[MikroTik-apparatuur] Ervaringen & Discussie

woensdag 7 mei 2025 15:54

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Ruis van het Internet, niet zo spannend. Logging uitzetten

Eerst het probleem, dan de oplossing

woensdag 7 mei 2025 16:33

Acties:

0 Henk 'm!

verguldebarman

lier schreef op woensdag 7 mei 2025 @ 15:54:
Ruis van het Internet, niet zo spannend. Logging uitzetten

Ruis van het Internet... mooie term $_/-\o_$

Vrijstaande woning, dubbel glas, veel ramen, alles open verbonden, ca 300m3, geen extra isolatie, vvw in de woonkamer, rest type 10 zonder boosters, T6 op 20°C & 19,5°C nacht, 4,5kW Quatt, Intergas Xtreme36, 6MWh Wp, Warmteverl. (-10°C) 7kW bij max 15°C

dinsdag 20 mei 2025 22:01

Acties:

0 Henk 'm!

FrankHe

Ik heb denk ik even wat hulp nodig aangaande een Huawei LTE USB-stick in combinatie met RouterOS.

In het forum kwam ik de volgende post tegen van @mbovenka die kennelijk een werkende situatie heeft:
mbovenka in "[MikroTik-apparatuur] Ervaringen & Discussie"

Nu wil het geval dat ik ook met zo'n combinatie aan het spelen ben. In mijn geval betreft het de Huawei E3372-325 met een Mikrotik E50UG (hEX refresh)

De hEX refresh is nieuw uit doos en ben van plan deze verder naar mijn wens in te richten. Heb al enkele hAP ax lite's in gebruik en ben ondertussen redelijk thuis in RouterOS.

Waar ik nu tegenaan loop is dat de stick wordt herkend maar dat RouterOS er geen traffic naartoe routeert. Voor mijn gevoel is het iets simpels maar ik kan het niet vinden.

Er zijn geen Routing Tables of Rules ingericht. Bij Routing Nexthops is de 'lte1' netjes te zien.
Bij IP Route zit ook alles er keurig uit.

De LTE USB-stick heb ik ingericht als subnet 192.168.33.0/24. Zodra ik de USB-stick direct in mijn laptop steek dan kan ik netjes de webinterface 192.168.33.1 van de stick benaderen. Zodra ik de stick in de Mikrotik steek dan lukt het me niet om die 192.168.33.1 te benaderen. Verder is 'lte1' helemaal zichtbaar en bij de IP Routes zie ik ook netjes het subnet 192.168.33.0/24 verschijnen. Het lukt me wel om het 'lokale adres' van dat subnet te pingen, het adres wat de DHCP-server in de stick heeft toegekend aan de Mikrotik. Wanneer ik de stick zelf probeer te pingen dan komt er geen response.

Het subnet van de hEX refresh is de standaard 192.168.88.0/24 en zit elkaar dus niet in de weg.
Edit, voor aankoop heb ik goed op de compatibility gelet: "Models with suffixes -325 works only with arm cpu", of te wel, deze stick is compatible met de CPU in de Mikrotik.
Edit 2, de stick werkt naar behoren wanneer ik deze in mijn GL-iNET AX1800 travelrouter steek. Ik doe dus iets fout op de hEX refresh maar ik zie het zo snel niet.

Het is wellicht iets simpels, hopelijk schiet iemand iets te binnen?

Bij voorbaat hartelijk dank!

[ Voor 10% gewijzigd door FrankHe op 20-05-2025 22:15 ]

woensdag 21 mei 2025 07:32

Acties:

0 Henk 'm!

kaaas

Zou je een export van je config kunnen posten?

woensdag 21 mei 2025 08:34

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Heb je de LTE interface toegevoegd aan de WAN interface list?

Eerst het probleem, dan de oplossing

woensdag 21 mei 2025 15:18

Acties:

+1 Henk 'm!

FrankHe

lier schreef op woensdag 21 mei 2025 @ 08:34:
Heb je de LTE interface toegevoegd aan de WAN interface list?

Dat was hem inderdaad! Toegevoegd en het werkt nu, hartelijk dank!

Dit is de eerste keer dat ik met multi-WAN aan de slag ben. Weer iets geleerd.

woensdag 21 mei 2025 15:41

Acties:

0 Henk 'm!

GarBaGe

Zijn hier ook mensen die ervaring hebben met Mikrotik configuratie extern bewaren / beheren?
Via Git -> Ansible -> Mikrotik ?
Dan kan je op 1 centrale plek alle configuratie bijhouden en in 1 keer uitrollen?

Of wellicht een alternatief voor Ansible?

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

woensdag 21 mei 2025 16:26

Acties:

0 Henk 'm!

Freeaqingme

@GarBaGe Ik heb het wel andersom. Daarbij doe ik Mikrotik -> Oxidized -> Git. Daarbij pullt Oxidized bijvoorbeeld ieder uur de config naar een centrale git repo toe. Op die manier kan je makkelijk zien wanneer welke wijziging gemaakt is en kan je 't eventueel als backup gebruiken.

Afhankelijk van wat je exact wilt bereiken sluit dat precies wel of niet aan bij wat je zoekt

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

woensdag 28 mei 2025 18:17

Acties:

0 Henk 'm!

mgom

Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.

vrijdag 30 mei 2025 20:47

Acties:

+1 Henk 'm!

FrankHe

@mgom Wel de hEX refresh maar ik zit niet bij KPN. De ARM CPU in de MikroTik E50UG is echt bijzonder krachtig voor dat geld. Het zou me verbazen als die problemen heeft met 1 Gbps PPPoE.

Enkele weken geleden heb ik twee hEX refreshes gekocht en ben er mee aan het spelen. Ik zal komende week eens een PPPoE opzetten tussen beide units en kijken hoe dat performt.

vrijdag 30 mei 2025 22:04

Acties:

+3 Henk 'm!

sambaloedjek

mgom schreef op woensdag 28 mei 2025 @ 18:17:
Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.

Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.

Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025

maandag 2 juni 2025 09:06

Acties:

0 Henk 'm!

FrankHe

sambaloedjek schreef op vrijdag 30 mei 2025 @ 22:04:
[...]

Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.

Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025

De E60iUGS is inderdaad net gelanceerd, letterlijk gisteren. Ook mij lijkt dat de uitgelezen oplossing in deze situatie. Echter duurt het wellicht nog een aantal weken voordat deze daadwerkelijk beschikbaar komt.

donderdag 5 juni 2025 07:23

Acties:

0 Henk 'm!

mukky

babbelbox schreef op donderdag 21 maart 2024 @ 13:11:
[...]

Maar dan heb jij een AON verbinding, vermoed ik.
Ik heb een GPON aansluiting, vandaar de 'specifieke' SFP+ module

Heb je je probleem ooit opgelost? Ik ben van plan om een nieuwe Hex S te kopen en wil er dan een SFP+ module instoppen voor mijn e-fiber aansluiting maar weet niet welke SFP ik moet kopen

donderdag 5 juni 2025 11:43

Acties:

0 Henk 'm!

superyupkent

Hier zit veel kennis over KPN/Delta icm SFP modules: LINK

donderdag 5 juni 2025 11:59

Acties:

0 Henk 'm!

Commendatore

Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

donderdag 5 juni 2025 12:02

Acties:

+2 Henk 'm!

Shinji

Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

Ik moest zoeken wat het was, heb paar Mikrotiks sinds de originele HEX, en ook de RB5009 maar nog nooit nodig gehad.

donderdag 5 juni 2025 13:29

Acties:

+1 Henk 'm!

Hmmbob

Nope, ik zie dat ook meer als oplossing voor als je t echt heel erg verkloot hebt

Heb zelfs ik nog niet eerder nodig gehad

Altijd Winbox of WebUI, heel soms ssh

Sometimes you need to plan for coincidence

donderdag 5 juni 2025 15:11

Acties:

+2 Henk 'm!

Thasaidon

If nothing goes right, go left

Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.

Ik heb slechts 1 keer de Netinstall nodig gehad.
Dat was op mijn hAP ac2, omdat Mikrotik een nieuwe firmware te groot had gemaakt voor het (te kleine) interne geheugen van die routers.

Maar ik zou me daar bij de RB5009 geen zorgen over maken.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 20 juni 2025 12:11

Acties:

0 Henk 'm!

BaseBoyNL

Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.

Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?

Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.

Iemand die me wegwijs kan maken in deze keuze?

vrijdag 20 juni 2025 12:49

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Mijn bevooroordeelde "2 cents":

Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.

Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.

