[MikroTik-apparatuur] Ervaringen &amp; Discussie

MikroTik Cloud Core Router 1009-8G-1S-1S+PC

MikroTik Cloud Core Router CCR1009-8G-1S

MikroTik CRS109-8G-1S-2HnD-IN

vanaf € 298,87

MikroTik CRS112-8P-4S-IN

vanaf € 195,34

MikroTik CRS125-24G-1S-IN

vanaf € 217,19

MikroTik CRS317-1G-16S+RM

MikroTik RB1100AHx4 Dude Edition (RB1100Dx4)

vanaf € 353,71

MikroTik RB3011UiAS-RM

MikroTik RB4011iGS+5HacQ2HnD-IN

vanaf € 250,46

MikroTik RB4011iGS+RM

vanaf € 179,61

MikroTik RB5009UG+S+IN

vanaf € 181,06

MikroTik RBmAP2n

vanaf € 52,29

MikroTik Routerboard RB750Gr2 - hEX

MikroTik Routerboard RB750Gr3 - hEX

vanaf € 54,91

MikroTik RouterBoard RB941-2nD - hAP Lite

vanaf € 21,78

MikroTik Routerboard RB1100AHx2

MikroTik Routerboard RB1200

MikroTik Routerboard RB2011UiAS-2HnD-IN

Modems en routers Netwerkaccessoires Accesspoints Netwerk switches MikroTik Wifi

Alle 26 producten

zaterdag 18 april 2026 15:49

Acties:

zaterdag 18 april 2026 16:26

Wifi
MikroTik

babbelbox schreef op zaterdag 18 april 2026 @ 15:36:
@Mit-46
Als je denied meldingen krijgt lijkt het mij dat het verkeer door je firewall heen komt.
Kijk naar je input chain, daar alleen intern toestaan en de rest droppen.

P.s. misschien verstandig je public IP te verwijderen

Interessant

Ik kan zo gauw niet vinden hoe ik mijn public IP kan verwijderen. Deze is dynamisch via pppoe. Als ik deze verwijder uit /IP/adresses dan valt mijn internetverbinding uit.

Daarnaast dacht ik dat ik de firewall al zo had ingesteld. Schijnbaar dus niet. Wat jammer

Ga ik daar maar weer naar kijken. Dank voor de tip.

Acties:

zaterdag 18 april 2026 16:27

publieke IP kan je niet verwijderen zelf. ik denk dat @babbelbox bedoelt het ip adres in je bericht.

voor winbox / dude connecties lijkt t inderdaad dat er ergens nog altijd een poort open staat.
kijk even bij /ip/services in winbox en of je daar bij "available from" iets hebt staan.

je kan daar ook instellen dat je alleen je interne netwerk toegang wil geven

bij mij staat er dit als ik in een console /ip/services/print geef

code:

1
2
3

14     winbox                8291  tcp    192.168.0.0/24                    main            20                                 
                                          10.0.0.0/24                                                                          
                                          192.168.110.240/28

Acties:

jeroen3

@Mit-46 ik denk dat @babbelbox bedoelt dat je jouw ip niet hier hier moet posten.

Die denied melding betekent dat je firewall niet deugt. Kijk even of alle default regels nog in de juiste volgorde staan (sorteer op #), en dat je geen te brede accept regels hebt toegevoegd op de verkeer plek.
En dat je niet per ongeluk je interface lists kapot hebt gemakt waardoor de catch-all niet meer werkt:

code:

1	defconf: drop all from WAN not DSTNATed

[ Voor 3% gewijzigd door jeroen3 op 18-04-2026 16:27 ]

zaterdag 18 april 2026 16:30

Acties:

zaterdag 18 april 2026 16:34

post je firewall rules hier anders eens

/ip/firewall/export

en maskeer of verwijderen dan eerst even alle data die je niet wilt delen

Acties:

zaterdag 18 april 2026 16:50

Wifi
MikroTik

Ah!
64.62.197.32 is niet mijn IP adres, maar het IP adres waarmee geprobeerd werd te verbinden.

Ik schrok al

Mijn Winbox is alleen beschikbaar vanaf mijn lokale LAN : 1**.**.*.***/24 en ook met een eigen verzonnen poort.
9 winbox **** tcp 19*********/24 main 2
10 D c winbox **** tcp 19************ 19********4*****0

Ik zal eens mijn rules posten. Ik zet wel eerst een back up terug, want anders wordt het erg verwarrend allemaal.

[ Voor 77% gewijzigd door Mit-46 op 18-04-2026 20:16 ]

Acties:

zaterdag 18 april 2026 17:18

Wifi
MikroTik

code:

Flags: X - DISABLED, I - INVALID; D - DYNAMIC 
 0  D ;;; back-to-home-vpn
      chain=input action=accept protocol=udp dst-port=46882 

 1  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 2    ;;; Connection state established-related - untracked-ACCEPT
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 3    ;;; Ping-ACCEPT
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 4    ;;; Local loopback for CAPsMAN - ACCEPT
      chain=input action=accept src-address=127.0.0.1 dst-address=127.0.0.1 in-interface=lo log=no log-prefix="" 

 5 X  ;;; Add port scanners to list
      chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port_scanners address-list-timeout=1d log=no log-prefix="" 

 6    ;;; LAN=list -ACCEPT
      chain=input action=accept in-interface-list=LAN-list log=no log-prefix="" 

 7    ;;; Connection state - Invalid - DROP
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 8 X  ;;; Drop port scanners
      chain=input action=drop src-address-list=port_scanners log=no log-prefix="" 

 9    ;;; DROP all not coming from LAN-list
      chain=input action=drop in-interface-list=!LAN-list log=no log-prefix="" 

10 X  ;;; WAN DNS port 53 UDP DROP
      chain=input action=drop protocol=udp in-interface-list=WAN-list dst-port=53 log=no log-prefix="" 

11 X  ;;; WAN DNS port 53 TCP DROP
      chain=input action=drop protocol=tcp in-interface-list=WAN-list dst-port=53 log=no log-prefix="" 

12    ;;; WAN-list to router- DROP ALL
      chain=input action=drop in-interface-list=WAN-list log=no log-prefix="" 

13    ;;; Fasttrack - established - related
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

14    ;;; Connection state established-related-untracked ACCEPT
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

15    ;;; IPSEC policy IN - ACCEPT
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec 

16    ;;; LAN to WAN - ACCEPT (2)
      chain=forward action=accept in-interface-list=LAN-list out-interface-list=WAN-list log=no log-prefix="" 

17    ;;; IPSEC policy OUT - ACCEPT
      chain=forward action=drop log=no log-prefix="" ipsec-policy=out,ipsec 

18    ;;; Connection state - Invalid - DROP
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

19    ;;; DROP all not coming from LAN-list
      chain=forward action=drop in-interface-list=!LAN-list log=no log-prefix="" 

20    ;;; DROP all from WAN not DSTNATed
      chain=forward action=drop connection-nat-state=!dstnat in-interface-list=WAN-list log=no log-prefix="" 

21    ;;; Block Winbox default port 8291
      chain=input action=drop protocol=tcp in-interface-list=WAN-list dst-port=8291 log=no log-prefix="" 

22    ;;; Block Winbox default port 5678
      chain=input action=drop protocol=udp in-interface-list=all dst-port=8291 log=no log-prefix="" 

/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-client-KPN

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes

De laatste 2 regels mbt Winbox zijn de default poorten (volgens het internet). Dit is niet de poort welke ik nu gebruik.
Ik zie overigens nu dat de laatste regel helemaal niet klopt (poort en beschrijving).

Wat betreft de interface list heb ik er 2:
LAN-list en daar zitten de ethernet interfaces vanaf #2 en de 2 wifi interfaces in. Ook de Lan-Wifi bridge (zie hieronder) en de Back-to-home-vpn interface

WAN-list en daar zit de PPPOE interface en vlan 6 interface in.

Eth1 heb ik nergens aan toegevoegd, maar de vlan 6 interface is wel gekoppeld aan de eth1 interface onder interfaces.

Als bridge heb ik alleen één bridge met de interfaces vanaf eth2 en de 2 wifi interfaces
Hier geen PPPOE of vlan 6 oid.

*edit:
Wat overzichtelijker gemaakt.

[ Voor 92% gewijzigd door Mit-46 op 18-04-2026 17:18 ]

Acties:

zaterdag 18 april 2026 17:22

ik zou
- regel 3: ping accept weghalen (waarom je wil een ping accepteren van buiten af. je maakt alleen maar kenbaar dat er achter dat ip adres dus een systeem zit ), of alleen accepteren vanuit je LAN
- regel 15 + 17: ipsec inbound accepteer je, outbound (17) drop je. je vpn werkt niet als je het zo instelt lijkt me. als je 17 ook accept zou vpn moeten werken
- regel 9 dropt alles wat niet van de LAN list komt, regel 12 dropt alles van WAN (maar wordt nooit geraakt want regel 9 zorgt hier al voor
- regel 22: je comment is niet gelijk aan de poort die je blocked. (5678) cosmetics maar ik zou het goed willen hebben staan

regels 21+22: in plaats van Winbox in je firewall te blocken kan je het in de service ook doen door een intern adres-reeks toe te wijzen
/ip service set winbox address=192.168.0.0/16 (als je in de 192.168.x.x range zit )
daarmee zou je ook geen connecties meer moeten krijgen van het ip adres wat je eerder noemde

Acties:

jeroen3

@ronjon als ik het zo zie zouden deze rules geen traffic mogen toelaten tot de winbox api vanaf wan, toch zijn er inlog pogingen. Dus mogelijk staan de interface lists verkeerd.

[ Voor 6% gewijzigd door jeroen3 op 18-04-2026 17:23 ]

zaterdag 18 april 2026 17:28

Acties:

zaterdag 18 april 2026 17:45

@jeroen3 je hebt gelijk. maar als ik het goed begreep dan heeft @Mit-46 winbox op een andere poort staan dan de standaard 8291

als dat zo is, dan verklaart dat de connectie pogingen misschien wel weer.
(en hebben rules 21 en 22 dus helemaal geen toegevoegde waarde )

@Mit-46 welke poort heb je aan winbox toegewezen ?
/ip/services/print

Acties:

jeroen3

@ronjon Als het goed is matcht tcp verkeer voor winbox van buitenaf geen enkele input regel, en dropt dit dus op regel 12.
Ook als je een andere dan default poort gerbuikt.
Stel je zou winbox vanaf WAN willen moet je een input accept maken en deze boven regel 12 zetten.
Dus ergens klopt nog iets niet.
Regel 21 en 22 zijn zinloos, tenzij je expliciet ook tcp hole-punching wil blokkeren. (dat is dan een gerichte aanval, men zit dan al op je lan)

zaterdag 18 april 2026 17:52

Acties:

zaterdag 18 april 2026 17:58

Wifi
MikroTik

Dank jullie wel voor het controleren!

