst dank voor jullie reacties!

Thasaidon schreef op vrijdag 20 juni 2025 @ 14:00:
@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.

De computer heeft al een 2,5Gb poort en ik verwacht dat mijn volgende zelfbouw server dit ook zal hebben dus ja dit is actueel. Dit zelfde geld voor Wifi7 welke ik verwacht dat me volgende laptop dit zal hebben.

Ik vind het altijd zonde om niet direct de laatste tech te kopen en over 2 a 3 jaar weer te moeten upgraden.
Naar mijn verwachting zullen streams en gaming steeds meer data gaan verbruiken en komen er steeds meer devices (IoT bijvoorbeeld) op het wifi netwerk te draaien dus in de zin van bandbreedte is dan de laatste tech wel gewenst.

ZwarteIJsvogel schreef op vrijdag 20 juni 2025 @ 14:06:

De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:
Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.

De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?

vrijdag 20 juni 2025 18:50

Acties:

0 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 14:29:
De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?

Je moet het PON-ID (feitelijk het serienummer) van de ONT registreren bij de belichter zodat de OLT weet welke ONT bij jouw aansluiting hoort. Dat stelt niet veel voor. Maar als er iets mis gaat moet je het ook weer terug laten zetten en als je ONT SFP stuk gaat, is het jouw verantwoordelijkheid om die te vervangen.

Belangrijkste redenen om een ONT SFP in je router te gebruiken zijn stroomverbruik (bv. de Zaram ONT SFP gebruikt duidelijk minder stroom dan de Nokia ONT van KPN) en gewoon omdat het cool is om een directe glasverbinding te gebruiken. Als Tweaker doe je sommige dingen nu eenmaal gewoon omdat het kan.

De belangrijkste reden om het niet te doen is voor mij dat de ONT functioneel onderdeel is van het XGS-PON netwerk van de belichter. De belichter configureert de ONT tot op zekere hoogte en zit dus met zijn neus in jouw apparatuur.. Met een externe ONT met een Ethernet koppelvlak heb je een veel zuiverder demarcatiepunt tussen wat beheermatig des belichters is en wat van jou is. En als het ding stuk gaat heb je in no time een nieuwe in huis.

Just my two cents.

vrijdag 20 juni 2025 20:39

Acties:

0 Henk 'm!

Commendatore

Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.

vrijdag 20 juni 2025 20:56

Acties:

0 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

Commendatore schreef op vrijdag 20 juni 2025 @ 20:39:
Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.

Want?

Op Delta zijn er honderden Tweakers tevreden met hun eigen Zaram SFP, FS.com SFP, Huawei ONT of Nokia ONT.

RIPE Atlas probe: 1005104

vrijdag 20 juni 2025 21:15

Acties:

0 Henk 'm!

Commendatore

Leverde Delta geen gecombineerde ONT/gateways?

Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.

vrijdag 20 juni 2025 21:28

Acties:

0 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

Commendatore schreef op vrijdag 20 juni 2025 @ 21:15:
Leverde Delta geen gecombineerde ONT/gateways?

Jazeker, de Nokia xs-2426g-b ONT/router/ap. Device met beperkingen. En bij zakelijke contracten en via wholesale (met name Odido) de Nokia xs-010x-q ONT.

Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.

Zeker mooi dat het kan. Eigen beheer, geen plotselinge FW updates met nog meer beperkingen, lager energiegebruik etc.

RIPE Atlas probe: 1005104

dinsdag 24 juni 2025 10:01

Acties:

0 Henk 'm!

XElD

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 12:11:
Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.

Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?

Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.

Iemand die me wegwijs kan maken in deze keuze?

Ik zit een beetje met hetzelfde dilemma. Wifi 6(E) is voor mij nog wel oké vanwege de beperkte meerwaarde van Wifi 7. Maar het kleine aantal SFP+ en/of >=2,5GB RJ45 poorten op veel Mikrotek producten maakt dat ik de kat nog even uit de boom kijk. Het is me opgevallen dat Mikrotek voor veel producten een levensduur van 7-8 jaar heeft. Als je bijvoorbeeld kijkt naar de Hex en de Hex refresh. Of de recent verschenen HeX S refresh. De orginele HeX S was uit juni 2018, de HeX S refresh kwam juni dit jaar uit. Daarom denk ik dat we misschien over niet al te lange tijd wel eens de opvolger van de RB4011 kunnen verwachten. Die kwam namelijk in november 2018 uit (zowel de versie met als zonder wifi). Ik verwacht bij een dergelijk model eigenlijk wel meer meer dan één 2,5GB/s RJ45 poort en eventueel ook meer dan één SFP+ poort.

dinsdag 24 juni 2025 12:26

Acties:

+1 Henk 'm!

mbovenka

De opvolger van de non-WiFi RB4011 is de RB5009. Meer dan 1 SFP+ verwacht ik sowieso niet in de SOHO space,, daar hebben ze de CCR2004-16G-2S+ al voor; die gaan ze niet in de weg zitten.

woensdag 25 juni 2025 14:37

Acties:

0 Henk 'm!

bcome

Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.

code:

/routing filter num-list
add comment=facebook disabled=no list=facebook range=32934
/routing filter rule
add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}"

Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.

woensdag 25 juni 2025 14:47

Acties:

+1 Henk 'm!

canonball

bcome schreef op woensdag 25 juni 2025 @ 14:37:
Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.
code:
1
2
3
4
/routing filter num-list
add comment=facebook disabled=no list=facebook range=32934
/routing filter rule
add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}"
Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.

Dat laatste inderdaad.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.

Maar je hebt alleen een default route van jouw isp.

Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.

woensdag 25 juni 2025 15:00

Acties:

0 Henk 'm!

bcome

canonball schreef op woensdag 25 juni 2025 @ 14:47:
[...]

Dat laatste inderdaad.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.

Maar je hebt alleen een default route van jouw isp.

Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.

Bedankt voor je snelle antwoord! Ik ben maar een consument, dus helaas geen geavanceerde netwerkmogelijkheden wat dat betreft. Het ging mij meer om meta te weren van m'n netwerk, niet zozeer de facebook website zelf. Een alternatief is misschien om iets te scripten wat een ASN database binnentrekt en die IP adressen in een address list van de firewall zet?

woensdag 25 juni 2025 15:27

Acties:

+1 Henk 'm!

Freeaqingme

Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.

Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

woensdag 25 juni 2025 15:32

Acties:

+1 Henk 'm!

bcome

Freeaqingme schreef op woensdag 25 juni 2025 @ 15:27:
Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.

Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?

Dit is RouterOS 7 inderdaad. De documentatie lijkt af en toe nog te verwijzen naar oude syntax wat best verwarrend is

Pagina: 1 ... 52 53 Laatste

Reageer

Onderwerpen