Voor wat betreft je vraag, op dit moment zijn er globaal 4 producten voor Wifi die binnen "kunnen":
hAP AX2, hAP AX3, cAP AX en wAP AX. Deze laatste is een bizar goed accesspoint en draait hier (in drievoud) kneiterstabiel mijn thuisnetwerk in CAPsMAN (de centrale manager voor wifi).

Als je "echte" vragen hebt, laat maar weten!

Eerst het probleem, dan de oplossing

vrijdag 20 juni 2025 13:41

Acties:

0 Henk 'm!

BaseBoyNL

lier schreef op vrijdag 20 juni 2025 @ 12:49:
Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.

Compleet nieuwe infra voor het huis.
1x Router
1x 16 port switch met PoE?
3x Accesspoint voor binnen
1x Accesspoint voor buiten

Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.
Liefste geen cloud omgeving en alles lokaal te beheren (self hosted).

Mooi product van unify vind ik bijvoorbeeld:
https://techspecs.ui.com/unifi/wifi/u7-iw?s=eu

Budget is ongeveer 800,- maar dat hoeft het niet te kosten natuurlijk

vrijdag 20 juni 2025 13:45

Acties:

0 Henk 'm!

Shinji

lier schreef op vrijdag 20 juni 2025 @ 12:49:
Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.

Wat betreft APs ben ik het hier niet mee eens overigens. APs van Ubiquity zijn prima standalone te gebruiken zonder verder iets af te nemen. Net zo goed als de Mikrotiks samenwerken met andere vendoren.

vrijdag 20 juni 2025 14:00

Acties:

0 Henk 'm!

mbovenka

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 13:41:
Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.

Als WiFi7 een eis is, valt MikroTik af. Dat hebben ze (nog) niet.

vrijdag 20 juni 2025 14:00

Acties:

+1 Henk 'm!

Thasaidon

If nothing goes right, go left

@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.

Ik heb ook overal Mikrotik hangen in huis.
Maar gewoon met Wifi5 en 1Gb poorten.

De RB4011iGS+5HacQ2HnD-IN als Wifi AP (voor de begane grond), switch en DHCP server.
En 3 hAP AC2's als AP's en switch (op de 1e, zolder en tuin).

Dat voldoet meer dan genoeg voor alles wat de vrouw en kinderen doen op hun mobieltjes, TV's en laptops.
Evenals voor mijn pc's, NAS-en, etc...

[ Voor 15% gewijzigd door Thasaidon op 20-06-2025 14:07 ]

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

vrijdag 20 juni 2025 14:06

Acties:

+1 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

Laat ik hier delen hoe ik tot mijn keuze ben gekomen.

In mijn meterkast stond al jaren een FRITZ!Box 7590 te zoemen. Daar was ik op zich tevreden over en de functies waren uitgebreid (voor een consumentenrouter, welteverstaan). Maar wat ik bv. miste was de mogelijkheid om een echte DMZ in te richten en met de komst van glasvezel (Glaspoort is hier onlangs met de aanleg begonnen) zou ik ook te weinig Ethernetpoorten hebben. Verder begon ik mij in toenemende mate te storen aan het gefragmenteerde updatebeleid van AVM.

Ik ben bij MikroTik uitgekomen omdat je voor een bescheiden bedrag (Ubiquity is toch een heel stuk duurder) prima hardware krijgt en de functionaliteit zeer uitgebreid is (op enterpriseniveau). Je wordt in de configuratiemogelijkheden niet beperkt tot wat het product management van de fabrikant zinvol vindt om in een GUI te ondersteunen.

De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:

Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.

PoE bleek het lastigste punt. MikroTik heeft weliswaar veel producten die PoE ondersteunen, maar ze zij er in twee smaken: passive PoE (24V) en 802.3af/at (tot 57V). Die twee smaken kun je niet door elkaar gebruiken! Na lang wikken en wegen ben ik uitgekomen bij een RB5009UPr+S+IN als hart van mijn netwerk en twee stuks wAP ax (een beneden en een op de verdieping, beide hangen tegen een buitenmuur). Van die keuzes heb ik nog geen seconde spijt gehad. Omdat ik nu nog een VDSL-aansluiting heb, doet een DrayTek Vigor 165 tijdelijk dienst als VDSL-bridge.

Dan resten mij nog een paar waarschuwingen:

Je kunt MikroTik apparatuur zoals gezegd op detailniveau configureren. De keerzijde is dat je ook heel verkeerde dingen kunt doen. RouterOS houdt je daarbij op geen enkele wijze tegen. In de leerfase heb ik de hardwarematige factory reset dan ook een keer nodig gehad. Grondige netwerkkennis is zeer gewenst om te voorkomen dat er gekke dingen gebeuren en je niet begrijpt waarom.
De RouterOS documentatie is zeer uitgebreid, maar helaas niet altijd even goed toegankelijk. De juiste pagina vinden gaat nogal eens gemakkelijker met Google dan met de zoekfunctie op de MikroTik site.
MikroTik doet dingen op de MikroTik manier. Zelfs als je vele jaren ervaring hebt in netwerken zul je merken dat de leercurve heel steil is. Maar als je eenmaal boven bent is het uitzicht prachtig.

vrijdag 20 juni 2025 14:29

Acties:

+1 Henk 'm!

BaseBoyNL

Allereerst dank voor jullie reacties!

Thasaidon schreef op vrijdag 20 juni 2025 @ 14:00:
@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.

De computer heeft al een 2,5Gb poort en ik verwacht dat mijn volgende zelfbouw server dit ook zal hebben dus ja dit is actueel. Dit zelfde geld voor Wifi7 welke ik verwacht dat me volgende laptop dit zal hebben.

Ik vind het altijd zonde om niet direct de laatste tech te kopen en over 2 a 3 jaar weer te moeten upgraden.
Naar mijn verwachting zullen streams en gaming steeds meer data gaan verbruiken en komen er steeds meer devices (IoT bijvoorbeeld) op het wifi netwerk te draaien dus in de zin van bandbreedte is dan de laatste tech wel gewenst.

ZwarteIJsvogel schreef op vrijdag 20 juni 2025 @ 14:06:

De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:
Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.

De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?

vrijdag 20 juni 2025 18:50

Acties:

0 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 14:29:
De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?

Je moet het PON-ID (feitelijk het serienummer) van de ONT registreren bij de belichter zodat de OLT weet welke ONT bij jouw aansluiting hoort. Dat stelt niet veel voor. Maar als er iets mis gaat moet je het ook weer terug laten zetten en als je ONT SFP stuk gaat, is het jouw verantwoordelijkheid om die te vervangen.

Belangrijkste redenen om een ONT SFP in je router te gebruiken zijn stroomverbruik (bv. de Zaram ONT SFP gebruikt duidelijk minder stroom dan de Nokia ONT van KPN) en gewoon omdat het cool is om een directe glasverbinding te gebruiken. Als Tweaker doe je sommige dingen nu eenmaal gewoon omdat het kan.

De belangrijkste reden om het niet te doen is voor mij dat de ONT functioneel onderdeel is van het XGS-PON netwerk van de belichter. De belichter configureert de ONT tot op zekere hoogte en zit dus met zijn neus in jouw apparatuur.. Met een externe ONT met een Ethernet koppelvlak heb je een veel zuiverder demarcatiepunt tussen wat beheermatig des belichters is en wat van jou is. En als het ding stuk gaat heb je in no time een nieuwe in huis.

Just my two cents.

vrijdag 20 juni 2025 20:39

Acties:

0 Henk 'm!

Commendatore

Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.

vrijdag 20 juni 2025 20:56

Acties:

0 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

Commendatore schreef op vrijdag 20 juni 2025 @ 20:39:
Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.

Want?

Op Delta zijn er honderden Tweakers tevreden met hun eigen Zaram SFP, FS.com SFP, Huawei ONT of Nokia ONT.

RIPE Atlas probe: 1005104

vrijdag 20 juni 2025 21:15

Acties:

0 Henk 'm!

Commendatore

Leverde Delta geen gecombineerde ONT/gateways?

Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.

vrijdag 20 juni 2025 21:28

Acties:

0 Henk 'm!

ernstoud

MikroTik
Netwerkaccessoires
Modems en routers

Commendatore schreef op vrijdag 20 juni 2025 @ 21:15:
Leverde Delta geen gecombineerde ONT/gateways?

Jazeker, de Nokia xs-2426g-b ONT/router/ap. Device met beperkingen. En bij zakelijke contracten en via wholesale (met name Odido) de Nokia xs-010x-q ONT.

Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.

Zeker mooi dat het kan. Eigen beheer, geen plotselinge FW updates met nog meer beperkingen, lager energiegebruik etc.