Regel 3 heb ik aangepast. Dit moet inderdaad alleen van de LAN-list zijn. Deze heb ik nu gekoppeld aan de LAN-list.
Ik lees dat de icmp functionaliteit nodig is. Is dit niet zo? Dan wis ik die regels namelijk. Ik ben nu in de veronderstelling dat het nodig is (ik heb IPv6 ingesteld).

Ik lees dit op Google:
"allowing specific ICMP types in a MikroTik firewall is necessary for network functionality, not just diagnostic pings. It is critical for Path MTU Discovery (PMTUD) to prevent fragmentation issues and for error reporting. Blocking all ICMP can break connectivity, particularly in IPv6"

Regel 15-17 heb ik nu nog even niets mee gedaan, want de BTH VPN doet het wel. Daar heb ik momenteel geen problemen mee (nu net ff dubbel gecheckt en ik kan gewoon verbinden vanaf mijn telefoon via 5G met wifi uitgeschakeld).

Regel 12 heb nu disabled.

Regel 22 heb ik aangepast naar 5678 zoals de beschrijving aangeeft. Ik las dat dit de standaard UDP poort is voor Winbox en dat 8291 de standaard TCP poort is.
Deze regels zijn ontstaan uit een poging de inlogpogingen te stoppen. Mijn poort was al gewijzigd toen ik deze regels aanmaakte dus ze doen eigenlijk niets is nu gebleken. Verwijderen dus maar denk ik?
Heb deze gedisabled zodat ik ze kan verwijderen.

Ik heb een eigen verzonnen poort ingesteld. Deze moet ik ook in Winbox gebruiken, want anders kan ik geen verbinding maken.
Is het niet onverstandig om deze hier te posten?
Als ik /ip/services/print doe zie ik deze poort ook staan (TCP).

Dit zijn de interfaces zonder MAC adressen.
Het vreemde is wel dat het aangeeft dat de vlan interface is disabled en dat is deze niet. Als ik in de GUI kijk staat er ook een R van "running" bij. Deze is gekoppeld aan eth1. Zonder deze interface heb ik ook helemaal geen internetverbinding dus er gaat iets mis met de export mbt deze interface.

De enige interface die ik gedisabled heb is de SFP interface (welke helemaal niet in de export staat)

code:

add include=static name=LAN-list
add include=static name=WAN-list
/interface list member
add interface=ether2 list=LAN-list
add interface=ether3 list=LAN-list
add interface=ether4 list=LAN-list
add interface=ether5 list=LAN-list
add interface=Wifi2ghz list=LAN-list
add interface=Wifi5ghz list=LAN-list
add interface=pppoe-client-KPN list=WAN-list
add disabled=yes interface=vlan1.6 list=WAN-list
add interface=back-to-home-vpn list=LAN-list
add interface="Bridge LAN-Wifi" list=LAN-list

De bridge

code:

add comment="Bridge LAN-Wifi" name="Bridge LAN-Wifi"
/interface bridge port
add bridge="Bridge LAN-Wifi" interface=ether2
add bridge="Bridge LAN-Wifi" interface=Wifi2ghz
add bridge="Bridge LAN-Wifi" interface=Wifi5ghz
add bridge="Bridge LAN-Wifi" interface=ether3
add bridge="Bridge LAN-Wifi" interface=ether4
add bridge="Bridge LAN-Wifi" interface=ether5

Acties:

zaterdag 18 april 2026 18:03

Wifi
MikroTik

Voor de goede orde ook de IPv6 regels.

code:

add action=accept chain=input comment="ACCEPT established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=defconf:acceptICMPv6 protocol=icmpv6
add action=accept chain=input comment=defconf:acceptUDPtraceroute port=33434-33534 protocol=udp
add action=accept chain=input comment=defconf:acceptDHCPv6-Clientprefixdelegation. dst-port=546 protocol=udp src-address=**::/10
add action=accept chain=input comment="accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="accept all that matches ipsec policy" dst-address-list="" ipsec-policy=in,ipsec
add action=accept chain=input comment=DHCPv6forpublicaddresses dst-address=**::/64 dst-port=546 in-interface=pppoe-client-KPN log-prefix=DHCPv6 protocol=udp
add action=accept chain=input in-interface=pppoe-client-KPN protocol=icmpv6
add action=reject chain=input in-interface=pppoe-client-KPN reject-with=icmp-port-unreachable
add action=drop chain=input comment=defconf:dropeverythingelsenotcomingfromLAN in-interface-list=!LAN-list
add action=drop chain=input comment=defconf:dropinvalid connection-state=invalid
add action=fasttrack-connection chain=forward comment=fasttrack6 connection-state=established,related,untracked
add action=accept chain=forward comment=defconf:acceptestablished,related,untracked connection-state=established,related,untracked
add action=accept chain=forward comment=defconf:acceptHIP protocol=139
add action=accept chain=forward comment="accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward in-interface=pppoe-client-KPN protocol=icmpv6
add action=accept chain=forward connection-state=related in-interface=pppoe-client-KPN
add action=accept chain=forward connection-state=established in-interface=pppoe-client-KPN
add action=drop chain=forward comment=defconf:dropinvalid connection-state=invalid
add action=drop chain=forward comment=defconf:droppacketswithbadsrcipv6 src-address-list=bad_ipv6
add action=drop chain=forward comment=defconf:droppacketswithbaddstipv6 dst-address-list=bad_ipv6
add action=drop chain=forward comment="DROP everythingelsenotcomingfromLAN" in-interface-list=!LAN-list
add action=drop chain=forward comment=defconf:rfc4890drophop-limit1 hop-limit=equal:1 protocol=icmpv6
add action=reject chain=forward in-interface=pppoe-client-KPN reject-with=icmp-no-route

En voor de volledigheid:
De UTP kabel die uit mijn ONT komt gaat in poort eth1.

Acties:

zaterdag 18 april 2026 18:12

winbox poort kan je voor jezelf houden, is hier niet van belang.

regel winbox toegang in de service
/ip service set winbox address=<je lan range of specifieke adressen )

je kan in winbox in je firewall filter rules ook de counters bekijken. als deze na verloop van tijd op 0 blijven kan je er vanuit gaan dat die regel om een of andere reden niet wordt geraakt en mogelijk dan disablen

Acties:

zaterdag 18 april 2026 18:15

Wifi
MikroTik

Ik heb daar mijn LAN scope staan: 1********/24 (bij available from)

Ik heb een aantal regels die op 0 blijven staan, maar ik heb wel daarstraks een restore van een backup gedaan voordat ik hier de regels had gepost.

Goede tip. Zal dat in de gaten houden.

[ Voor 5% gewijzigd door Mit-46 op 18-04-2026 18:14 ]

Acties:

zaterdag 18 april 2026 18:25

als je winbox service allow-from nu je LAN reeks weergeeft zou je geen verzoeken meer moeten kunnen krijgen op de winbox poorten.

evt. kan je dat zelf ook even testen, bijvoorbeeld hier
https://pentest-tools.com.../port-scanner-online-nmap

mbt de counters van de regels. geef dit een paar dagen de tijd, je wilt zeker weten dat bepaalde regels wel/niet worden geraakt.

[ Voor 19% gewijzigd door ronjon op 18-04-2026 18:16 ]

Acties:

zaterdag 18 april 2026 18:34

Wifi
MikroTik

Via die site kom ik er niet helemaal uit. Het geeft aan dat alle poorten gesloten zijn, maar als ik https://dw-its.nl/port-scanner/ gebruik en mijn outside IP adres invoer met mijn eigen verzonnen Winbox poort dan geeft het aan dat die poort open is.

Kan het zijn dat er via scans gezocht kan worden naar deze poort voor Winbox?

Acties:

zaterdag 18 april 2026 18:34

Je kunt en moet je icmp ping gewoon aanlaten het is niet schadelijk en een onderdeel van tcp ip en voor ipv6 inderdaad essentieel. Het is echt heel simpel om te kijken of iemand er is zonder ping dus qua security doet het ook niet echt veel.

Misschien overbodig, maar je kunt je chains als volgt zien. Alles wat naar input gaat is je router zelf.
Alles wat door je router heen gaat dus je pc, telefoon etc is forward. Als dus wilt dat iets niet bereikbaar is op je router moet je dat op de input chain blokkeren.

Verder, complimenten voor je volhardendheid! Houd vol het gaat werken!

Acties:

zaterdag 18 april 2026 18:36

Wifi
MikroTik

Ik heb een regel aangemaakt om de poort te blokkeren en dat is gelukt volgens de port scanner, maar nu heb ik mezelf buitengesloten, want kom zelf Winbox niet meer in via wifi.

Even kijken of het met een kabel nog lukt. Ik heb mijn laatste backups niet gedownload. Niet zo slim

[ Voor 7% gewijzigd door Mit-46 op 18-04-2026 18:35 ]

Acties:

zaterdag 18 april 2026 18:48

Je kunt altijd nog een seriële kabel proberen als je daar een aansluiting voor hebt.
Verder is safe mode je vriend voor dit soort experimenten.
Wat ik ook vaak doe is een management port aanmaken op een afwijkend netwerk een firewall regel die verkeer toestaat vanaf die poort.

Acties:

zaterdag 18 april 2026 19:50

Wifi
MikroTik

Ha! Dit is wel ironisch. Ik wilde graag inlogpogingen in Winbox voorkomen en nu kan ik zelf niet eens meer inloggen. Heb ik in ieder geval bereikt wat ik wilde, maar het is nu wel een beetje overdreven.

Ik ga even een boodschap doen en een frisse neus halen. Had niet helemaal gepland vandaag zo met de router in de weer te gaan. Dacht juist dat ik het wel goed had.

Volgens mij zit ik wel op het goede spoor met die poort die schijnbaar vanaf het internet te scannen is/was.
Ik had wel poort scans gedaan, maar dan weer niet specifiek op de custom Winbox poort.

Ga straks kijken of ik er in weet te komen en als het moet beginnen we (deels) overnieuw. Heb nog wel een oudere backup op mijn laptop, maar ik hoop dat bij een hard reset de backups nog in files staan. En anders staan al mijn regels hier op Tweakers aangezien ik deze hier vandaag gepost heb dus dat scheelt

Ik heb het idee dat ik ervoor moet zorgen dat die poort dicht staat voor WAN, maar wel open voor LAN en dat ik dan mijn doel heb bereikt. Althans, dat hoop ik.

[ Voor 12% gewijzigd door Mit-46 op 18-04-2026 18:52 ]

Acties:

zaterdag 18 april 2026 21:23

precies.
je winbox poort moet alleen open zijn voor LAN.

volgende keer als je in winbox aan de slag gaat, direct safe mode aan. het grote voordeel is dat wanneer je jezelf buitensluit, zal safemode detecteren dat je connectie weg is en alle wijzigingen die je hebt gemaakt terugdraaien.

mocht je je wijzigingen tussentijds willen opslaan dan kan je safemode be-eindigen om je wijzigingen permanent te maken en daarna safemode weer aanzetten (rinse-repeat )

Acties:

zaterdag 18 april 2026 21:37

Wifi
MikroTik

Het is gelukt. Dank ook weer voor de safe mode tip. Die kende ik nog niet. Beter laat dan nooit, maar ik heb beseft dat die mij heel veel keren resetten had kunnen besparen.

Super handig!

Nu heb ik de poort weten te blokkeren door een input, op de pppoe interface, src, desbetreffende Winbox poort, drop.

Het enige wat ik nu niet begrijp is dat dit alleen werkt wanneer ik deze regel boven de laatste input, accept regel plaats. Dat is onderstaande regel.

;;; LAN=list -ACCEPT
chain=input action=accept in-interface-list=LAN-list log=no log-prefix=""

Ik zie nog activiteit op deze rule dus ik ga er vanuit dat ik deze hiermee niet om zeep heb geholpen.
De tip mbt de activiteit is ook erg nuttig. Zal de boel netjes opruimen.

Er waren vanavond weer een aantal denied winbox/dude connect from 85.10.157.92 meldingen (dit is niet mijn IP adres, maar waarmee geprobeerd wordt om in te loggen)

De laatste was om 21:09 uur en om 21:10 heb ik de regel zo gekregen dat ik via een port scan zie dat die geblokkeerd is. Sindsdien geen melding meer en het zijn er toch 24 geweest vanaf (toevallig) 20.24 uur. Dat is ongeveer het moment waarop ik de router had gereset en een backup terug had gezet zodat ik zelf weer Winbox in kon.

Fingers crossed dat dit de truc is.

Iedereen weer bedankt voor de wijze lessen vandaag! Het doel hopelijk bereikt en anders sowieso weer een hoop geleerd.

[ Voor 9% gewijzigd door Mit-46 op 18-04-2026 21:29 ]

Acties:

zaterdag 18 april 2026 21:59

Je pppoe is vast geen lid van WAN interface list
Nevermind, staat al in je eerder bericht, dat is op zich goed.
Ik ben zelf toch niet zo'n fan van die globale lists.
Ik heb alleen firewall address lists die diverse gelijke type systemen bevatten. Verder accept ik op IP of poort.
En uiteindelijk drop, zonder enige voorwaarde.

[ Voor 75% gewijzigd door babbelbox op 18-04-2026 21:44 ]

Acties:

zondag 19 april 2026 07:44

Wifi
MikroTik

Ik denk dat ik het beter moeten leren te begrijpen voordat ik het zo kan toepassen. Ben nog nooit zo diep in een router, laat staan firewall regels, gedoken als afgelopen maand.

Ik ben niet uitgeleerd en nog gemotiveerd.

PS:
Vooralsnog geen denied meldingen!

Acties:

zondag 19 april 2026 12:33

de "mikrotik" manier om winbox connecties van buitenaf te blokken is via /ip/services
https://help.mikrotik.com.../pages/103841820/Services

als het goed is heb je nu je interne lan address toegevoegd aan de winbox service Available-From.
enige wat ik me kan bedenken is er mogelijk op ipv6 nog connectie geprobeert wordt te maken.

je zou kunnen proberen om je interne ipv6 LAN range ook eens toe te voegen aan de winbox service.

ps. je oplossing werkt, en daarmee is het probleem van de remote connecties opgelost, dus je kan het zo laten. ikzelf doe het het liefst op de services manier, scheelt ook weer 2 regels in je firewall )

Acties:

zondag 19 april 2026 20:21

Wifi
MikroTik

Heel vreemd, maar gisteravond ben ik gaan slapen terwijl alles normaal leek te werken. Ik had de Winbox poort via de IPv4 firewall had dichtgezet en ben daarna nog in Winbox bezig geweest.
Vanochtend kon ik alleen "opeens" weer niet inloggen.

Ik heb gister de safemode ook gebruikt dus ik begrijp het niet helemaal, want totdat ik ging slapen werkte het nog.
Verder werkte vanochtend ook opeens niet alle websites meer en viel de verbinding deels weg. Leek weer op vaag DNS gedrag. Heb gister ook veel zitten wijzigen, ook weer aan de DNS instellingen terwijl deze goed werkte daarvoor.
Ik ben dus 2 stapjes terug gegaan met een backup. Terug naar gisterochtend (eergisteravond) waarmee ik de dag begon, want toen werkte alles nog goed. Nu ben ik weer alles aan het aanpassen met de kennis die ik gister heb opgedaan

Iets super interessants wat ik vandaag heb opgemerkt is dat door een poortscan de melding, "denied winbox/dude connect from 85.10.157.92", verschijnt

Ik zat zelf te scannen en toen viel mij op dat de meldingen erbij kwamen wanneer de poort open staat vanaf het internet.
85.10.157.92" is het IP adres van: https://dw-its.nl/port-scanner/ waarmee ik de Winbox poort scan.

Het zijn dus geen aanmeldpogingen in Winbox zelf, maar alleen poort scans. Super verwarrend en het heeft mij (ons) lekker bezig gehouden!

Dit verklaart ook waarom ik gister zo bizar veel meldingen had, want ik was er hevig op los aan het scannen.

Ik ben er alleen nog niet achter hoe ik die poort nu kan blokkeren vanaf het internet, want elke keer dat het mij lukt kan ik vervolgens zelf ook niet meer inloggen.

Straks nog eens kijken of ik het voor elkaar krijg.
Ik heb nu een Input, Drop, dst port ****, (!) interface=LAN bridge.

De poort staat weer dicht van buitenaf dus nu maar hopen dat ik straks niet opeens weer "locked out" ben. Safe mode staat dus het zou niet moeten.

Wel heb ik nu ook voor de goede orde de IPv6 link local adres scope toegevoegd aan /IP/services/Winbox.

**edit:
Heb een regel aangemaakt.

[ Voor 15% gewijzigd door Mit-46 op 19-04-2026 13:42 ]

Acties:

zondag 19 april 2026 20:28

hoe gebruik je safe mode?

als ik je vorige bericht lees, lijkt het of je safe mode aan laat staan, ook nadat je klaar bent met je wijzigingen.

wanneer je in safe mode wijzigingen doorvoert, en je bent klaar en weet zeker dat ze werken, moet je safe mode weer uitzetten via de knop.

als je de winbox applicatie sluit, (zonder safe mode te de-activeren) wordt dit gezien als een connectie error en worden je wijzigingen terug gedraait.

voor wat betreft de logs, als je heel zeker weet dat je firewall goed werkt, kan je in /system/logging/rules de topics account en firewall disablen of verwijderen. deze zouden voor logs zoals winbox/the dude kunnen zorgen.
(ik heb het net even zelf getest, maar of ik deze logging rules nu wel of niet aanzet, ik krijg bij mij geen log berichten over mogelijke connectie verzoeken. ik test met nmap vanaf een remote systeem )

Acties:

zondag 19 april 2026 22:02

je kan je hele config ook eens door chatgpt of een andere AI laten controleren met verbeter suggesties.
houdt er wel rekening mee dat niet alle suggesties de juiste zijn, dus zelf goed nadenken / uitzoeken (bijv. mikrotik forum) is wel aan te raden.

/export file=<naam>
dan in files het bestand downloaden
alle mogelijk interessante info zoals wachtwoorden (als het goed is staan deze er al niet in), eigen ip adres, vpn wachtwoorden of keys, etc vervangen door xxxxxx of zoiets en dan uploaden in een ai model

dit kan je trouwens ook doen voor je firewall
/ip/firewall export

[ Voor 6% gewijzigd door ronjon op 19-04-2026 20:29 ]

Acties:

Wifi
MikroTik

Waarschijnlijk heb ik daar iets verkeerd gedaan.

Anyway, vandaag alles opnieuw ingesteld en ik denk dat het voor nu wel goed staat.
Geen meldingen meer gezien m.b.t. WInbox of poort scans (de poort staat dicht vanaf WAN) en ook wat firewall rules opgeruimd.

Geen problemen meer gehad ook met de verbinding/DNS dus "once again, fingers crossed" dat het nu goed blijft

Iedereen

maandag 4 mei 2026 18:38

Acties:

rm -rf *

Ik ben op het moment bezig met de overstap van odido (klik en klaar abbo) naar glasvezel via freedom, aan het kijken naar een router/firewall. Mijn oog viel op de mikrotik hex s (2025).

Hebben er hier mensen aanbevelingen of tips voordat ik deze router aanschaf?

Is een andere optie mogelijk beter?

Ik zag al wel dat ik natuurlijk moet gaan uitzoeken hoe alles werkt en welke spf module benodigd is voor de glasvezel, maar dat is even afwachten totdat die afgemonteerd is.

[ Voor 4% gewijzigd door Raverty op 04-05-2026 18:41 ]

maandag 4 mei 2026 18:43

Acties:

Goof2000

Raverty schreef op maandag 4 mei 2026 @ 18:38:
Ik ben op het moment bezig met de overstap van odido (klik en klaar abbo) naar glasvezel via freedom, aan het kijken naar een router/firewall. Mijn oog viel op de mikrotik hex s (2025).

Hebben er hier mensen aanbevelingen of tips voordat ik deze router aanschaf?

Ik zag al wel dat ik natuurlijk moet gaan uitzoeken hoe alles werkt en welke spf module benodigd is voor de glasvezel, maar dat is even afwachten totdat die afgemonteerd is.