RIPE Atlas probe: 1005104

dinsdag 24 juni 2025 10:01

Acties:

0 Henk 'm!

XElD

BaseBoyNL schreef op vrijdag 20 juni 2025 @ 12:11:
Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.

Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?

Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.

Iemand die me wegwijs kan maken in deze keuze?

Ik zit een beetje met hetzelfde dilemma. Wifi 6(E) is voor mij nog wel oké vanwege de beperkte meerwaarde van Wifi 7. Maar het kleine aantal SFP+ en/of >=2,5GB RJ45 poorten op veel Mikrotek producten maakt dat ik de kat nog even uit de boom kijk. Het is me opgevallen dat Mikrotek voor veel producten een levensduur van 7-8 jaar heeft. Als je bijvoorbeeld kijkt naar de Hex en de Hex refresh. Of de recent verschenen HeX S refresh. De orginele HeX S was uit juni 2018, de HeX S refresh kwam juni dit jaar uit. Daarom denk ik dat we misschien over niet al te lange tijd wel eens de opvolger van de RB4011 kunnen verwachten. Die kwam namelijk in november 2018 uit (zowel de versie met als zonder wifi). Ik verwacht bij een dergelijk model eigenlijk wel meer meer dan één 2,5GB/s RJ45 poort en eventueel ook meer dan één SFP+ poort.

dinsdag 24 juni 2025 12:26

Acties:

+1 Henk 'm!

mbovenka

De opvolger van de non-WiFi RB4011 is de RB5009. Meer dan 1 SFP+ verwacht ik sowieso niet in de SOHO space,, daar hebben ze de CCR2004-16G-2S+ al voor; die gaan ze niet in de weg zitten.

woensdag 25 juni 2025 14:37

Acties:

0 Henk 'm!

bcome

Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.

code:

/routing filter num-list
add comment=facebook disabled=no list=facebook range=32934
/routing filter rule
add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}"

Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.

woensdag 25 juni 2025 14:47

Acties:

+1 Henk 'm!

canonball

bcome schreef op woensdag 25 juni 2025 @ 14:37:
Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.
code:
1
2
3
4
/routing filter num-list
add comment=facebook disabled=no list=facebook range=32934
/routing filter rule
add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}"
Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.

Dat laatste inderdaad.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.

Maar je hebt alleen een default route van jouw isp.

Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.

woensdag 25 juni 2025 15:00

Acties:

0 Henk 'm!

bcome

canonball schreef op woensdag 25 juni 2025 @ 14:47:
[...]

Dat laatste inderdaad.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.

Maar je hebt alleen een default route van jouw isp.

Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.

Bedankt voor je snelle antwoord! Ik ben maar een consument, dus helaas geen geavanceerde netwerkmogelijkheden wat dat betreft. Het ging mij meer om meta te weren van m'n netwerk, niet zozeer de facebook website zelf. Een alternatief is misschien om iets te scripten wat een ASN database binnentrekt en die IP adressen in een address list van de firewall zet?

woensdag 25 juni 2025 15:27

Acties:

+1 Henk 'm!

Freeaqingme

Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.

Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

woensdag 25 juni 2025 15:32

Acties:

+1 Henk 'm!

bcome

Freeaqingme schreef op woensdag 25 juni 2025 @ 15:27:
Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.

Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?

Dit is RouterOS 7 inderdaad. De documentatie lijkt af en toe nog te verwijzen naar oude syntax wat best verwarrend is

woensdag 23 juli 2025 18:33

Acties:

0 Henk 'm!

TF0

Ik heb een vraag over VLANs, ik heb een RB5009 (RouterOS v7.19.2) en er zijn meerdere manieren om VLANs op te zetten. Wat is de beste manier volgens jullie?
Ik wil uiteraard gebruik maken van de hardware (switch chip) en niet een software manier.
Welke handleiding vinden jullie het beste (er zijn er zóveel te vinden dat ik de draad kwijt ben geraakt)?

Is bijvoorbeeld deze (high level) manier goed?: https://www.reddit.com/r/...cult_to_setup_vlans_on_a/
Add VLAN interfaces to the bridge under Interfaces>VLAN.
Add VLANS under Bridge>VLAN and any tagged interfaces.
Assign gateway IP addresses to these VLAN interfaces. (Setup DHCP if applicable.)
If doing hybrid ports, I do the following:

Create lists for each PVID in Interfaces>List, then add any interfaces that will have a PVID. Example: List_PVID10, add eth 1-10 to that list.

Add List_PVID# to the bridge in Bridge>Ports and set the VLAN ID. This will add all those ports to the bridge with a PVID of that ID. Then you can just add/remove the ports in the list and it will automatically update the bridge ports. You can change the PVID easily as well by just adding it to another list. This is optional, but I like it. Remember to make sure any ports with a PVID aren't also tagged in the Bridge VLAN on that VLAN.

In de uiteindelijke situatie wil ik een extra SSID maken met een IOT VLAN zodat het geïsoleerd is van de andere apparatuur. Dus dan moet je volgens mij een 'hybride' poort maken (meerdere VLANs op een poort), toch?

woensdag 23 juli 2025 20:30

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Dit is de "bijbel" voor vlan:
https://forum.mikrotik.co...-vlan-your-network/126489

Je zou even kunnen kijken of je de switch chip van de RB5009 kan gebruiken. Ik pas dezelfde manier toe op mijn RB4011 (gebruik alleen SFP voor de glasaansluiting en ether01 voor de LAN kant). Is geen probleem.

Persoonlijk doe ik trouwens geen hybrid ports (zoals in de quote staat).

Eerst het probleem, dan de oplossing

donderdag 24 juli 2025 16:07

Acties:

0 Henk 'm!

TF0

Bedankt! Ik had die pagina ook al eens gevonden maar had eerlijk gezegd geen zin om uren te lezen

.
Ik zal er binnenkort beginnen met lezen en kijken hoe ver ik kom...

donderdag 24 juli 2025 16:19

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Je hoeft gelukkig niet het hele topic te lezen, gelijk in het begin staan de voorbeelden van een router, switch en accesspoint. Daarmee moet je al een eind komen, @TF0

Eerst het probleem, dan de oplossing

donderdag 24 juli 2025 16:47

Acties:

0 Henk 'm!

babbelbox

Ik wist niet van het bestaan van dat topic op het MikroTik forum maar ik heb en zo goed als gelijke oplossing.
Draai in huis een combi van een Router en 3 Switch+AP als infra, router is ook meteen CAP manager, werkt naar'n zin.

donderdag 24 juli 2025 16:50

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Interessant @babbelbox, als je feedback op je huidige config wil hebben...just let me know.

Eerst het probleem, dan de oplossing

vrijdag 25 juli 2025 07:05

Acties:

0 Henk 'm!

babbelbox

lier schreef op donderdag 24 juli 2025 @ 16:50:
Interessant @babbelbox, als je feedback op je huidige config wil hebben...just let me know.

Op zich misschien goed/interessant om naar te laten kijken/reviewen maar dan moet ik 'm eerst even ontdoen van de diverse persoonlijke zaken.

woensdag 13 augustus 2025 10:44

Acties:

0 Henk 'm!

Shadow_Zero

Ik heb twee MikroTik RB4011iGS' in mijn LAN, die als switch functioneren (bridge). Ik ben bezig met een nieuwe router te installeren en configureren, en zag toen dat bij een van de MikroTik's alle Quick Sets op 'active' stonden (bij de andere alleen WISP AP). Dat vonden ik wat vreemd. Kan ik die op een of andere manier inactive krijgen? Of gewoon negeren?

Ik heb overigens blijkbaar ergens iets gewijzigd waardoor ik de betreffende MikroTik helemaal niet meer kan benaderen. Nog even kijken of ik met een kabel, mac adres en Winbox daar nog uit kom

EDIT:
Ik zie ook dat auto update het bij beide niet doet, zit nu nog op v6.49.7. Ik las wat klachten over de v7 firmware. Is het wel ok om te updaten?

[ Voor 12% gewijzigd door Shadow_Zero op 13-08-2025 10:46 ]

woensdag 13 augustus 2025 10:50

Acties:

+1 Henk 'm!

FatalError

Quick set: enkel bij verse mikrotik uit doos gebruiken, daarna nooit meer aan komen.
RouterOS 7 is hardstikke prima in 99,99% van de situaties.

If it ain't broken, tweak it!

woensdag 13 augustus 2025 10:52

Acties:

0 Henk 'm!

Shadow_Zero

FatalError schreef op woensdag 13 augustus 2025 @ 10:50:
Quick set: enkel bij verse mikrotik uit doos gebruiken, daarna nooit meer aan komen.
RouterOS 7 is hardstikke prima in 99,99% van de situaties.