Heb je ervaring met MikroTik? Zo niet, wil je verdiepen in alle instellingen die je moet instellen en door de documentatie heen gaan? Je hebt veel instellingen en je kunt er heel veel mee,als je erin wilt verdiepen dan heb je wel echt een mooie router.
Mbt de spf module, dat zou ik bij Freedom navragen, ik heb het idee dat daar nog wel mensen werken die je antwoord kunnen geven.

maandag 4 mei 2026 18:57

Acties:

rm -rf *

Heb je ervaring met MikroTik?

Nee, ik heb geen ervaring met MikroTik. Hier en daar wel is wat gedaam met opnsense, maar daar houd het wel op kwa echte ervaring met dit soort apparatuur.

wil je verdiepen in alle instellingen die je moet instellen en door de documentatie heen gaan?

Ja, dat is zeker het idee. Want als ik niet weet wat ik doe schiet het ook niet op.

Mbt de spf module, dat zou ik bij Freedom navragen, ik heb het idee dat daar nog wel mensen werken die je antwoord kunnen geven.

Dat wil ik zeker nog wel even doen inderdaad. Op hun website staat in ieder geval wel duidelijk welke instellingen die nodig heeft en op andere vragen hier op het forum zijn er ook al wel antwoorden op welke modules mensen gebruiken, dus die informatie is wel duidelijk. Ik zal is bellen of ze de info over de techniek ook hebben.

maandag 4 mei 2026 19:03

Acties:

peterstr

Raverty schreef op maandag 4 mei 2026 @ 18:57:
Dat wil ik zeker nog wel even doen inderdaad. Op hun website staat in ieder geval wel duidelijk welke instellingen die nodig heeft en op andere vragen hier op het forum zijn er ook al wel antwoorden op welke modules mensen gebruiken, dus die informatie is wel duidelijk. Ik zal is bellen of ze de info over de techniek ook hebben.

Ik zit zelf bij Netrebel en heb de SFP die bij de NTU zat in mijn Mikrotik gestopt en dit werkte direct. Natuurlijk wel de SFP poort als WAN poort instellen i.p.v. de standaard ether1 poort.

maandag 4 mei 2026 19:09

Acties:

rm -rf *

Ik zit zelf bij Netrebel en heb de SFP die bij de NTU zat in mijn Mikrotik gestopt en dit werkte direct. Natuurlijk wel de SFP poort als WAN poort instellen i.p.v. de standaard ether1 poort.

In dit geval is er aangegeven dat ik mijn eigen NTU moet aanschaffen omdat ik geen modem afneem van de provider. En dan moet ik dus ook het serienummer/mac adres doorgeven zodat ze die aanmelden.

Verder inderdaad de netwerk interfaces goed aanwijzen, maar dat is het lastigste niet.

maandag 4 mei 2026 20:36

Acties:

esphome

@Raverty Als je een NTU moet aanschaffen dan is het een standaard 1GB glasvezel (AON) en als je een SPF in de Mikrotik wil doen dan Auto Negotiation uitvinken en 1G baseX kiezen in SPF-ethernet interface.

Het doorgeven van serienummer/mac is van toepassing als je modernere aansluiting (PON) heb en daar zit altijd een ONT bij. Dit omdat je de glasvezel kabel met anderen deelt.

maandag 4 mei 2026 21:18

Acties:

Wifi
MikroTik

Raverty schreef op maandag 4 mei 2026 @ 18:38:
Ik ben op het moment bezig met de overstap van odido (klik en klaar abbo) naar glasvezel via freedom, aan het kijken naar een router/firewall. Mijn oog viel op de mikrotik hex s (2025).

Hebben er hier mensen aanbevelingen of tips voordat ik deze router aanschaf?

Is een andere optie mogelijk beter?

Ik zag al wel dat ik natuurlijk moet gaan uitzoeken hoe alles werkt en welke spf module benodigd is voor de glasvezel, maar dat is even afwachten totdat die afgemonteerd is.

Ik heb de hAP ax S. Een beetje vergelijkbaar? De Hex S heeft geen wifi en de hAP ax S geen USB 3.0 poort, maar volgens mij enigszins vergelijkbaar als ik het zo lees. Ik ben er heel blij mee.

De wifi van hAP ax S is niet bijzonder snel (of mijn verwachting is gewoon niet correct), maar ethernet haalt up and down 900+ mbps met speedtests dus top (zeker voor het geld!). De wifi is voor mij overigens verder prima. Sneller dan wifi 5, maar met de Hex S helemaal niet van toepassing.

Ik gebruik het wel met KPN (1Gbps) en de ONT dus geen SFP module.

Wellicht verstandig om mijn avontuur als nieuwkomer met Mikrotik even terug te lezen.

Krijg je een idee hoe het kan gaan wanneer je nog geen ervaring hebt met RouterOS. Op Youtube wat beginner guides bekijken is wellicht een idee. Ik ging dat pas doen nadat ik de router had aangeschaft.

Als je zulke dingen leuk en uitdagend vindt om jou erin te verdiepen dan is het super interessant en leuk om te leren. Wees je enkel ervan bewust dat het niet te vergelijken is met de gemiddelde firmware op een willekeurige consumenten router. Zelfs niet met een Fritzbox of Ubiquiti EdgeOS. OPNSense heb ik geen ervaring mee.

Ik had mezelf aardig overschat (of RouterOS onderschat) en daardoor vanaf het begin niet de juiste stappen gevolgd van a tot z waardoor ik het mezelf moeilijker heb gemaakt dan nodig was.

Alle kennis en ervaring die ik heb opgedaan, met hulp van Google/Youtube en alle helden uit dit topic, maakt dat het een hele leuke ervaring is (geweest).
(Ken nog bij lange na niet het hele OS, laat dat duidelijk zijn, maar voor mijn router en verbinding is dat niet nodig.)

Bloed, zweet (heel vaak resetten) en tranen, maar super blij aan het einde van de rit. Voor wat betreft de hAP ax S vind ik het heel veel router voor het geld.

[ Voor 11% gewijzigd door Mit-46 op 04-05-2026 21:36 ]

dinsdag 5 mei 2026 17:46

Acties:

woensdag 6 mei 2026 14:33

Na wat inspiratie van een post van @InjecTioN in het HomeAssistant topic ben ik even aan de slag gegaan met een scriptje voor mijn MikroTik router. Dit is de eerste keer dat ik met de scripttaal van RouterOS aan de slag ben gegaan. Zoals alles van RouterOS, niet heel inituitief maar uiteindelijk wel leerzaam.

Bij deze even als (bijna) knip en plak klaar:

code:

1 2	/system script add name=dyndns policy=read,test /system script edit value-name="source" dyndns

Plak vervolgens hetvolgende script:

code:

# Script to synchronize external IP with DeSEC DDNS

# == Change parameters ==
:local dnshost "sub.domein.nl"
:local token "TokenVanDeSEC"

# == DO NOT EDIT BELOW THIS LINE ==
:onerror err in={
    :local status [/tool fetch user="$dnshost" password="$token" url="https://update.dedyn.io" as-value output=user]
    :if ($status->"data" = "good") do={
        :log info "DynDNS: update to deSEC successful"
    } else={
        :error ($status->"data")
    }
} do={
    :log warning "DynDNS: could not update deSEC: $err"
}

Sla op met "Control + o". Je kunt het handmatig runnen met: /system script run dyndns
Je zult niets zien staan in de console, maar in /log print zul je vervolgens zien of het gelukt is of niet.
Om het periodiek te laten synchroniseren gebruik je:

code:

1	/system scheduler add interval=2h name=update-ddns on-event=dyndns policy=read,test

Mijn interval is 2 uur, maar dit kun je terugbrengen tot een minuut als je wilt. Vaker dan een minuut accepteert deSEC niet.

De policy heb ik op "read,test" staan, uit mijn testjes blijkt dat dat het minimale is waarmee het kan runnen.

Acties:

woensdag 6 mei 2026 14:39

tagican schreef op dinsdag 5 mei 2026 @ 17:46:
Na wat inspiratie van een post van @InjecTioN in het HomeAssistant topic ben ik even aan de slag gegaan met een scriptje voor mijn MikroTik router. Dit is de eerste keer dat ik met de scripttaal van RouterOS aan de slag ben gegaan. Zoals alles van RouterOS, niet heel inituitief maar uiteindelijk wel leerzaam.

Bij deze even als (bijna) knip en plak klaar:
code:
1
2
/system script add name=dyndns policy=read,test
/system script edit value-name="source" dyndns
Plak vervolgens hetvolgende script:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# Script to synchronize external IP with DeSEC DDNS

# == Change parameters ==
:local dnshost "sub.domein.nl"
:local token "TokenVanDeSEC"

# == DO NOT EDIT BELOW THIS LINE ==
:onerror err in={
    :local status [/tool fetch user="$dnshost" password="$token" url="https://update.dedyn.io" as-value output=user]
    :if ($status->"data" = "good") do={
        :log info "DynDNS: update to deSEC successful"
    } else={
        :error ($status->"data")
    }
} do={
    :log warning "DynDNS: could not update deSEC: $err"
}
Sla op met "Control + o". Je kunt het handmatig runnen met: /system script run dyndns
Je zult niets zien staan in de console, maar in /log print zul je vervolgens zien of het gelukt is of niet.
Om het periodiek te laten synchroniseren gebruik je:
code:
1
/system scheduler add interval=2h name=update-ddns on-event=dyndns policy=read,test
Mijn interval is 2 uur, maar dit kun je terugbrengen tot een minuut als je wilt. Vaker dan een minuut accepteert deSEC niet.

De policy heb ik op "read,test" staan, uit mijn testjes blijkt dat dat het minimale is waarmee het kan runnen.

mikrotik heeft ook een eigen ddns achtige variant
kijk even onder /ip/cloud print

daar zie je de dns name van jouw router

Acties:

woensdag 6 mei 2026 16:36

Die was ik wel even vergeten, maar dit is specifiek voor als je dat via de service van MikroTik zelf wil. Ik was vooral even aan het knutselen met deSEC, en dat kan niet op een standaard manier. Er bestaat ook een andere functie voor dynamic DNS , maar dat maakt gebruikt van functionaliteit binnen DNS zelf. En deSEC (plus meer DDNS providers) ondersteunt die mogelijkheid niet, dus kom je snel bij een scriptje uit.

Acties:

donderdag 7 mei 2026 00:06

Wifi
MikroTik

Ingewikkelde materie

Dit gaat over DynDNS en DNSSEC en dan van DeSec?

Niet dat ik hier verstand van heb! Ik heb de termen gegoogeld die ik in jullie (abracadabra) berichten zie.

Begrijp ik het goed dat het het gaat over Dynamische DNS, wat weer te maken heeft met een eigen domeinnaam, die dan beveiligd is via DNSSEC (extra encryptie op de DNS?), die dan weer afgenomen wordt via DeSEC wat open source is?

En dit alles ingesteld op de/een Mikrotik router?

[ Voor 8% gewijzigd door Mit-46 op 06-05-2026 16:37 ]

Acties:

donderdag 7 mei 2026 03:41

Nou... opzich zit je er niet helemaal naast, maar je denkt wel moeilijker dan nodig is

DNSSEC moet je hier even wegdenken, ik heb het puur over de DDNS (Dynamic DNS) dienst van deSEC.

De naam "deSEC" is misschien wat verwarrend maar het is gewoon een aanbieder van DNS-diensten én Dynamic DNS diensten. Dynamic DNS is niets meer dan een hostname (Bijvoorbeeld: testtest.dyndns.io) dat automatisch wordt geüpdatet met het IP van je huisadres. Dat maakt het makkelijker om consequent naar je huisadres te verbinden, vooral voor huishoudens waarbij het externe IP-adres nog wel eens wisselt. Dat was naar mijn idee vroeger een groter probleem dan tegenwoordig.

Overigens, zoals @ronjon ook zei, MikroTik heeft ook een eigen variant hiervan. Dat een stuk makkelijker in te stellen en voor de meeste mensen ook voldoende. Meer informatie hier.

Acties:

ed1703

tagican schreef op donderdag 7 mei 2026 @ 00:06:
Nou... opzich zit je er niet helemaal naast, maar je denkt wel moeilijker dan nodig is DNSSEC moet je hier even wegdenken, ik heb het puur over de DDNS (Dynamic DNS) dienst van deSEC.

De naam "deSEC" is misschien wat verwarrend maar het is gewoon een aanbieder van DNS-diensten én Dynamic DNS diensten. Dynamic DNS is niets meer dan een hostname (Bijvoorbeeld: testtest.dyndns.io) dat automatisch wordt geüpdatet met het IP van je huisadres. Dat maakt het makkelijker om consequent naar je huisadres te verbinden, vooral voor huishoudens waarbij het externe IP-adres nog wel eens wisselt. Dat was naar mijn idee vroeger een groter probleem dan tegenwoordig.

Overigens, zoals @ronjon ook zei, MikroTik heeft ook een eigen variant hiervan. Dat een stuk makkelijker in te stellen en voor de meeste mensen ook voldoende. Meer informatie hier.

Ik heb een eigen domein die ik host bij desec, maar ik heb dan wel een makkelijker te onthouden cname thuis.domein.nl aangemaakt naar de dienst van mikrotik. Want die is toch wel vervelend zo als voorbeeld: cc199feadd44.sn.mynetname.net

donderdag 7 mei 2026 11:53

Acties:

Wifi
MikroTik

Dank voor de uitleg!

vrijdag 8 mei 2026 18:18

Acties:

Ik ben mij aan het verdiepen in Mikrotik om eventueel mijn KPN router te vervagen. Nu heb ik een vraag over MACVLAN filtering. Kan ik VLAN's voor mijn IoT apparaten maken als deze achter een unmanaged switch zitten of via een AP verbonden is?

Het zou mooi zijn als ik niet alles hoef te vervangen om VLAN's toe te gaan passen. Dan kan ik rustig in het Mikrotik eco systeem groeien. Ik wacht op WiFi7 AP's voordat ik deze vervang want om nu over te stappen naar de cAP ax voelt een beetje onzinnig aangezien de AP's nog prima werken.

Ik ben benieuwd naar jullie antwoorden.

Op dit moment heb ik alles van KPN in huis (modem en 2 SuperWifi AP's). In onderstaand figuur is de huidige situatie weergegeven. Als ik overstap naar Mikrotik wordt de situatie anders ingeplugd en hopelijk een van de switches kan dan vervallen (de 8p switch kan nu al vervangen aangezien de XBOX al 2 jaar niet aan geweest is en ik daar 2 UTP kabels heb liggen).

Afbeeldingslocatie: https://tweakers.net/i/GWFhEqElg8ZI8D4BetbiOIddl9s=/800x/filters:strip_exif()/f/image/E5nAAzlp6ccFngddNpo3eUit.png?f=fotoalbum_large

paars/roze = unmanaged switch
groen = SuperWifi AP
licht- (of donker-) blauw = niet actief
blauw = actief
oranje = IoT bekabeld (Hue, Plugwise, Enphase, Ecowitt etc.)

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

vrijdag 8 mei 2026 21:53

Acties:

Ik kende de feature niet, heel spannend lijkt mij het ook niet. Het lijkt mij inderdaad een beetje een hacky manier om apparaten achter een unmanaged switch in een VLAN in te delen. Het zou in jouw geval prima kunnen. Als je AP's ook niet aan VLAN toekenning doen, dan zou je het inderdaad ook op dat punt kunnen gebruiken.

vrijdag 8 mei 2026 22:36

Acties:

Mijn AP's kennen geen VLAN's die zijn helemaal dicht getimmerd door KPN. Maar als ik kijk naar dit filmpje (YouTube: MACVLAN Mikrotik - Multiple MACs, One Interface) dan denk ik toch dat het niet lukt omdat het wel gekoppeld is aan een fysieke eth# aansluiting. Voor de switches werkt dit verwacht ik maar voor AP's niet want de apparaten kunnen op beide AP's zitten in theorie en daarmee op verschillende eth#.

Overigens zou ik voor de "eind" unmanaged switches een VLAN opzetten en alle IoT achter de zelfde switch prikken. Die mogen nog wel met elkaar praten.

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

vrijdag 8 mei 2026 23:08

Acties:

Commendatore

SuperWiFi versie 1 (die witte) gaat met de huidige software waarschijnlijk niet werken zonder KPN router, want die hebben geen eigen webinterface meer om dingen in te kunnen stellen. SuperWiFi 2 kan in theorie wel, al zou ik dat zelf ook niet doen.

vrijdag 8 mei 2026 23:36

Acties:

zaterdag 9 mei 2026 00:19

omdat het kan

Waarom niet een paar wat degelijkere access points en je vlans netjes configgen? Sure kost een beetje geld, maar de goedkoopste mikrotik ap's zijn ook niet duur.

Heb zelf een cap ax als test gekocht. Mogelijk gaan die mijn ubiquiti ap ac pro's vervangen. Is nog wifi5 spul en ik wil van die Ubiquiti controller af. Maarja wel 6 stuks , dus ook 6x dokken

Die cap ax is overigens wel echt badass groot.

[ Voor 13% gewijzigd door Boudewijn op 08-05-2026 23:36 ]

Acties:

zaterdag 9 mei 2026 00:19

Ik zit te kijken naar of Mikrotik of Ubiquiti waarbij eigenlijk alles in huis wordt vervangen. De kosten zijn dan om het even. Als ik dan een smak geld uit ga geven wil ik het ook toekomstbestendig hebben. Vandaar dat ik wat huiverig ben voor de cAP ax want die is "nog maar" Wifi 6. Als er meer apparaten in huis vernieuwd worden (telefoons, laptops) dan wordt Wifi 7 steeds logischer om in huis te hebben.

Ik heb overigens een maximale glasvezel aansluiting van 4 Gbit en het 1 Gbit lijntje kost 1,50 meer per maand dan het 500 mbit lijntje bij KPN. Over een paar jaar zal de 1 Gbit + lijn ook wel weer dalen vandaar dat ik een router wil die 1+ Gbit aan kan en het liefste 4 Gbit.

#	Categorie	Product	Prijs	Subtotaal
1	Netwerk switches	MikroTik CRS310-8G+2S+IN	€ 181,22	€ 181,22
1	Accesspoints	MikroTik cAP ax	€ 104,62	€ 104,62
1	Modems en routers	MikroTik CCR2004-16G-2S+	€ 390,50	€ 390,50
			Totaal	€ 676,34

De CRS310-8G+2S+IN is nog niet van toepassing zolang er nog geen WiFi 7 AP is en ik mijn nieuwe desktop met 2.5 Gbit aansluiting heb.

#	Categorie	Product	Prijs	Subtotaal
1	Netwerk switches	Ubiquiti Flex 2.5G PoE	€ 196,02	€ 196,02
1	Accesspoints	Ubiquiti UniFi U7 Pro, per stuk	€ 171,90	€ 171,90
1	Modems en routers	Ubiquiti UniFi Gateway Fiber	€ 234,-	€ 234,-
1	Netwerkaccessoires	Ubiquiti Unifi AC Adapter 210W	€ 89,75	€ 89,75
			Totaal	€ 691,67

[ Voor 4% gewijzigd door Impossibl3 op 09-05-2026 00:22 ]

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

Acties:

zaterdag 9 mei 2026 08:33

Herstel van wat ik eerder zei, ik heb de pagina nog eens bekeken. Wat je wil, kan zoals ik nu lees toch niet: de MACVLAN feature is wat raar omschreven, maar het koppelt niet mac-adressen die op een poort geleerd worden aan VLANs (zoals je verwacht). In plaats daarvan creëert het een extra virtueel MAC-adres op een poort, die je dan bijvoorbeeld weer kan mappen naar een bridge (waar bijvoorbeeld weer een VLAN aan gekoppeld is). Dat zou handig zijn als je bijvoorbeeld 1 koppelvlak (Ethernetpoort) hebt met je ISP en dat door wilt zetten naar verschillende VLANs of VRFs oid. Dit is wel echt een niche feature..

Afbeeldingslocatie: https://tweakers.net/i/tHYUZyHgG9kLmtUN2LqcfUWwaTo=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/lYurDbpYE7PpM2bqgtHMx1S0.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/tHYUZyHgG9kLmtUN2LqcfUWwaTo=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/lYurDbpYE7PpM2bqgtHMx1S0.png?f=user_large

edit:
met plaatje om het duidelijker te maken. Hierbij geldt: correct me if I'm wrong!