Ja, ik kwam m'n eigen notitie later ook nog tegen

Stel dat ik het nu via een extra Quick Set vernaggeld heb (ben nog aan het onderzoeken), is dan het devies om maar een reset uit te voeren?

woensdag 13 augustus 2025 11:00

Acties:

0 Henk 'm!

FatalError

Shadow_Zero schreef op woensdag 13 augustus 2025 @ 10:52:
Stel dat ik het nu via een extra Quick Set vernaggeld heb (ben nog aan het onderzoeken), is dan het devies om maar een reset uit te voeren?

Dat zou ik zelf wel doen ja.

If it ain't broken, tweak it!

woensdag 13 augustus 2025 13:03

Acties:

0 Henk 'm!

Shadow_Zero

Ik ben weer bijna waar ik moet zijn. Alles lijkt eigenlijk goed te werken, ik kan alleen niet bij de webgui komen, die geeft dan een timeout. Via Winbox mac adres werkt wel, en als ik in het Winbox overzicht kijk staat daar ip adres 0.0.0.0.

Enig idee waar dat hem in zit?

EDIT:
Ik zie bij degene waar het wel werkt 'Root Bridge' aangevinkt en 'Root Port = none'. Bij de andere is dit niet aangevinkt en staat 'Root Port = ether1'. Ik weet niet of dat er mee te maken heeft? Het is greyed out, dus kan het niet direct aanpassen in het Bridge menu.

[ Voor 33% gewijzigd door Shadow_Zero op 13-08-2025 13:09 ]

woensdag 13 augustus 2025 13:10

Acties:

0 Henk 'm!

canonball

Shadow_Zero schreef op woensdag 13 augustus 2025 @ 13:03:
Ik ben weer bijna waar ik moet zijn. Alles lijkt eigenlijk goed te werken, ik kan alleen niet bij de webgui komen, die geeft dan een timeout. Via Winbox mac adres werkt wel, en als ik in het Winbox overzicht kijk staat daar ip adres 0.0.0.0.

Enig idee waar dat hem in zit?

Zit op het ethernet interface waarop je aaangesloten zit wel een ip-addres, en als je dhcp gebruikt: een dhcp server?

woensdag 13 augustus 2025 13:16

Acties:

0 Henk 'm!

Shadow_Zero

canonball schreef op woensdag 13 augustus 2025 @ 13:10:
[...]

Zit op het ethernet interface waarop je aaangesloten zit wel een ip-addres, en als je dhcp gebruikt: een dhcp server?

Als ik je vraag goed begrijp, volgens mij wel. Dus via de router heb ik hem een statisch ip adres gegeven: 192.168.3.4. Die zie ik ook in de client list van de router staan. De MikroTik fungeert als switch en staat in bridge. Mijn computer die met LAN kabel er op zit aangesloten heeft internet.

donderdag 14 augustus 2025 10:16

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Makkelijkste is als je je config kan delen @Shadow_Zero, dan is veel beter te bepalen waar je tegenaan loopt.
Welke RouterOS versie draait er nu op? En welke firmware?

Na een versie upgrade zou ik trouwens altijd de MikroTik opnieuw configureren. Gaat redelijk vlot, zeker als je de config hebt.

code:

1	/export file=anynameyoulike

Serial en andere privé info verwijderen, en als je de tekst tussen code tags zet (</> button) dan is het leesbaar.

Eerst het probleem, dan de oplossing

donderdag 14 augustus 2025 19:46

Acties:

0 Henk 'm!

Thasaidon

If nothing goes right, go left

@lier @Shadow_Zero
Als je...
hide-sensitive
toevoegd aan het commando word standaard alle "prive" info al uit de output verwijderd.

"Hello IT, have you tried turning it off and on again?" - "Computer says no..."

donderdag 14 augustus 2025 20:43

Acties:

+1 Henk 'm!

sjorsjuhmaniac

Thasaidon schreef op donderdag 14 augustus 2025 @ 19:46:
@lier @Shadow_Zero
Als je...
hide-sensitive
toevoegd aan het commando word standaard alle "prive" info al uit de output verwijderd.

Vanaf os7 is dat standaard als het goed is

vrijdag 15 augustus 2025 11:01

Acties:

0 Henk 'm!

Shadow_Zero

lier schreef op donderdag 14 augustus 2025 @ 10:16:
Makkelijkste is als je je config kan delen @Shadow_Zero, dan is veel beter te bepalen waar je tegenaan loopt.
Welke RouterOS versie draait er nu op? En welke firmware?

Na een versie upgrade zou ik trouwens altijd de MikroTik opnieuw configureren. Gaat redelijk vlot, zeker als je de config hebt.
code:
1
/export file=anynameyoulike
Serial en andere privé info verwijderen, en als je de tekst tussen code tags zet (</> button) dan is het leesbaar.

Nieuwe ontwikkelingen, ik kwam er achter dat de Ubiquiti UISP-R router die ik had aangeschaft toch niet geschikt was voor mij (niet bedoeld voor home users, niet intuitief te configureren, en totaal gebrek aan handleidingen en documentatie), dus die ga ik omruilen (TP-Link waarschijnlijk). Ik heb de oude Sitecom router weer aangesloten en nu kom ik wel weer op de webpagina. Toch vreemd dat het bij de ene MikroTik het wel deed en de andere niet, maar goed. Wat ik nu nog heb is dat auto-update bij de ene MikroTik wel werkt, en bij de andere niet. Config van degene waarbij het niet werkt:

code:

# aug/06/2025 00:19:21 by RouterOS 6.49.19
# software id = HSZ6-QCRV
#
# model = RB4011iGS+5HacQ2HnD
# serial number = D43B0C1F48AE
/interface bridge
add admin-mac= auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac country=netherlands \
    disabled=no distance=indoors frequency=5240 installation=indoor mode=\
    ap-bridge ssid= wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n country=netherlands disabled=\
    no distance=indoors frequency=2437 installation=indoor mode=ap-bridge \
    ssid= wireless-protocol=802.11
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name= \
    supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address= master-interface=wlan1 name=\
    security-profile= ssid= \
    wds-default-bridge=bridge wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
/ip address
add address=10.10.10.1/24 network=10.10.10.0
/ip dhcp-client
add comment=defconf disabled=no interface=bridge
/ip dhcp-relay
add dhcp-server=192.168.3.1 interface=bridge name=relay1
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=0.0.0.0 gateway=10.10.10.1
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.3 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.3.3 comment=defconf name=router.lan
add address=159.148.172.226 name=upgrade.mikrotik.com
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
add chain=input comment="allow established connections" connection-state=\
    established
add chain=input comment="allow related connections" connection-state=related
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=MikroTik1
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system ntp client
set enabled=yes primary-ntp=87.233.197.123 secondary-ntp=87.233.197.123
/system package update
set channel=upgrade

Nog suggesties voor dat issue? (of moet ik ook de config posten van degene waar het wel werkt?)

EDIT:
Zie nu in de andere export dat add address=159.148.172.226 name=upgrade.mikrotik.com er niet in staat. Even kijken of ik die in de gui ergens kan toevoegen, of dat dat alleen via command line kan.

EDIT:
Ik zie hier, https://help.mikrotik.com...g+to+detect+a+new+version, dan weer een ander ip adres staan: 159.148.147.251. Als ik die :put uit voer krijg ik die ook terug op degene waar het wel werkt.

vrijdag 15 augustus 2025 11:47

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Het valt me op dat je zelf een IP adres toekent aan de bridge, een DHCP server erop hebt draaien en ook nog een DHCP client op de bridge hebt. Lijkt erop dat er veel mee gevogeld is vanuit een router uitgangspunt (firewall/dns server/etc.).

Als je hem als accespoint en switch wil gebruiken zou ik (maar ik heb misschien al wat meer ervaring met MikroTik):

Resetten zonder default
Bridge aanmaken
Alle interfaces toevoegen aan bridge
DHCP client toevoegen aan bridge
Wifi configureren

Alternatief:

Resetten zonder default
Quick Set -> Home AP

Met deze twee manieren raak je alle "rotzooi" kwijt (en het resultaat is gelijk)

Eerst het probleem, dan de oplossing

vrijdag 15 augustus 2025 11:51

Acties:

0 Henk 'm!

Shadow_Zero

lier schreef op vrijdag 15 augustus 2025 @ 11:47:
Het valt me op dat je zelf een IP adres toekent aan de bridge, een DHCP server erop hebt draaien en ook nog een DHCP client op de bridge hebt. Lijkt erop dat er veel mee gevogeld is vanuit een router uitgangspunt (firewall/dns server/etc.).

Als je hem als accespoint en switch wil gebruiken zou ik (maar ik heb misschien al wat meer ervaring met MikroTik):
Resetten zonder default
Bridge aanmaken
Alle interfaces toevoegen aan bridge
DHCP client toevoegen aan bridge
Wifi configureren
Alternatief:
Resetten zonder default
Quick Set -> Home AP
Met deze twee manieren raak je alle "rotzooi" kwijt (en het resultaat is gelijk)

Hmmmz, het is weer een tijd geleden, maar in mijn hoofd is dat wat ik destijds gedaan had. Ik dacht wel dat het advies destijds was om WISP AP te pakken. Zal nog eens kijken!

Wat bedoel je precies met resetten zonder default?

EDIT:
DHCP Server staat trouwens disabled, ik weet niet of dat dan historie is?

[ Voor 3% gewijzigd door Shadow_Zero op 15-08-2025 11:53 ]

vrijdag 15 augustus 2025 13:03

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Even gecontroleerd:

HomeAP: The default Access Point config page for most home users. Provides less options and simplified terminology.
HomeAP dual: Dual band devices (2GHz/5GHz). The default Access Point config page for most home users. Provides less options and simplified terminology.
WISP AP: Similar to the HomeAP mode, but provides more advanced options and uses industry standard terminology, like SSID and WPA.

Kan dus allebei (of eigenlijk alle drie).

Wat bedoel je precies met resetten zonder default?

Dit levert een MikroTik op waarin alles nog ingesteld moet worden.

DHCP Server staat trouwens disabled, ik weet niet of dat dan historie is?

Ja, maar ik ben niet zo bekend met wat de default is van "WISP AP".

Eerst het probleem, dan de oplossing

vrijdag 15 augustus 2025 14:28

Acties:

0 Henk 'm!

Shadow_Zero

lier schreef op vrijdag 15 augustus 2025 @ 13:03:
Even gecontroleerd:
[...]

[...]

Dit levert een MikroTik op waarin alles nog ingesteld moet worden.

[...]

Ik had de beleving dat een reset altijd een lege config oplevert. Is er dan ook een reset waarbij het een en ander behouden blijft?

vrijdag 15 augustus 2025 14:52

Acties:

0 Henk 'm!

lolgast

Shadow_Zero schreef op vrijdag 15 augustus 2025 @ 14:28:
[...]

Ik had de beleving dat een reset altijd een lege config oplevert. Is er dan ook een reset waarbij het een en ander behouden blijft?

Sowieso staat er een backup van de config vóór de reset op het device en de eerste keer dat je inlogt kun je kiezen of hij leeg moet blijven of dat je een default config wilt inlezen

vrijdag 15 augustus 2025 14:57

Acties:

0 Henk 'm!

Shadow_Zero

lolgast schreef op vrijdag 15 augustus 2025 @ 14:52:
[...]

Sowieso staat er een backup van de config vóór de reset op het device en de eerste keer dat je inlogt kun je kiezen of hij leeg moet blijven of dat je een default config wilt inlezen

Is dat vanaf een bepaalde firmware? Ik heb die vraag nooit gehad ;O

vrijdag 15 augustus 2025 15:48

Acties:

0 Henk 'm!

babbelbox

Bij een reset met no-defaults zal de config compleet leeg zijn. In het verre verleden was er anders een default config, wat later is veranderd naar de vraag bij eerste opstart: wil je een default config.
Ik gebruik de default config nooit dus weet niet precies wanneer dat veranderd is.
Mijn voorkeur is een reset met skip-backup, keep-users en no-defaults

vrijdag 15 augustus 2025 15:57

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Werk zelf veel met de cli:

code:

1	/system/reset-configuration no-defaults=yes

Met de no-defaults bepaal je of je de default wil instellen.

Afbeeldingslocatie: https://tweakers.net/i/Al1X9Y8GV169fuyg4C-8NyIT4VU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/lMH1CCb63TnhUuAgAD0Z90cS.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/Al1X9Y8GV169fuyg4C-8NyIT4VU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/lMH1CCb63TnhUuAgAD0Z90cS.png?f=user_large

Eerst het probleem, dan de oplossing

vrijdag 15 augustus 2025 17:36

Acties:

0 Henk 'm!

Shadow_Zero

En als je via de hardware knop een reset doet, wat doet hij dan?
Iig nu even een reset uitvoerd met no default en no backup. Base config is nu:

code:

# jan/02/1970 00:10:01 by RouterOS 6.49.19
# software id = YJV9-2SSZ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 
/interface wireless
set [ find default-name=wlan1 ] ssid=
set [ find default-name=wlan2 ] ssid=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive

Na het instellen via WISP:

code:

# jan/02/1970 00:24:12 by RouterOS 6.49.19
# software id = YJV9-2SSZ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac country=netherlands \
    disabled=no frequency=auto mode=ap-bridge ssid= \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] ssid=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
/system identity
set name=
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive

lan en internet doen het weer, ik kan hem alleen nog niet via browser + ip benaderen, hmmmz...

vrijdag 15 augustus 2025 19:22

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Als je een dhcp-client koppelt aan je bridge dan is dat ook opgelost.

Eerst het probleem, dan de oplossing

vrijdag 15 augustus 2025 20:57

Acties:

0 Henk 'm!

Shadow_Zero

lier schreef op vrijdag 15 augustus 2025 @ 19:22:
Als je een dhcp-client koppelt aan je bridge dan is dat ook opgelost.

Ja, nu doet ie het weer. Alleen ip 192.168.3.30 ipv. 192.168.3.4

Ik zie nu ook in de router een ander mac address, dus dat verklaart dat (wel vreemd, want de kabel is niet in een andere poort gegaan.

Ander vraagje, ik probeer hier wat wijzer in te worden https://help.mikrotik.com...18/Wireless+Station+Modes
Na de reset staat deze nu op 'station' mode, en de andere op 'bridge ap'. Wat is hier de beste keuze in?

EDIT:
Nog niet helemaal zeker, maar als ik https://forum.mikrotik.co...-vs-station-mode/131651/2 zo lees, denk ik dat 'ap bridge' de keuze moet zijn.

[ Voor 11% gewijzigd door Shadow_Zero op 15-08-2025 21:19 ]

vrijdag 15 augustus 2025 21:21

Acties:

0 Henk 'm!

babbelbox

Shadow_Zero schreef op vrijdag 15 augustus 2025 @ 20:57:
[...]

Ja, nu doet ie het weer. Alleen ip 192.168.3.30 ipv. 192.168.3.4
Ik zie nu ook in de router een ander mac address, dus dat verklaart dat (wel vreemd, want de kabel is niet in een andere poort gegaan.

Ander vraagje, ik probeer hier wat wijzer in te worden https://help.mikrotik.com...18/Wireless+Station+Modes
Na de reset staat deze nu op 'station' mode, en de andere op 'bridge ap'. Wat is hier de beste keuze in?

Station is een cliënt, dus connect aan een AP.
Bridge-AP is zelf een AP voor wireless clients.
Wat je MAC address betreft, die zou je kunnen configureren. Ik neem altijd het MAC van de laagste genummerde poort in de bridge. Ik denk dat als je geen MAC instelt hij automatisch wordt gekozen aan de hand van de eerst toegevoegde poort.

vrijdag 15 augustus 2025 21:27

Acties:

0 Henk 'm!

Shadow_Zero

babbelbox schreef op vrijdag 15 augustus 2025 @ 21:21:
[...]

Station is een cliënt, dus connect aan een AP.
Bridge-AP is zelf een AP voor wireless clients.
Wat je MAC address betreft, die zou je kunnen configureren. Ik neem altijd het MAC van de laagste genummerde poort in de bridge. Ik denk dat als je geen MAC instelt hij automatisch wordt gekozen aan de hand van de eerst toegevoegde poort.

Wanneer zou je voor station willen kiezen? In mijn hoofd is AP prima. Maar ik heb nu een MikroTik AP in de woonkamer, een (hele oude) TP-Link op de eerste en nog een MikroTik op de tweede verdieping (overal gaat een ethernet kabel van de router in).

Hij heeft nu de eerste inderdaad, en vorige keer de tweede for some reason. Maar goed om te weten! Pas hem wel aan in de router (ik bedenk me dat ether1 wellicht ooit als WAN stond ingesteld oid.).

vrijdag 15 augustus 2025 22:41

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Shadow_Zero schreef op vrijdag 15 augustus 2025 @ 20:57:
Ja, nu doet ie het weer. Alleen ip 192.168.3.30 ipv. 192.168.3.4
Ik zie nu ook in de router een ander mac address, dus dat verklaart dat (wel vreemd, want de kabel is niet in een andere poort gegaan.