[ Voor 18% gewijzigd door tagican op 09-05-2026 00:43 ]

Acties:

TF0

Klopt, ik gebruik macvlan op mijn NAS om dockers een eigen ip adres te geven, daar is het - voor zover ik weet - voor bedoeld.

Ik heb een /27(?) subnet gedefinieerd voor macvlan binnen mijn /23 subnet, buiten de dhcp scope. Op die manier heb tientallen ip adressen voor dockers zodat ik minder met poorten hoef te klooien.

@Impossibl3 Ik zou dan trouwens voor de uitvoering: Ubiquiti UniFi U7 Pro XG Wit gaan: die heeft 10 Gbps. Dan ben je nog meer toekomstbestendig

zaterdag 9 mei 2026 09:22

Acties:

ZwarteIJsvogel

Zuid-Limburg

Impossibl3 schreef op zaterdag 9 mei 2026 @ 00:19:
Ik zit te kijken naar of Mikrotik of Ubiquiti waarbij eigenlijk alles in huis wordt vervangen. De kosten zijn dan om het even. Als ik dan een smak geld uit ga geven wil ik het ook toekomstbestendig hebben. Vandaar dat ik wat huiverig ben voor de cAP ax want die is "nog maar" Wifi 6. Als er meer apparaten in huis vernieuwd worden (telefoons, laptops) dan wordt Wifi 7 steeds logischer om in huis te hebben.

Wifi 7 zal in de meeste situaties weinig of niets toevoegen t.o.v. Wifi 6. Voor thuis heeft het vooral een hoog geekgehalte.

# Categorie Product Prijs Subtotaal
1 Netwerk switches MikroTik CRS310-8G+2S+IN € 181,22 € 181,22
1 Accesspoints MikroTik cAP ax € 104,62 € 104,62
1 Modems en routers MikroTik CCR2004-16G-2S+ € 390,50 € 390,50
Totaal € 676,34

MikroTik heeft verschillende soorten access points met verschillende antennediagrammen voor verschillend beoogd gebruik. De cAP-familie is primair bedoeld voor plafondmontage (c = ceiling), de wAP-familie voor muurmontage (w = wall).

Als je toch het hele zaakje gaat vervangen, is het ook een goed moment om eens te kijken hoe je e.e.a. van stroom voorziet. Ik voed hier 2x wAP ax via PoE (802.3af) vanuit een RB5009-UPr+S+IN die op zijn beurt aan een UPS hangt. Zo blijft bij stroomuitval de internetverbinding niet alleen in de lucht, maar kan ik ze ook blijven gebruiken.

Maak in elk geval een totaalplan met duidelijke uitgangspunten voor wat je nu en in de toekomst wel/niet wilt. Dan gaat het boodschappenlijstje wellicht anders uitzien.

zaterdag 9 mei 2026 16:00

Acties:

zaterdag 9 mei 2026 16:39

rm -rf *

Ondertussen is mijn glasvezel afgemonteerd door kpn netwerk en heb ik mijn mikroktek router binnen gehad, dus ben er nu in aan het duiken wat ik allemaal moet instellen om een config te hebben die ook veilig is.

Dat zal waarschijnlijk wel wat gemopper opleveren, maar is ook niet erg.

Acties:

zaterdag 9 mei 2026 16:49

Wifi
MikroTik

Raverty schreef op zaterdag 9 mei 2026 @ 16:00:
Ondertussen is mijn glasvezel afgemonteerd door kpn netwerk en heb ik mijn mikroktek router binnen gehad, dus ben er nu in aan het duiken wat ik allemaal moet instellen om een config te hebben die ook veilig is.

Dat zal waarschijnlijk wel wat gemopper opleveren, maar is ook niet erg.

Als ik je wat tips mag geven waar ik als beginner tegenaan ben gelopen is beginnen met de default config en niet zonder zoals in veel "Beginner guides" op Youtube wordt aangegeven.

Hiermee heb je namelijk ook de default firewall rules in plaats van geen firewall rules.

Als ik eens opnieuw zou moeten beginnen dan zou ik beginnen met de default config en die helemaal aanpassen naar wens ipv beginnen met niets en alles zelf gaan instellen.

Ook vind ikzelf het Log(boek) erg nuttig om te kunnen zien wat er wel of niet goed gaat na een wijziging.

Maak genoeg backups zodat je niet steeds helemaal overnieuw hoeft te beginnen wanneer je het verprutst en de verbinding verliest.

Waar ik later pas op gewezen werd is de Safe mode (rechts boven in Winbox).

Door deze in te schakelen worden wijzigingen wel toegepast, maar niet opgeslagen (pas als je de Safe mode zelf weer uitschakelt). Het nut hiervan is dat wanneer je iets wijzigt waardoor je de verbinding verliest, Winbox zelf de wijzigingen ongedaan maakt en je dus weer verbinding kan maken.

Dit scheelt tijd (anders moet je resetten en een backup terugzetten).

Veel plezier met hobbyen!

[ Voor 3% gewijzigd door Mit-46 op 09-05-2026 16:48 ]

Acties:

zaterdag 9 mei 2026 16:53

rm -rf *

Mit-46 schreef op zaterdag 9 mei 2026 @ 16:39:
[...]

Als ik je wat tips mag geven waar ik als beginner tegenaan ben gelopen is beginnen met de default config en niet zonder zoals in veel "Beginners guides" op Youtube wordt aangegeven.

Hiermee heb je namelijk ook de default firewall rules in plaats van geen firewall rules.

Als ik eens opnieuw zou moeten beginnen dan zou ik beginnen met de default config en die helemaal aanpassen naar wens ipv beginnen met niets en alles zelf gaan instellen.

Ook vind ikzelf het Log(boek) erg nuttig om te kunnen zien wat er wel of niet goed gaan na een wijziging.

Maak genoeg back ups zodat je niet steeds helemaal overnieuw hoeft te beginnen wanneer je het verprutst en de verbinding verliest en waar ik later pas op gewezen werd is de Safe mode (rechts boven in Winbox).

Door deze in te schakelen worden wijzigingen niet opgeslagen (pas als je de Safe mode zelf weer uitschakelt). Het nut hiervan is dat wanneer je iets wijzigt waardoor je de verbinding verliest, Winbox zelf de wijzigingen ongedaan maakt en je dus weer verbinding kan maken.

Dit scheelt tijd (anders moet je resetten en een backup terugzetten).

Veel plezier met hobbyen!

Bedankt voor de tips!

Ik had al wel gevonden hoe ik een backup kan maken via de CLI en SFTP, maar nog niet hoe/of ik ook backups kan maken direct vanuit winbox zodat ik ze dan meteen op mijn pc kan opslaan zonder SFTP/SCP te hoeven gebruiken.

Ik had inderdaad ook al gezien dat gebruikmaken van de default config wel handig is inderdaad, dan is de router by default ook al veilig en ik zag dat alles inkomend op de WAN port ook alles standaard 'dropped' word, dus dat is wel fijn inderdaad.

Voor nu ga ik gwoon voor een simpele configuratie zodat internet e.d. in ieder geval werkt en ga ik het vanuit daar dan wel uitbreiden.

Acties:

zaterdag 9 mei 2026 16:59

Wifi
MikroTik

Raverty schreef op zaterdag 9 mei 2026 @ 16:49:
[...]

Bedankt voor de tips!

Ik had al wel gevonden hoe ik een backup kan maken via de CLI en SFTP, maar nog niet hoe/of ik ook backups kan maken direct vanuit winbox zodat ik ze dan meteen op mijn pc kan opslaan zonder SFTP/SCP te hoeven gebruiken.

Ik had inderdaad ook al gezien dat gebruikmaken van de default config wel handig is inderdaad, dan is de router by default ook al veilig en ik zag dat alles inkomend op de WAN port ook alles standaard 'dropped' word, dus dat is wel fijn inderdaad.

Voor nu ga ik gwoon voor een simpele configuratie zodat internet e.d. in ieder geval werkt en ga ik het vanuit daar dan wel uitbreiden.

Graag gedaan en backups maken zit onder Files in Winbox.

Daar kan je ze ook downloaden en/of restoren.

Als je overigens wel een keer een hard reset moet doen dan blijven deze bewaard onder Files en worden niet gewist.

Acties:

zaterdag 9 mei 2026 17:02

MikroTik nerd

MikroTik
Wifi

Naast backups zijn exports heel krachtig. Een weergave van de configuratie in tekst. Dit zijn commando’s welke via de cli uitgevoerd kunnen worden. Veel in de documentatie verwijst naar deze commando’s.

Toffe van MikroTik is dat er een hele actieve community achter zit. Kijk maar eens op het forum (als je dat nog niet gedaan hebt).

Eerst het probleem, dan de oplossing

Acties:

zaterdag 9 mei 2026 22:45

Wifi
MikroTik

Misschien overbodig, maar wel noemenswaardig is dat je een nieuw admin account aanmaakt en de originele disabled/verwijderd.

Acties:

maandag 11 mei 2026 08:06

omdat het kan

Ipv6 uit

Cloud overwegen (uit hier)

Ftp en winbox , ook op layer2 uit op wan. Op lan selectief aan.

Dns uit van buiten af

Verkeer uit de router niet toestaan.

Ssh beperkt toestaan met alleen pubkeys is ook fijn.

Nog wel wat dingen.

[ Voor 12% gewijzigd door Boudewijn op 09-05-2026 22:47 ]

zondag 10 mei 2026 12:46

Acties:

verguldebarman

Block url (streaming dienst) per source

Voor diegene die, net als ik, lang hebben gezocht naar een werkende methode om bv. streaming te blokeren voor kids (dus specifieke sources) in het gezin. Ik heb een werkende oplossing gevonden voor Mikrotik. Doe er je voordeel mee, want ik heb er lang naar moeten zoeken....