De bridge neemt standaard het laagste MAC Address als adres. Hiermee wordt een IP aangevraagd. Dat MAC adres van de bridge kan je zelf instellen. Aan te raden om het admin-mac gelijk te maken aan het MAC adres van ether1.

Ander vraagje, ik probeer hier wat wijzer in te worden https://help.mikrotik.com...18/Wireless+Station+Modes
Na de reset staat deze nu op 'station' mode, en de andere op 'bridge ap'. Wat is hier de beste keuze in?

https://help.mikrotik.com...eneralinterfaceproperties

Selection between different station and access point (AP) modes.
Station modes:

station - Basic station mode. Find and connect to acceptable AP.
station-wds - Same as station, but create WDS link with AP, using proprietary extension. AP configuration has to allow WDS links with this device. Note that this mode does not use entries in wds.
station-pseudobridge - Same as station, but additionally perform MAC address translation of all traffic. Allows interface to be bridged.
station-pseudobridge-clone - Same as station-pseudobridge, but use station-bridge-clone-mac address to connect to AP.
station-bridge - Provides support for transparent protocol-independent L2 bridging on the station device. RouterOS AP accepts clients in station-bridge mode when enabled using bridge-mode parameter. In this mode, the AP maintains a forwarding table with information on which MAC addresses are reachable over which station device. Only works with RouterOS APs. With station-bridge mode, it is not possible to connect to CAPsMAN controlled CAP.

[ Voor 36% gewijzigd door lier op 15-08-2025 22:42 ]

Eerst het probleem, dan de oplossing

vrijdag 15 augustus 2025 23:10

Acties:

0 Henk 'm!

Shadow_Zero

Ja, https://help.mikrotik.com...eneralinterfaceproperties had ik gevonden (en ook https://help.mikrotik.com...18/Wireless+Station+Modes en https://forum.mikrotik.co...-vs-station-mode/131651/2 ), maar daar word ik beperkt wijzer uit mbt. het bepalen van de juiste keuze ; )

zaterdag 16 augustus 2025 08:22

Acties:

0 Henk 'm!

babbelbox

lier schreef op vrijdag 15 augustus 2025 @ 22:41:
[...]
De bridge neemt standaard het laagste MAC Address als adres. Hiermee wordt een IP aangevraagd. Dat MAC adres van de bridge kan je zelf instellen. Aan te raden om het admin-mac gelijk te maken aan het MAC adres van ether1.
[...]

Zou je dat ook doen als ether1 de WAN interface is?
Ik heb mezelf aangeleerd hat MAC address van de laagste poort in de bridge te nemen (vaak dan ether2).

zaterdag 16 augustus 2025 10:30

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

babbelbox schreef op zaterdag 16 augustus 2025 @ 08:22:
Ik heb mezelf aangeleerd hat MAC address van de laagste poort in de bridge te nemen (vaak dan ether2).

Dat heb je goed aangeleerd

Mijn reactie had wat nuance kunnen gebruiken, dank voor je aanvulling!

[ Voor 12% gewijzigd door lier op 16-08-2025 10:31 ]

Eerst het probleem, dan de oplossing

woensdag 20 augustus 2025 08:52

Acties:

0 Henk 'm!

Theone098

Een vraagje voor de ervaren netwerk engineers. Ik heb een router voor inter vlan routing met daarachter switches met vlans op layer 2 (bridge). Nu gaat mij vraag over het laatste: moet ik een basis netwerk instellen op de router en switches (zonder vlans). Ik heb een mgmt vlan waarvan het op adres op het mgmt vlan zit. Maar welk ip adres zet ik dan op de bridge? Of geen?

Ik zie ook vlan1 (op de crs226 4095) dynamisch in de bridge tabel. Betekent dat er is niet klopt als ik alles in (verschillende) een vlan heb gezet?

Hex S -> crs226 -> crs326 -> wap ac.

Ik wil overigens de 226 en 326 omwisselen of de CRS ook rechtstreeks op de Hex S zetten.

[ Voor 1% gewijzigd door Theone098 op 20-08-2025 08:55 . Reden: Typo ]

woensdag 20 augustus 2025 09:41

Acties:

0 Henk 'm!

kaaas

Ik weet niet zeker of ik je vraag goed begrepen heb, maar ik heb het zelf als volgt.

Router:
Vlans en dhcp servers voor die vlans.
De router heeft een management vlan dat untagged naar de switches gaat over een hybrid poort.
Dit hoeft trouwens niet untagged te zijn. Ik vind het handig als je iets nieuws aansluit dat ie gelijk werkt over dhcp.
Alle andere vlans die de switch dan nodig heeft gaan tagged over die zelfde poort.

Switch
Maak een vlan interface aan op de bridge met het vlan-id van je management vlan.
Set een dhcp-client op het vlan interface management vlan
Uiteraard moet je de rest van de vlans ook configureren op de switch.

Voor de duidelijkheid dit is niet de volledige config van vlans op een mikrotik er zijn veel meer stappen nodig.
Ook is dit niet de enige manier om dit te bereiken.

woensdag 20 augustus 2025 12:23

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Bridge is niets meer dan een plek waar alle VLAN's aangekoppeld worden. Je hoeft er dus geen IP adres op te zetten. Überhaupt hoef je hem niet aan te maken, tenzij je meer dan een poort op de router wil aansluiten voor het interne netwerk. Maar als er alleen een switch op aangesloten wordt, zou ik helemaal geen bridge aanmaken.

Op het forum van MikroTik staat een hele mooi topic met uitgebreide uitleg over VLANs':
https://forum.mikrotik.com/viewtopic.php?t=143620

Geen idee hoe je het nu hebt ingesteld, maar let op dat je VLAN filtering niet op de bridge doet bij de CRS2xx switches maar op de switch (dat scheelt enorm veel cpu gebruik):
https://help.mikrotik.com...S1xx/CRS2xxseriesswitches

Eerst het probleem, dan de oplossing

woensdag 20 augustus 2025 16:14

Acties:

0 Henk 'm!

Theone098

@kaaas goed idee van untagged management vlan. Nee, ik begrijp dat er meer nodig is en dat is ook ingericht. Switches doen layer2 met een ip voor het management vlan.

@lier geen IP op de bridge, thanks. ik ken inderdaad de inhoud van die url. Daarover gesproken: mijn router, Hex S heeft ook een switch chip (de nieuwe Hex S niet). Moet ik nu vlans op de interface maken (vanwege ip en dhcp) of op allebei? Schijnbaar niet meer mogelijk op ros7. De CRS226 gebruikt inderdaad de switch chip voor vlans. Je bent goed op de hoogte ;-) .
Dat is ook het complexe van het geheel. Verschillende devices die elk hun eigen config methode kennen, hoewel de hex s en crs326 allebei de bridge mode kennen.

[ Voor 6% gewijzigd door Theone098 op 20-08-2025 19:17 ]

zondag 24 augustus 2025 14:39

Acties:

0 Henk 'm!

Theone098

Voor nu heb ik WAN op poort 1, LAN op poort 2 (Bridge met alle vlans behalve iptv) en IPTV op poort 3 (zonder bridge, met alleen iptv vlan). Dat lijkt goed te werken.

Ik moet wel even weer kijken naar de Firewall. Lang geleden dat ik mijn Mikrotik Router HexS heb geconfigureerd. Ik zie in de logging de waarschuwingen "denied winbox/dude connect from 3.131.215.38" en andere IP addressen. Ik heb het IP adres voor deze service beperkt tot mijn MGMT vlan én een firwall rule voor WAN:

;;; Block MGMT ports from WAN
chain=input action=drop connection-state="" protocol=tcp in-interface=vlan1.6 dst-port=22,8728,8291,8729 log=yes log-prefix="Block MGMT ports from WAN:"

Ik heb de ip's voor nu geblokkeerd en deze regel nu wat hoger gezet, hopende dat dit het probleem oplost. Ik snap niet waarom die poorten openstaan naar internet? Hetzelfde geldt voor andere servicepoorten die nog open staan (beperkt aantal).

[ Voor 3% gewijzigd door Theone098 op 24-08-2025 14:40 ]

zondag 24 augustus 2025 15:48

Acties:

0 Henk 'm!

babbelbox

Post eens je complete firewall config.
Heb je ook een drop all aan het einde?

Config in code tags aub

[ Voor 16% gewijzigd door babbelbox op 24-08-2025 15:49 ]

zondag 24 augustus 2025 16:16

Acties:

0 Henk 'm!

Theone098

code:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input comment="IPTV IGMP" dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="Allow DNS TCP from LAN" connection-nat-state=dstnat dst-port=53 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="Allow DNS TCP from LAN" connection-nat-state=dstnat dst-port=53 in-interface-list=LAN protocol=udp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=none-dynamic chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=input comment="SYN flood protect" connection-limit=30,32 in-interface=vlan1.6 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop external DNS requests" dst-port=53 in-interface=vlan1.6 protocol=udp
add action=drop chain=input comment="Drop external DNS requests" dst-port=53 in-interface=vlan1.6 protocol=tcp
add action=drop chain=input comment="Drop Portscanners" connection-state="" in-interface=vlan1.6 src-address-list="port scanners"
add action=drop chain=input comment="Block MGMT ports from WAN" connection-state="" dst-port=22,8728,8291,8729 in-interface=vlan1.6 log=yes log-prefix="Block MGMT ports from WAN:" protocol=tcp
add action=accept chain=forward comment="Allow KPN IPTV multicast to decoder" dst-address=224.0.0.0/4 in-interface=vlan1.4 out-interface=VLAN100-IPTV protocol=udp
add action=drop chain=forward comment="Drop all other multicast" dst-address=224.0.0.0/4
add action=accept chain=forward comment="Accept established and related" connection-state=established,related
add action=accept chain=forward comment="Allow Port forwards - Nodig voor e-mailserver / Voeg een accept toe voor gedst-natte verbindingen v\F3\F3r je algemene drops" connection-nat-state=dstnat log=yes log-prefix="Forward dstnat"
add action=accept chain=forward comment="Allow VLAN66 to internet only" connection-nat-state=dstnat out-interface=vlan1.6 src-address=192.168.66.0/24
add action=drop chain=forward comment="Block VLAN66 to any other LAN" src-address=192.168.66.0/24
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=vlan1.6
add action=drop chain=forward comment="drop invalid" connection-state=invalid log=yes log-prefix="drop forward"
add action=drop chain=forward comment="Drop everything else from WAN" in-interface=pppoe-client
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input comment="IPTV IGMP" dst-address=224.0.0.0/4 in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="Allow DNS TCP from LAN" connection-nat-state=dstnat dst-port=53 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="Allow DNS TCP from LAN" connection-nat-state=dstnat dst-port=53 in-interface-list=LAN protocol=udp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=none-dynamic chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=input comment="SYN flood protect" connection-limit=30,32 in-interface=vlan1.6 protocol=tcp tcp-flags=syn
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=input comment="Drop external DNS requests" dst-port=53 in-interface=vlan1.6 protocol=udp
add action=drop chain=input comment="Drop external DNS requests" dst-port=53 in-interface=vlan1.6 protocol=tcp
add action=drop chain=input comment="Drop Portscanners" connection-state="" in-interface=vlan1.6 src-address-list="port scanners"
add action=drop chain=input comment="Block MGMT ports from WAN" connection-state="" dst-port=22,8728,8291,8729 in-interface=vlan1.6 log=yes log-prefix="Block MGMT ports from WAN:" protocol=tcp
add action=accept chain=forward comment="Allow KPN IPTV multicast to decoder" dst-address=224.0.0.0/4 in-interface=vlan1.4 out-interface=VLAN100-IPTV protocol=udp
add action=drop chain=forward comment="Drop all other multicast" dst-address=224.0.0.0/4
add action=accept chain=forward comment="Accept established and related" connection-state=established,related
add action=accept chain=forward comment="Allow Port forwards - Nodig voor e-mailserver / Voeg een accept toe voor gedst-natte verbindingen v\F3\F3r je algemene drops" connection-nat-state=dstnat log=yes log-prefix="Forward dstnat"
add action=accept chain=forward comment="Allow VLAN66 to internet only" connection-nat-state=dstnat out-interface-list=WAN src-address=192.168.66.0/24
add action=drop chain=forward comment="Block VLAN66 to any other LAN" src-address=192.168.66.0/24
add action=drop chain=forward comment="drop invalid" connection-state=invalid log-prefix="drop forward"
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=vlan1.6
add action=drop chain=forward comment="Drop everything else from WAN" in-interface=pppoe-client

[ Voor 105% gewijzigd door Theone098 op 24-08-2025 19:21 ]

zondag 24 augustus 2025 17:27

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Je bent in ieder geval enrom creatief, @Theone098!
Voor mijn firewall ben ik van een andere insteek uitgegaan:

Sta toe wat mag
Blokker de rest

Daarnaast heb ik mijn chains op volgorde (overige chains gebruik ik niet):

input
forward

Voordeel is dat het (ook voor anderen

) enorm veel overzichtelijker is.

Misschien is het nog handig om een prefix toe te voegen aan de logregels...bijvoorbeeld om welke firewall rule het gaat.

Eerst het probleem, dan de oplossing

zondag 24 augustus 2025 18:05

Acties:

0 Henk 'm!

babbelbox

lier schreef op zondag 24 augustus 2025 @ 17:27:
Je bent in ieder geval enrom creatief, @Theone098!
Voor mijn firewall ben ik van een andere insteek uitgegaan:
Sta toe wat mag
Blokker de rest
Daarnaast heb ik mijn chains op volgorde (overige chains gebruik ik niet):
input
forward
Voordeel is dat het (ook voor anderen ) enorm veel overzichtelijker is.

Misschien is het nog handig om een prefix toe te voegen aan de logregels...bijvoorbeeld om welke firewall rule het gaat.

Precies dit!

zondag 24 augustus 2025 18:43

Acties:

0 Henk 'm!

Theone098

@lier @babbelbox check, ordenen op input en dan forward (post hierboven aangepast met nieuwe ordening).

Ik had ook verwacht dat als ik dat doe, winbox en dergelijke niet bereikbaar zou zijn. Toch zie ik winbox/dude denied, terwijl ik het nergens toe sta en aan het einde een block forward heb, of moet daar ook een input bij?

Nog zoiets wat mijn niet lukt op te lossen: mijn arris gaat spontaan aan. Waarschijnlijk door multicast? Maar ik heb geen mDNS draaien en het vlan wordt alleen door Arris gebruikt. Kan dat zijn omdat ik de vlans nog moet firewallen? Voor iptv makkelijk: geen verkeer van andere vlans 😁.

[ Voor 36% gewijzigd door Theone098 op 24-08-2025 19:21 ]

zondag 24 augustus 2025 18:45

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Input=router, forward is achter de router.

Eerst het probleem, dan de oplossing

zondag 24 augustus 2025 18:51

Acties:

0 Henk 'm!

Theone098

lier schreef op zondag 24 augustus 2025 @ 18:45:
Input=router, forward is achter de router.

De theorie van mikrotik ken ik. Ik ken ook de schema’s met prerouting, input, forward, output etc. Maar de praktijk is weerbarstig en het staat in productie (lees: mijn gezin wil wel dat het werkt

).

En er moet ook nog een VPN komen, ike2 IPSec. Die werkt ook maar nu nog al het verkeer dat een tag heeft die kant op sturen maar alleen als de bestemming niet lokaal is (ook DNS). Zucht…. Nog zoveel te doen.

Heel eerlijk: ik ben de laatste jaren verwend met pfsense. Die neemt veel denkwerk uit handen. Maar na de laatste update werkt de mailserver niet meer en als ik dan toch bezig ben, maar een heel redesign van het netwerk gedaan. En de mikrotik lag er nog.

Voor zover ik weet kan de mikrotik niet als CA fungeren voor interne certificaten. Klopt dat?

Sorry, ik ben het een beetje verleerd/vergeten in al die jaren met pfsense.

[ Voor 50% gewijzigd door Theone098 op 24-08-2025 18:58 ]

zondag 24 augustus 2025 19:22

Acties:

0 Henk 'm!

jeroen3

@Theone098 Als je op je mikrotik ZeroTier of WireGuard kan gebruiken zou ik dan aanbevelen boven al het andere gehobby met ipsec e.d.

Als mensen aankloppen of je winbox port doe je iets ernstig fout. Dan heb je mogelijk een van de default regels verwijderd of je interface lists door de war gehaald.
Dus, check je interface lists, en kijk mogelijk even naar de default firewall die nu in ros 7 zit.

zondag 24 augustus 2025 19:27

Acties:

0 Henk 'm!

Theone098

jeroen3 schreef op zondag 24 augustus 2025 @ 19:22:
@Theone098 Als je op je mikrotik ZeroTier of WireGuard kan gebruiken zou ik dan aanbevelen boven al het andere gehobby met ipsec e.d.

Als mensen aankloppen of je winbox port doe je iets ernstig fout. Dan heb je mogelijk een van de default regels verwijderd of je interface lists door de war gehaald.
Dus, check je interface lists, en kijk mogelijk even naar de default firewall die nu in ros 7 zit.