Drie stappen:

maak static DNS entries aan voor de websites die je wilt blokeren
maak address lists aan voor alle sources
maak een firewall rule aan

stap 1 static DNS entries

Ik heb de volgende static DNS entries aangemaakt. Deze entries sturen alle DNS requests door naar een address list "blocked_domains". Deze address list gebruik je vervolgens in de firewall rule in stap 3.

code:

add address-list=blocked_domains comment=blocked_domains match-subdomain=yes name=googlevideo.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=primevideo.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=avodassets-a.akamaihd.net type=FWD
add address-list=blocked_domains match-subdomain=yes name=primevideo.tv type=FWD
add address-list=blocked_domains match-subdomain=yes name=primevideo.org type=FWD
add address-list=blocked_domains match-subdomain=yes name=primevideo.info type=FWD
add address-list=blocked_domains match-subdomain=yes name=pv-cdn.net type=FWD
add address-list=blocked_domains match-subdomain=yes name=fls-na.amazon.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=atv-ext.amazon.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=aiv-delivery.net type=FWD
add address-list=blocked_domains match-subdomain=yes name=amazonvideo.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=aiv-cdn.net type=FWD
add address-list=blocked_domains match-subdomain=yes name=hbomax.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=hbo.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=SkyShowtime.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=videoland.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=disneyplus.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=nlziet.nl type=FWD
add address-list=blocked_domains match-subdomain=yes name=npo.nl/start type=FWD
add address-list=blocked_domains match-subdomain=yes name=viaplay.com type=FWD
add address-list=blocked_domains match-subdomain=yes name=netflix.com type=FWD

stap 2 adress lists

Ik heb verschillende address lists aangemaakt. Ik zet deze aan en uit via Home Assistant rest API. Ik zet dus niet de firewall rule aan en uit, maar indivuele adress lists, zodat ik per source kan bepalen of het geblokkeerd moet worden , of niet....

Voor de sources gebruik ik, als voorbeeld:

code:

add address=xx.xx.xx.xx comment="Block Streaming iPhone" disabled=yes list=block_streaming_list
add address=xx.xx.xx.xx comment="Block Streaming Laptop" disabled=yes list=block_streaming_list
add address=xx.xx.xx.xx comment="Block Streaming Android Phone" disabled=yes list=block_streaming_list
add address=xx.xx.xx.xx comment="Block Streaming iPad" disabled=yes list=block_streaming_list

stap 3 Firewall rule

Als laatste moet je een firewall toevoegen om de destinations (blocked_domains) voor de sources (block_streaming_list) te blokeren:

code:

1	add action=drop chain=forward comment="Block Streaming" dst-address-list=blocked_domains log-prefix="Blocked Streaming: " src-address-list=block_streaming_list

Vrijstaande woning, dubbel glas, veel ramen, alles open verbonden, ca 300m3, geen extra isolatie, vvw in de woonkamer, rest type 10 zonder boosters, T6 op 20°C & 19,5°C nacht, 4,5kW Quatt, Intergas Xtreme36, 6MWh Wp, Warmteverl. (-10°C) 7kW bij max 15°C

zondag 10 mei 2026 12:52

Acties:

lolgast

@verguldebarman
Zoals altijd is er voor elk probleem meer dan 1 oplossing, maar persoonlijk zou ik dit, zeker ook voor het inzicht, inrichten in PiHole/Adguard Home. Persoonlijk ben ik al een paar jaar over naar AGH en zeker in combinatie met DoH profielen op de mobiele apparaten waardoor ze altijd en overal gebruik maken van AGH is het eenvoudig om daar services dicht te zetten.

Acties:

verguldebarman

lolgast schreef op zondag 10 mei 2026 @ 12:52:
@verguldebarman
Zoals altijd is er voor elk probleem meer dan 1 oplossing, maar persoonlijk zou ik dit, zeker ook voor het inzicht, inrichten in PiHole/Adguard Home. Persoonlijk ben ik al een paar jaar over naar AGH en zeker in combinatie met DoH profielen op de mobiele apparaten waardoor ze altijd en overal gebruik maken van AGH is het eenvoudig om daar services dicht te zetten.

Klopt helemaal, dat had ik voorheen ook. Ik wilde de optie alleen heel graag in de router hebben.

dinsdag 12 mei 2026 12:20

Acties:

dinsdag 12 mei 2026 17:19

Boudewijn schreef op zaterdag 9 mei 2026 @ 22:45:
...

Verkeer uit de router niet toestaan.

...

dan kan je volgens mij ook niet meer routerOS updaten ?

Acties:

esphome

ronjon schreef op dinsdag 12 mei 2026 @ 12:20:
[...]

dan kan je volgens mij ook niet meer routerOS updaten ?

Hier te downloaden via de website en dan het update bestand in files zetten op de router en dan een reboot doen in system.

donderdag 14 mei 2026 14:23

Acties:

donderdag 14 mei 2026 19:30

omdat het kan

Of even toestaan tijdens de update en daarna weer uit. Je kunt natuurlijk best een specifieke firewall-rule maken.

Updaten gaat nu via https ipv http trouwens.

Acties:

DRAFTER86

Boudewijn schreef op donderdag 14 mei 2026 @ 14:23:
Of even toestaan tijdens de update en daarna weer uit. Je kunt natuurlijk best een specifieke firewall-rule maken.

Updaten gaat nu via https ipv http trouwens.

Uit interesse: wat is de kwetsbaarheid die je afschermd door verkeer vanuit de router te blokkeren? Heb je het dan over verkeer naar WAN of naar LAN of beide?

donderdag 14 mei 2026 19:44

Acties:

donderdag 14 mei 2026 23:15

omdat het kan

DRAFTER86 schreef op donderdag 14 mei 2026 @ 19:30:
[...]

Uit interesse: wat is de kwetsbaarheid die je afschermd door verkeer vanuit de router te blokkeren? Heb je het dan over verkeer naar WAN of naar LAN of beide?

Ik blokkeer eigenlijk zoveel mogelijk. Waarom? Als iemand unpriv shell krijgt op je router kan hij niet zomaar allerlei verbindingen naar buiten opzetten.

Voor firmware wat whitelisten (dat kan nu strakker) en evt voor NTP.

Acties:

donderdag 14 mei 2026 23:24

Boudewijn schreef op donderdag 14 mei 2026 @ 19:44:
[...]

Ik blokkeer eigenlijk zoveel mogelijk. Waarom? Als iemand unpriv shell krijgt op je router kan hij niet zomaar allerlei verbindingen naar buiten opzetten.

Voor firmware wat whitelisten (dat kan nu strakker) en evt voor NTP.

Maar als je rechten eenmaal hebt, pas je toch gewoon de regels aan...

Acties:

donderdag 21 mei 2026 15:47

omdat het kan

Zeker, daarom schrijf ik ook een unpriv shell.

Iemand die root op je device heeft houd je überhaupt niet tegen met de lokale fw.

[ Voor 48% gewijzigd door Boudewijn op 14-05-2026 23:25 ]

Acties:

donderdag 21 mei 2026 18:28

Boudewijn schreef op donderdag 14 mei 2026 @ 23:24:
Zeker, daarom schrijf ik ook een unpriv shell.

Iemand die root op je device heeft houd je überhaupt niet tegen met de lokale fw.

hoe zou iemand (waarvan jij niet wil dat ie toegang heeft / krijgt) wel unpriv shell verkrijgen ?
dan moet je al meerdere groups / policies hebben draaien lijkt me

Acties:

donderdag 21 mei 2026 20:46

omdat het kan

De boel sploiten? Er hebben in het verleden genoeg gare lekker in de web-interface en weet ik wat nog meer gezeten. Er zal vroeg of laat vast wel weer wat komen.

Acties:

Commendatore

Ik heb vandaag een RB5009UG+S+IN binnengekregen, vooralsnog primair bedoeld als leerobject.

Mij valt op dat MikroTik de doos niet verzegeld. Zijn er dingen waarop ik moet letten om er zeker van te zijn dat dit exemplaar niet ergens eerder gebruikt is?

donderdag 21 mei 2026 21:31

Acties:

esphome

Commendatore schreef op donderdag 21 mei 2026 @ 20:46:
Ik heb vandaag een RB5009UG+S+IN binnengekregen, vooralsnog primair bedoeld als leerobject.

Mij valt op dat MikroTik de doos niet verzegeld. Zijn er dingen waarop ik moet letten om er zeker van te zijn dat dit exemplaar niet ergens eerder gebruikt is?

De dozen van Mikrotik zijn niet verzegeld.

Zoek eens op youtube op "mikrotik 5009 unboxing" dan zie je filmpjes van het openmaken van de doos en hoe het eruit moet zien.

dinsdag 26 mei 2026 15:45

Acties:

dinsdag 26 mei 2026 16:08

ROS 7.23 is uit met als het goed is http/2 doh werkend op ARM64 en x86/CHR apparaten

https://forum.mikrotik.com/t/v7-23-stable-is-released/270721

[ Voor 7% gewijzigd door kaaas op 26-05-2026 15:45 ]

Acties:

dinsdag 26 mei 2026 16:15

MikroTik nerd

MikroTik
Wifi

Is inderdaad goed @kaaas, alleen niet alle DoH diensten werken lekker.

Er is een overzicht van supported diensten:
https://help.mikrotik.com...e/incompatibleDoHservices

Eerst het probleem, dan de oplossing

Acties:

dinsdag 26 mei 2026 17:12

@lier Dat is nou juist het punt quad9 bijv zou nu wel kunnen werken doordat http2 in deze versie ondersteund wordt. Ik heb hem net ingesteld en het lijkt te werken, maar eerst zien en dan geloven. Want in het verleden was dat ook zo, maar begon het toch te haperen na een tijdje.

Acties:

woensdag 27 mei 2026 16:38

MikroTik nerd

MikroTik
Wifi

Quad9 gaf bij mij heel veel problemen. Heeft mogelijk te maken met dat elke call een eigen http client aanmaakt (dat werd als mogelijke oorzaak door Quad9 genoemd). Kijk anders in de logging, die stond vol met warnings op dns.

Ik gebruik zelf NextDNS, die is (voor mij) superstabiel.

[ Voor 14% gewijzigd door lier op 26-05-2026 17:14 ]

Eerst het probleem, dan de oplossing

Acties:

woensdag 27 mei 2026 18:50

Ok quad9 werkt nog steeds niet met DOH ook niet met de http2 support.

Edit

joindns4.eu doet het nu wel!

[ Voor 22% gewijzigd door kaaas op 27-05-2026 16:49 ]

Acties:

woensdag 27 mei 2026 19:39

Wifi
MikroTik

kaaas schreef op woensdag 27 mei 2026 @ 16:38:
Ok quad9 werkt nog steeds niet met DOH ook niet met de http2 support.

Edit

joindns4.eu doet het nu wel!

Jammer. Dank voor het melden, want dat scheelt mij een onnodige poging.

Acties:

woensdag 27 mei 2026 20:01

MikroTik nerd

MikroTik
Wifi

kaaas schreef op woensdag 27 mei 2026 @ 16:38:
joindns4.eu doet het nu wel!