Ja, wireguard heeft mijn voorkeur maar NordVPN ondersteunt dit niet. Er is wel ooit iemand die dit op MT aan de praat heeft gekregen, maar dat werkte voor mij niet (meer). Het commando om de private key te tonen werkt niet bij mij (https://forum.mikrotik.co...r-running-ros-v7-x/178901).

# LIST INTERFACE
0 LAN bridge
1 WAN ether01-WAN
2 LAN MGMT
3 LAN vlan13-DMZ
4 LAN vlan20-SERVERS
5 LAN vlan30-AV
6 LAN vlan40-EUC
7 LAN vlan50-MZP
8 LAN vlan60-IOT
9 LAN vlan66-GASTEN
10 LAN vlan253-RB
11 TV VLAN100-IPTV

[ Voor 8% gewijzigd door Theone098 op 24-08-2025 19:29 ]

zondag 24 augustus 2025 20:38

Acties:

+1 Henk 'm!

jeroen3

@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

zondag 24 augustus 2025 21:44

Acties:

0 Henk 'm!

Theone098

jeroen3 schreef op zondag 24 augustus 2025 @ 20:38:
@Theone098 Jouw vlan1.6 en ppp etc. staan niet in de WAN lijst.

Aangepast, en 1.4 meteen in TV gezet. Thanks!

zondag 24 augustus 2025 23:17

Acties:

+1 Henk 'm!

babbelbox

Theone098 schreef op zondag 24 augustus 2025 @ 21:44:
[...]

Aangepast, en 1.4 meteen in TV gezet. Thanks!

In je firewall rules zie ik ook interface pppoe.
Lijkt mij dat die ook aan WAN toegevoegd moet zijn.
Overigens ben ik zelf geen fan van die interface groepen, maar dat terzijde.

maandag 25 augustus 2025 08:00

Acties:

0 Henk 'm!

jeroen3

@babbelbox de interface lists staan het toe de firewall rules onafhankelijk te maken van het exacte model routerboard dat je hebt. Zodoende kun je dus altijd de default firewall gebruiken en hoef je daar niet in te gaan rommelen met verzetten van interfaces e.d. zodat je de exacte kwetsbaarheden die Theone098 nu heeft kan vermijden.
Vergeet ook je ipv6 firewall niet te controleren.

maandag 25 augustus 2025 09:26

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Theone098 schreef op zondag 24 augustus 2025 @ 18:51:
Voor zover ik weet kan de mikrotik niet als CA fungeren voor interne certificaten. Klopt dat?

Nee: https://help.mikrotik.com...ages/2555969/Certificates

Eerst het probleem, dan de oplossing

woensdag 27 augustus 2025 08:15

Acties:

+1 Henk 'm!

LEDfan

Een kleine tip voor wie containers draait op Mikrotik: steek de VETH interfaces in een aparte bridge en subnet. Ik gebruik al een tijdje wireguard op mijn CCR2004-16G-2S+ en haalde hier altijd (minstens) 1Gbit mee. Daarnaast draai ik een pihole en unbound container op de router. Dit heeft altijd goed gewerkt, tot ik met VLANs begon te werken. Vanaf dan was het verkeer dat vanuit wireguard naar een device op de bridge gaat beperkt tot 1 Mbps. De omgekeerde route werkte wel snel, net zoals UDP. Ook verkeer van een wireguard peer naar een ander peer (via de router) haalde de volledige snelheid. Na wat experimenteren, blijkt dat ik wel de volledige snelheid haal als ik de containers in hun eigen bridge steek. Dit is sowieso netter natuurlijk.

woensdag 27 augustus 2025 11:47

Acties:

0 Henk 'm!

Theone098

Ik begin weer een beetje te wennen aan de MT firewall. Ondertussen ben ik er achter wat het probleem was: pppoe is de poort om te gebruiken om WAN verkeer te monitoren/blocken etc, of de WAN address list als pppoe ook in de WAN address-list staat.

Grappig detail: ik heb een rule die "information leakage"* moet voorkomen en dit naar mijn MT log stuurt. En ik had hits op remote logging (poort 514), omdat ik een ip adres verkeerd had ingetypt op de client. 191.x.x.x<>192.x.x.x

.

Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

* van bepaalde poorten wil je niet dat deze met het internet communiceren, zoals SNMP, logging, DHCP, etc, vandaar een rule die dit monitort.

[ Voor 11% gewijzigd door Theone098 op 27-08-2025 11:49 ]

woensdag 27 augustus 2025 12:33

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik
Wifi
Accesspoints

Theone098 schreef op woensdag 27 augustus 2025 @ 11:47:
Volgende project is vlan verkeer scheiden en een VPN opzetten voor bepaald verkeer. Leuk!

Verplicht leesvoer

https://forum.mikrotik.com/viewtopic.php?t=143620
https://help.mikrotik.com.../pages/69664792/WireGuard

Eerst het probleem, dan de oplossing

vrijdag 29 augustus 2025 12:45

Acties:

+1 Henk 'm!

Theone098

Ja, ben nog steeds tevreden met mijn Mikrotik apparatuur

. De Hex S spint er vrolijk op los, nu met Wireguard roadwarrior (lekker makkelijk) en Ike2/IPSec VPN (hardwarematig ondersteunt door Hex S) voor downloads.

Ik heb mijn netwerk compleet opnieuw ingericht, met layer 2 vlans en inter-vlan routing op de Hex S. Veel problemen zijn hiermee opgelost, vooral performance. Alles is weer zo snel als je zou verwachten. Héérlijk $_/-\o_$ . Ik ben er wel al een paar weekenden zoet mee, maar het is het waard. Het is meer dan alleen het netwerk, ook met name de servers hebben wat herconfiguratie nodig ivm gewijzigde IP's.

Eén ding krijg ik nog niet opgelost. Mijn Arris KPN settopbox gaat vanzelf aan. Daar zal ik eens wat monitoring opzetten om te kijken wat de oorzaak is, ondanks een eigen vlan en router poort. Tips zijn welkom.

Verder nog de wens om mDNS te gaan draaien. En ik wil de MT als CA inrichten. Voorlopig houd ik daarvoor de pfsense router achter de hand, zodat ik toch mijn eigen certificaten kan verlengen.

Getting there.....

.

vrijdag 29 augustus 2025 16:40

Acties:

0 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

Theone098 schreef op vrijdag 29 augustus 2025 @ 12:45:
En ik wil de MT als CA inrichten.

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

vrijdag 29 augustus 2025 19:04

Acties:

0 Henk 'm!

Theone098

ZwarteIJsvogel schreef op vrijdag 29 augustus 2025 @ 16:40:
[...]

Ik weet niet of ik dit soort taken op een router zou willen hebben. Ik gebruik al jaren XCA als CA. XCA is open source en beschikbaar voor Linux, MacOS en Windows.

Ik geef je helemaal gelijk, ik zou ook nooit adviseren dit op een router te doen.

Mijn probleem is dat andere, goede en veilige oplossingen zoals XCA, mijn doel voorbij schieten. Héél goed opgezet, goed te beveiligen, maar overkill voor de 8 certificaten die ik intern gebruik om het niet al te makkelijk te maken om te sniffen. Als ze toegang hebben tot mijn router, hebben ze toch al de sleutels tot het koninkrijk. Via een MitM kunnen ze dan alles al lezen, of ze mijn certificaten hebben of niet.

zaterdag 30 augustus 2025 07:36

Acties:

0 Henk 'm!

ZwarteIJsvogel

Zuid-Limburg

Ik gebruik XCA voor slechts 3 certificaten (het waren er ooit meer) met een SQLite database als backend..Dat bestand kun je desgewenst veilig offline opslaan op een USB-stick. XCA ondersteunt ook diverse RDBMS backends, maar dat zou met een handvol certificaten inderdaad een veel te zware oplossing zijn.

maandag 1 september 2025 15:52

Acties:

+3 Henk 'm!

The Lord

Gewoon ter informatie:

Ik wilde de eSIM functionaliteit van Mikrotik proberen. Zodoende afgelopen weken een wAP ac LTE kit (2024) met Sysmocom fysieke SIM-kaart (met eSIM functionaliteit) gebruikt als 'IoT' router (enkel DNS en sMQTT verkeer mogelijk naar bepaalde end-points over LTE).

Bottom line: dat werkt.

Zorg dat de router (tijdelijk) via een andere weg internet heeft, de activatie informatie van je provider in de eSIM en dat was het.

⛔geeft geen inhoudelijke reacties meer⛔

Onderwerpen