Check even de log, bij mij gaf deze ook veel foutmeldingen. In ieder geval t/m RC4.

Eerst het probleem, dan de oplossing

Acties:

woensdag 27 mei 2026 20:42

Tot nog toe zie ik geen errors. Welke errors had je?

Acties:

vrijdag 29 mei 2026 16:56

MikroTik nerd

MikroTik
Wifi

DoH server response not OK: 0:

Had vergelijkbare melding bij Quad9...
Overigens heb ik de DNS cache geflusht na het aanpassen. Wellicht versnelt dat het optreden van de foutmelding. Deze heb ik trouwens niet bij NextDNS.

Eerst het probleem, dan de oplossing

Acties:

vrijdag 29 mei 2026 17:01

Hoi Allen,

Ik wil een nieuwe thuisnetwerk waarbij ik naar MikroTik en Unifi kijk. In het Unifi forum werd ik er op gewezen dat MikroTik geen centraal management heeft (Tarquin in "[Ubiquiti-apparatuur] Aankoopadvies & Discussie"). Als ik op de MikroTik website kijk krijg ik het idee dat dit wel het geval is als alle apparatuur RouterOS draaien. Ik hoor graag van jullie hoe het zit.

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

Acties:

mbovenka

Een 'single pane of glass' voor je hele netwerk (routers, switches en APs) is er voor MikroTik niet. Centraal management voor je APs wel (CAPsMAN, CAPsMAN | RouterOS Manual)

vrijdag 29 mei 2026 17:15

Acties:

vrijdag 29 mei 2026 17:17

rm -rf *

Er bestaan wel 3rd party tools zoals
Mikrowizard en op
github hun repository. Ik heb dat zelf nog niet uitgeprobeerd, maar je kan het lokaal installeren in een container.

Mikrotik zelf heeft geen management tooling anders dan hierboven genoemd.

[ Voor 14% gewijzigd door Raverty op 29-05-2026 17:17 ]

Acties:

vrijdag 29 mei 2026 21:26

Er is Winbox, maar dan manage je 1 device. Dus meerdere keren starten om meerdere devices te managen. Is niet persé een probleem, maar gemakkelijk gelijkwaardige settings uitrollen is niet mogelijk. Dan wordt het kopieren-plakken tussen de verschillende sessies.

Acties:

vrijdag 29 mei 2026 21:52

Hmm dat is wel echt jammer. Had gehoopt dat dit wel op een manier kon. Dank voor de antwoorden.

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

Acties:

zaterdag 30 mei 2026 06:35

MikroTik nerd

MikroTik
Wifi

Mijn ervaring is dat ik (MikroTik omgeving en voormalig Unifi gebruiker) alleen op draadloos gebied veel beheer. En voor mij is CAPsMAN dan meer dan toereikend. Dat draait op de router, waar ik soms wat beheer op moet doen. Mijn switches zijn een keer goed geïnstalleerd/geconfigureerd en draaien sindsdien probleemloos. Hooguit een upgrade van RouterOS en firmware. Op de switches draai ik LTS, daar komen niet zo vaak updates op.

Voor mij is Unifi vooral "ziet er leuk uit" en "updates zijn spannend", MikroTik is en blijft werken (mijn RB951 wordt na 14 jaar bijvoorbeeld nog steeds altijd ondersteund). Maar kan inmiddels lezen en schrijven met MikroTik, dus ik ben bevooroordeeld.

Overigens is MikroTik bezig met een beheer omgeving. Deze gaat Dude (als oude beheer omgeving) vervangen. Dus mogelijk komt er ook iets voor de mensen die dat belangrijk vinden.

Eerst het probleem, dan de oplossing

Acties:

dinsdag 16 juni 2026 08:10

lier schreef op vrijdag 29 mei 2026 @ 21:52:
Mijn ervaring is dat ik (MikroTik omgeving en voormalig Unifi gebruiker) alleen op draadloos gebied veel beheer. En voor mij is CAPsMAN dan meer dan toereikend. Dat draait op de router, waar ik soms wat beheer op moet doen. Mijn switches zijn een keer goed geïnstalleerd/geconfigureerd en draaien sindsdien probleemloos. Hooguit een upgrade van RouterOS en firmware. Op de switches draai ik LTS, daar komen niet zo vaak updates op.

Hoezo veel beheer op draadloos gebied? Heb je iedere keer nieuwe apparatuur ofzo? Ik ging er van uit als het staat dan staat het. Net als het bedraden netwerk.

PV 5.590 Wp Enphase, 2.700 Wp Growatt - Easee laadpaal - Itho Amber 95 WP

Acties:

dinsdag 16 juni 2026 08:51

MikroTik nerd

MikroTik
Wifi

Met name de juiste kanalen draaien is een uitdaging. Ik woon in het centrum van een dorp waar veel wifi netwerken zijn. Autochannel doet gelukkig een hoop goed.

Vandaar dus veel beheer, @Impossibl3

Eerst het probleem, dan de oplossing

Acties:

GarBaGe

Raverty schreef op vrijdag 29 mei 2026 @ 17:15:
Er bestaan wel 3rd party tools zoals
Mikrowizard en op
github hun repository. Ik heb dat zelf nog niet uitgeprobeerd, maar je kan het lokaal installeren in een container.

Mikrotik zelf heeft geen management tooling anders dan hierboven genoemd.

Mikrowizard ziet er best leuk uit.
Als ik hiermee centraal mijn Mikrotiks kan beheren met een eigen hosted lokale Docker instantie...
Klinkt best leuk.
Volgens mij ondersteunt ie dan ook Radius, zodat alle inlogs van alle MT devices centraal geregeld is
Binnenkort ff uitproberen....

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

zaterdag 27 juni 2026 17:22

Acties:

Bumpy_NL

Zelf zou ik wel mijn provider modem willen vervangen voor iets dat vlans ondersteund. Mijn netwerk is verder niet zo spannend, maar ik zou graag IoT apparatuur en IP camera's op hun eigen vlan (zonder internet toegang) willen zetten. Nu spreekt mij MikroTik aan als Europees bedrijf, maar de leercurve voor deze niet IT'er vind ik wel spannend. Is het een beetje te doen? Ik zou niet mijn netwerk per ongeluk open willen zetten voor het internet of geen internet meer willen hebben.

zaterdag 27 juni 2026 18:09

Acties:

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

Bumpy_NL schreef op zaterdag 27 juni 2026 @ 17:22:
Zelf zou ik wel mijn provider modem willen vervangen voor iets dat vlans ondersteund. Mijn netwerk is verder niet zo spannend, maar ik zou graag IoT apparatuur en IP camera's op hun eigen vlan (zonder internet toegang) willen zetten. Nu spreekt mij MikroTik aan als Europees bedrijf, maar de leercurve voor deze niet IT'er vind ik wel spannend. Is het een beetje te doen? Ik zou niet mijn netwerk per ongeluk open willen zetten voor het internet of geen internet meer willen hebben.

Simpele switch met VLAN support achter je router. Keuze genoeg.

RIPE Atlas probe: 1005104

zaterdag 27 juni 2026 18:41

Acties:

zaterdag 27 juni 2026 18:53

ernstoud schreef op zaterdag 27 juni 2026 @ 18:09:
[...]

Simpele switch met VLAN support achter je router. Keuze genoeg.

Met alleen een switch ben je er niet. Er van uitgaande dat de provider modem slechts 1 intern subnet routeert zul je ook een router nodig hebben die je verkeer tussen de vlans regelt, zelfs als de extra vlans geen internet toegang behoeven.
Ikzelf heb redelijk lange ervaring met MikroTik, maar als je van scratch begint is het geen 123 klaar oplossing.

[ Voor 11% gewijzigd door babbelbox op 27-06-2026 18:43 ]

Acties:

zaterdag 27 juni 2026 22:20

omdat het kan

Het is wel te doen maar zelfs met wat ervaring best een ff doorbijten. Heb je al wel ervaring met vlans?

Acties:

Bumpy_NL

Boudewijn schreef op zaterdag 27 juni 2026 @ 18:53:
Het is wel te doen maar zelfs met wat ervaring best een ff doorbijten. Heb je al wel ervaring met vlans?

Ik heb in het verleden wel youtube filmpjes gekeken over vlans en andere netwerkzaken uit algemene interesse. Geen eigen ervaring.

zaterdag 27 juni 2026 22:47

Acties:

zondag 28 juni 2026 09:02

omdat het kan

Bumpy_NL schreef op zaterdag 27 juni 2026 @ 22:20:
[...]

Ik heb in het verleden wel youtube filmpjes gekeken over vlans en andere netwerkzaken uit algemene interesse. Geen eigen ervaring.

Ik had ook andere dingen te doen en aan het einde van een burnout maar had er wel ff tijd voor nodig. Toen het kwartje eenmaal gevallen was ging het prima.

offtopic:
zelfs mtcna en mtcre, maarja daar worden vlans niet eens genoemd

Als je lekker wil hobbien en spelen, kopen, ik help je wel in dit topic

Acties:

jvanhambelgium

Bumpy_NL schreef op zaterdag 27 juni 2026 @ 17:22:
Zelf zou ik wel mijn provider modem willen vervangen voor iets dat vlans ondersteund. Mijn netwerk is verder niet zo spannend, maar ik zou graag IoT apparatuur en IP camera's op hun eigen vlan (zonder internet toegang) willen zetten. Nu spreekt mij MikroTik aan als Europees bedrijf, maar de leercurve voor deze niet IT'er vind ik wel spannend. Is het een beetje te doen? Ik zou niet mijn netwerk per ongeluk open willen zetten voor het internet of geen internet meer willen hebben.

Je kan ook perfect IOT & Camera's netjes op 1 (dezelfde) LAN zetten en met wat simpele filters dit gewoon tegenhouden. Zo heb ik dat thuis en dat werkt ook goed. Je hoeft niet zo paranoide te zijn te denken dat je IOT of IPCAM alles gaat proberen om naar Internet te geraken. Het ding gewoon al geen "default gateway" meegeven is al redelijk effectief. (ik ga er gemakshalve even vanuit het het IPv4 betreft hier)
VLAN's zijn ook maar .... VLAN's. "just another way to skin the cat" zeker voor iets eenvoudig als thuisgebruikt.

Beroepsmatig pak ik het natuurlijk wel wat anders aan en gaat deze vlieger niet echt op.

zondag 28 juni 2026 12:57

Acties: