Handleiding: https://help.mikrotik.com...ROS/pages/328059/RouterOS (ook in pdf). Als je daarin op je trefwoorden zoekt heb je denk ik al wat antwoorden.InflatableMouse schreef op maandag 17 maart 2025 @ 14:20:
Ik zoek een vervanger voor opnsense, deze draait nu op een low budget pctje met celeron processor. Ding is te langzaam met name wanneer ik Wireguard over 1Gbps vol probeer te duwen. Daarnaast ook wat poblemen / bugs in opnsense waar ik hier niet op in wil gaan (daar is dit topic niet voor).
Ik heb al heel veel zelf uitgezocht en uitgeprobeerd met demo license, maar ik kom niet overal zelf uit mede omdat ik RouterOS nog helemaal niet ken.
Ik zou graag nog het volgende willen weten over RouterOS:En minder spannende vragen die ik ook op andere manieren kan oplossen:
- kan het dhcp leases van ipv4 en 6 in dns registeren?
- kan het dhcp scopes aanbieden per interface (vlans)?
- kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?
- kan het per interface (vlan) outbound nat configureren?
- Split horizon DNS?
Iemand die hier (een deel van) kan beantwoorden zou ik erg tof vinden!
- heeft het een HAProxy of iets vergelijkbaars?
- Aliases voor objecten die je bv in firewall rules kan gebruiken?
- DNSSEC and DNS64 ondersteuning?
- DNS over HTTPS and DNS over TLS?
- DNS blocklists (DNSBL) met whitelist override ondersteuning
- NAT reflection Ja, heb ik al gevonden.
- Kan het NAT on LAN/internal interfaces?
Heb ik de indruk gewekt zelf geen moeite te hebben gedaan voodat ik de vraag stelde? Oprechte vraag hoor, dat idee krijg ik als iemand met enkel een linkje naar een handleiding kom. Voor de goede orde: ik zit al dagen te lezen en heb (zonder voorkennis) de router draaien met pppoe, allerlei firewall rules, natting, dhcp, etc. Dat doe je niet zonder een handleiding te lezen.ernstoud schreef op maandag 17 maart 2025 @ 15:08:
[...]
Handleiding: https://help.mikrotik.com...ROS/pages/328059/RouterOS (ook in pdf). Als je daarin op je trefwoorden zoekt heb je denk ik al wat antwoorden.
De demo license is verder te beperkt om veel meer te doen. Ik heb bijvoorbeeld al een vlan nodig voor internet access via kpn, en daarmee kan ik geen tweede vlan meer aanmaken. Een aantal vragen kan ik zelf dus niet eens goed beantwoorden. Ik kan de router ook niet laten draaien omdat er teveel afhankelijkheden in mijn omgeving zitten, dus na een aantal uur moet ik opnsense terugzetten. De VM met routerOS krijgt geen IPv6 (dat moet van WAN met interface tracking afkomen), ik weet in elk geval geen andere manier.
Dan komt er een moment dat ik denk: laat ik het vragen! Dan komt een linkje naar een handleiding. Komt beetje lullig over als ik zo eerlijk mag zijn. En das niet lullig bedoeld verder.
Mijn reactie met de link naar de handleiding was niet vervelend bedoeld maar je stelt veel vragen die ook redelijk diep gaan. Dus respect voor je kennis. Maar misschien is het teveel verwachting dat iemand hier de halve handleiding gaat overtypen. Vandaar de link.InflatableMouse schreef op maandag 17 maart 2025 @ 15:43:
[...]
Heb ik de indruk gewekt zelf geen moeite te hebben gedaan voodat ik de vraag stelde? Oprechte vraag hoor, dat idee krijg ik als iemand met enkel een linkje naar een handleiding kom. Voor de goede orde: ik zit al dagen te lezen en heb (zonder voorkennis) de router draaien met pppoe, allerlei firewall rules, natting, dhcp, etc. Dat doe je niet zonder een handleiding te lezen.
De demo license is verder te beperkt om veel meer te doen. Ik heb bijvoorbeeld al een vlan nodig voor internet access via kpn, en daarmee kan ik geen tweede vlan meer aanmaken. Een aantal vragen kan ik zelf dus niet eens goed beantwoorden. Ik kan de router ook niet laten draaien omdat er teveel afhankelijkheden in mijn omgeving zitten, dus na een aantal uur moet ik opnsense terugzetten. De VM met routerOS krijgt geen IPv6 (dat moet van WAN met interface tracking afkomen), ik weet in elk geval geen andere manier.
Dan komt er een moment dat ik denk: laat ik het vragen! Dan komt een linkje naar een handleiding. Komt beetje lullig over als ik zo eerlijk mag zijn. En das niet lullig bedoeld verder..
Er zullen best een aantal antwoorden komen, ik ben op mijn rb5009 ook nog niet zover gekomen om je te helpen.
@ernstoud Geen probleem hoor, ik begrijp het ook wel.
Ter verduidelijking, ik ben niet enkel op zoek naar handleiding antwoorden. Daar kan bijvoorbeeld in staan dat het iets kan, maar dat daar wat haken en ogen aanzitten staat er dan niet bij. Ik zoek ook antwoorden die uit ervaring spreken.
Ik heb zojuist vanalles gevonden over IPv6 interface tracking en de mogelijkheden voor het instellen van router advertisements. Dat lijkt dus allemaal wel te kunnen.
Split Horizon DNS schijnt niet (makkelijk) te kunnen. Niet standaard ondersteund, maar ik lees ook wel over work arounds. Ook op dit gebied zijn ervaringen welkom! Is er iemand die lokaal door zn router laat resolven en public queries door een pi-hole? ben benieuwd!
Ter verduidelijking, ik ben niet enkel op zoek naar handleiding antwoorden. Daar kan bijvoorbeeld in staan dat het iets kan, maar dat daar wat haken en ogen aanzitten staat er dan niet bij. Ik zoek ook antwoorden die uit ervaring spreken.
Ik heb zojuist vanalles gevonden over IPv6 interface tracking en de mogelijkheden voor het instellen van router advertisements. Dat lijkt dus allemaal wel te kunnen.
Split Horizon DNS schijnt niet (makkelijk) te kunnen. Niet standaard ondersteund, maar ik lees ook wel over work arounds. Ook op dit gebied zijn ervaringen welkom! Is er iemand die lokaal door zn router laat resolven en public queries door een pi-hole? ben benieuwd!
Bedoel je mDNS? Dan ja maar alleen ipv4: https://help.mikrotik.com/docs/spaces/ROS/pages/37748767/DNS, maar je kan waarschijnlijk van alles wat je wilt scripten via static dns entries: https://help.mikrotik.com.../pages/47579229/Scripting• kan het dhcp leases van ipv4 en 6 in dns registeren?
Dit configureer je in RouterOS meestal via Bridges, maar je kan een dhcp server op elke (master) interface draaien dus sowieso ja: https://help.mikrotik.com...68/Bridging+and+Switching• kan het dhcp scopes aanbieden per interface (vlans)?
Weet ik niet• kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?
RouterOS is linux based, Firewall & routing in RouterOS werkt daarom eigenlijk grotendeels hetzelfde als in linux. Dus ja.• kan het per interface (vlan) outbound nat configureren?
Volgens mij niet, zou dit ook graag willen. Maar je kan evt Bind in een container draaien en daar verschillende zones configureren• Split horizon DNS?
Niet native, maar als je een ARM/x86-based device hebt zou je een HAProxy container kunnen draaien: https://help.mikrotik.com...95651/Container+-+HAProxy• heeft het een HAProxy of iets vergelijkbaars?
In beperkte vorm. Zie ip -> firewall -> address lists in WinBox. Deze werken alleen in firewall rules en alleen gebaseerd op ip. MAC support zou je echter kunnen toevoegen via of een dhcp lease script of een scheduled script, maar dan nog werken address lists alleen in firewall.• Aliases voor objecten die je bv in firewall rules kan gebruiken?
Volgens mij niet, maar je kan wederom evt een eigen DNS resolver draaien in een container die dit wel ondersteunt• DNSSEC and DNS64 ondersteuning?
https://help.mikrotik.com...#DNS-dohDNSoverHTTPS(DoH)• DNS over HTTPS and DNS over TLS?
https://help.mikrotik.com...8767/DNS#DNS-adlistAdlist of anders draai pihole in een container: https://help.mikrotik.com...ainer-Containeruseexample• DNS blocklists (DNSBL) met whitelist override ondersteuning
Inprincipe is elke bridge die je aanmaakt een LAN/internal interface, dus ja• Kan het NAT on LAN/internal interfaces?
Ik kan op een paar vragen antwoord geven:InflatableMouse schreef op maandag 17 maart 2025 @ 14:20:
Ik zoek een vervanger voor opnsense, deze draait nu op een low budget pctje met celeron processor. Ding is te langzaam met name wanneer ik Wireguard over 1Gbps vol probeer te duwen. Daarnaast ook wat poblemen / bugs in opnsense waar ik hier niet op in wil gaan (daar is dit topic niet voor).
Ik heb al heel veel zelf uitgezocht en uitgeprobeerd met demo license, maar ik kom niet overal zelf uit mede omdat ik RouterOS nog helemaal niet ken.
Ik zou graag nog het volgende willen weten over RouterOS:En minder spannende vragen die ik ook op andere manieren kan oplossen:
- kan het dhcp leases van ipv4 en 6 in dns registeren?
- kan het dhcp scopes aanbieden per interface (vlans)?
- kan het dhcpv6 scopes aanbieden voor stateful en assisted (laatste via track wan interface met prefix id?
- kan het per interface (vlan) outbound nat configureren?
- Split horizon DNS?
Iemand die hier (een deel van) kan beantwoorden zou ik erg tof vinden!
- heeft het een HAProxy of iets vergelijkbaars?
- Aliases voor objecten die je bv in firewall rules kan gebruiken?
- DNSSEC and DNS64 ondersteuning?
- DNS over HTTPS and DNS over TLS?
- DNS blocklists (DNSBL) met whitelist override ondersteuning
- NAT reflection Ja, heb ik al gevonden.
- Kan het NAT on LAN/internal interfaces?
kan het dhcp leases van ipv4 en 6 in dns registeren?
Ja, door een script aan de DHCP server te hangen: lolgast in "[MikroTik-apparatuur] Ervaringen & Discussie"
kan het dhcp scopes aanbieden per interface (vlans)?
Ja. Je hangt een DHCP scope aan een interface. Dat kan ook een VLAN interface zijn
kan het per interface (vlan) outbound nat configureren?
Ja, absoluut
heeft het een HAProxy of iets vergelijkbaars?
Nee, er zit geen reverse proxy functionaliteit in. Hoewel sommige modellen met Docker ondersteuning komen dacht ik
Aliases voor objecten die je bv in firewall rules kan gebruiken?
Ja, volgens mij heten ze officieel 'addresslists'
DNSSEC and DNS64 ondersteuning?
Pin me er niet op vast, maar volgens mij niet
DNS blocklists (DNSBL) met whitelist override ondersteuning
Ja, dat zit er in. Nooit gebruikt, geen idee wat het format van de list moet zijn. Het mag een online file zijn, mag ook lokaal op de router staan
Ik weet niet beter dan dat een trial licentie alle functies gewoon bevat, alleen een limiet heeft op bandbreedte...
@babbelbox klopt, maar max 24 uur. Ik wil ook nog slapen en andere dingen doen dus dat is nooit genoeg tijd voor mij om alles te testen wat ik wil testen met ook nog eens "learning on the job".
@pimlie en @lolgast Tof, dank jullie!
Ik heb mijn oog op de CCR2004-1G-12S+2XS ivm met de 10G en SFP28 poorten dus geen self hosted x86 en daarmee denk ik ook geen container ondersteuning.
Ik zit toevallig net te lezen over scripting, en daarmee in theorie de mogelijkheid dns queries te evalueren tegen een lijst met local domains om te bepalen waar de queries heen moeten (lees: zelf resolven of naar pi-hole sturen).
Het begint er op te lijken dat alles wat ik belangrijk vind mogelijk is. Ik ga zo de router weer aanslingeren wanneer de kids de deur uit zijn.
@pimlie en @lolgast Tof, dank jullie!
Ik heb mijn oog op de CCR2004-1G-12S+2XS ivm met de 10G en SFP28 poorten dus geen self hosted x86 en daarmee denk ik ook geen container ondersteuning.
Ik zit toevallig net te lezen over scripting, en daarmee in theorie de mogelijkheid dns queries te evalueren tegen een lijst met local domains om te bepalen waar de queries heen moeten (lees: zelf resolven of naar pi-hole sturen).
Het begint er op te lijken dat alles wat ik belangrijk vind mogelijk is. Ik ga zo de router weer aanslingeren wanneer de kids de deur uit zijn.
Alle arm/arm64/x86 devices ondersteunen containers: https://help.mikrotik.com.../pages/84901929/Container De CCR2004 is een arm64 device.InflatableMouse schreef op maandag 17 maart 2025 @ 16:27:
Ik heb mijn oog op de CCR2004-1G-12S+2XS ivm met de 10G en SFP28 poorten dus geen self hosted x86 en daarmee denk ik ook geen container ondersteuning.
Nee, geen multicast DNS.pimlie schreef op maandag 17 maart 2025 @ 16:13:
[...]
Bedoel je mDNS? Dan ja maar alleen ipv4: https://help.mikrotik.com/docs/spaces/ROS/pages/37748767/DNS, maar je kan waarschijnlijk van alles wat je wilt scripten via static dns entries: https://help.mikrotik.com.../pages/47579229/Scripting
Ik bedoel dat (wanneer een client een hostnaam aanbiedt bij het vragen voor een dhcp lease), deze hostnaam wordt geregistreerd in DNS zodat alle lokale clients die hostnaam kunnen resolven. Bij OPNsense doe je dit onder Unbound, door aan te vinken "Register ISC DHCP4 Leases" en " Register DHCP Static Mappings". Hoe het precies werkt met DHCPv6 addressen weet ik niet, die resolvede wel altijd voordat ze deze feature kapot maakte

Ik krijg tegenstrijdige antwoorden van LLM's op deze vraag, en in de docs kan ik het niet terugvinden. Dit is wel een beetje breaking point als dit niet mogelijk is (ook niet via scripting bv).
@InflatableMouse Als ik heel ouderwets zoek met een zoekmachine (
) op routeros hostname to dns dan krijg ik verschillende scripts terug die dit verzorgen. Bv
• https://gist.github.com/SmartFinn/acc7953eaeb43cece034
• https://www.reddit.com/r/...er_entries_in_dns_server/
• https://wiki.mikrotik.com...ecord_for_each_DHCP_lease
Helaas niet zo makkelijk als in OPNsense dus waar je alleen een vinkje hoeft aan te zetten...
• https://gist.github.com/SmartFinn/acc7953eaeb43cece034
• https://www.reddit.com/r/...er_entries_in_dns_server/
• https://wiki.mikrotik.com...ecord_for_each_DHCP_lease
Helaas niet zo makkelijk als in OPNsense dus waar je alleen een vinkje hoeft aan te zetten...
DHCP naar DNS registratie werkt prima via die scripts. Misschien niet zo eenvoudig als een vinkje, wel zo eenvoudig als copy paste
Met als bijkomend voordeel dat je per DHCP scope (en dus VLAN) andere voorwaarde aan de DNS entries kunt geven. Of bepaalde scopes helemaal niet laat terugkomen in je DNS entries
Met als bijkomend voordeel dat je per DHCP scope (en dus VLAN) andere voorwaarde aan de DNS entries kunt geven. Of bepaalde scopes helemaal niet laat terugkomen in je DNS entries
Yes, dat had ik gevonden hoor @pimlie .
Via een scriptje is ook goed, als het maar kan.
En het is erg tof dat containers ook op hun ARM appliances werken!
Ik denk dat ik dat ding wel ga bestellen.
Via een scriptje is ook goed, als het maar kan.
En het is erg tof dat containers ook op hun ARM appliances werken!
Ik denk dat ik dat ding wel ga bestellen.
Ik was toch eigenwijs en heb ff met een VM zitten testen met betrekking tot die genoemde 24 uur.
Ik denk dat er een verschil is tussen een VM installeren met behulp van de ISO en het downloaden van de CHR disk image.
In mijn geval maak ik gebruik van Hyper-V, dus heb ik de VHDX gedownload, maar die heeft dan een 'free' license, daar kan ik meerdere VLAN interfaces maken. Verder niet heel erg door getest, maar ik meen mij te herinneren dat je op deze manier gewoon een volwaardige router kan testen, met alleen niet de maximale doorvoersnelheid.
Als ik een ISO installatie doe dan zie ik in de license inderdaad een remaining time, en blijkbaar sluit de VM gewoon direct af als deze tijd voorbij is.
Ik lees net wel dat er op de Mikrotik website een tabelletje staat waar dan inderdaad weer instaat dat bij een free license er maar 1 VLAN interface gebruikt kan worden.
Wat dan het nu is/de werking zal zijn als je er meerder aanmaakt is mij nog even ontgaan.
RouterOS license
Best lastig, alle info in 1 keer hebben en DAARNA pas een post hier maken, maar ja.
Voor CHR blijkt er dus weer een andere opzet te zijn. Daar is de free license inderdaad gemaximaliseerd op een snelheid van 1MBit per interface.
CHR-license
Ik denk dat er een verschil is tussen een VM installeren met behulp van de ISO en het downloaden van de CHR disk image.
In mijn geval maak ik gebruik van Hyper-V, dus heb ik de VHDX gedownload, maar die heeft dan een 'free' license, daar kan ik meerdere VLAN interfaces maken. Verder niet heel erg door getest, maar ik meen mij te herinneren dat je op deze manier gewoon een volwaardige router kan testen, met alleen niet de maximale doorvoersnelheid.
Als ik een ISO installatie doe dan zie ik in de license inderdaad een remaining time, en blijkbaar sluit de VM gewoon direct af als deze tijd voorbij is.
Ik lees net wel dat er op de Mikrotik website een tabelletje staat waar dan inderdaad weer instaat dat bij een free license er maar 1 VLAN interface gebruikt kan worden.
Wat dan het nu is/de werking zal zijn als je er meerder aanmaakt is mij nog even ontgaan.
RouterOS license
Best lastig, alle info in 1 keer hebben en DAARNA pas een post hier maken, maar ja.
Voor CHR blijkt er dus weer een andere opzet te zijn. Daar is de free license inderdaad gemaximaliseerd op een snelheid van 1MBit per interface.
CHR-license
[ Voor 36% gewijzigd door babbelbox op 26-03-2025 22:31 . Reden: typo ]
Hallo allemaal,
Mikrotek is nieuw voor mij. Ik heb een HEX Mikrotek routertje in huis gehaald om samen met een Nokia XS-010X-Q de Nokia XS-2426 modem/router te vervangen die ik van Delta in bruikleen heb heb gekregen. Ik moet zeggen dat Mikrotek een uitdaging is. Bijna alles is anders dan ik gewend ben. Ik ben gevorderd tot het punt dat IPv4 uitgaand werkt. Ik loop vast bij het bereikbaar maken van mijn Binkp server. Het lukt al niet eens die vanaf het eigen LAN te bereiken. Op het 192.168.88.xx adres dus. Wat mis ik?
Mikrotek is nieuw voor mij. Ik heb een HEX Mikrotek routertje in huis gehaald om samen met een Nokia XS-010X-Q de Nokia XS-2426 modem/router te vervangen die ik van Delta in bruikleen heb heb gekregen. Ik moet zeggen dat Mikrotek een uitdaging is. Bijna alles is anders dan ik gewend ben. Ik ben gevorderd tot het punt dat IPv4 uitgaand werkt. Ik loop vast bij het bereikbaar maken van mijn Binkp server. Het lukt al niet eens die vanaf het eigen LAN te bereiken. Op het 192.168.88.xx adres dus. Wat mis ik?
@Roetzen Lastig te zeggen zo zonder je configuratie. Kan je misschien iets uitgebreider beschrijven hoe je eea wilt instellen en de configuratie die je tot nu toe hebt? (liefst /export hide-sensitive, controleer uiteraard altijd zelf of er echt geen gevoelige informatie in staat)
Paar tips iig wat betreft debugging:
Paar tips iig wat betreft debugging:
- Voeg bovenaan in je firewall regels toe die alleen het verkeer loggen waar je in geinteresseerd bent. Vaak kan je dan zien of het verkeer misschien onverwacht gerouteerd wordt of niet
- Gebruik Tools -> Torch om te kijken wat voor verkeer er voorbij komt. Meestal doe ik dit eerst, en als ik het daarna nog niet snap voeg ik firewall log regels toe.
@pimlie
Ik heb het apparaat gereset met de reserknop.
Ik heb het wachtwoord veranderd.
Ik heb een VLAN 100 geconfigureerd en daar een DHCP client aan gekoppeld en het opgenomen in de WAN lijst
Ik heb een port mapping gemaakt voor een bepaalde poort en die weer verwijderd.
Dat is alles wat ik tot dusver aan de default configuratie heb gewijzigd.
Ik heb het apparaat gereset met de reserknop.
Ik heb het wachtwoord veranderd.
Ik heb een VLAN 100 geconfigureerd en daar een DHCP client aan gekoppeld en het opgenomen in de WAN lijst
Ik heb een port mapping gemaakt voor een bepaalde poort en die weer verwijderd.
Dat is alles wat ik tot dusver aan de default configuratie heb gewijzigd.
@Roetzen Waar staat die binkp server, intern of extern?
Mijn tips:
Mijn tips:
- RouterOS is linux based, als je ervaring hebt met netwerk configuratie onder linux dan zal je veel herkennen
- Probeer anders eerst eens alles werkend te krijgen zonder vlan's als dit je eerste keer is. VLAN's kunnen wat lastiger zijn onder RouterOS omdat je zowel software matige VLAN's heb (vlan tab onder interfaces) maar ook hardware matige VLAN support op de switch chip. Omdat je alleen beschrijft wat je hebt gedaan maar niets laat zien, kunnen we nu niet zeggen wat je precies hebt geprobeerd
- Wat betreft port mapping, geen idee hoe de default firewall werkt maar als die standaard verkeer blokkeert dan moet je zowel een NAT rule aanmaken (om het verkeer om te leiden) als een Filter rule (om het verkeer toe te staan).
@Roetzen
Zoek eens op de term "hairpin" in de help documentatie. In het forum: https://forum.mikrotik.com/viewtopic.php?t=172380
Verder zijn er twee hEX routers. De laatste uitvoering heeft een andere chipset en heet hEX refresh
Het block diagram vertelt dat eth1 via de CPU loopt en dat eth2-eth5 via een switch chip gaat en hou er dan rekening meer. Het is dan verstandig om eth1 als WAN poort te gebruiken. Immers de PPPoE naar Freedom is softwarematig en zo moet je in interfaces op die PPPoE vlan6 aanzetten.
Zoek eens op de term "hairpin" in de help documentatie. In het forum: https://forum.mikrotik.com/viewtopic.php?t=172380
Verder zijn er twee hEX routers. De laatste uitvoering heeft een andere chipset en heet hEX refresh
Het block diagram vertelt dat eth1 via de CPU loopt en dat eth2-eth5 via een switch chip gaat en hou er dan rekening meer. Het is dan verstandig om eth1 als WAN poort te gebruiken. Immers de PPPoE naar Freedom is softwarematig en zo moet je in interfaces op die PPPoE vlan6 aanzetten.

[ Voor 34% gewijzigd door esphome op 05-04-2025 15:07 ]
@esphome Zelf ben ik niet echt een voorstander van hairpin nat. Liever b.v. gewoon een interne DNS draaien (bv static entries op de mikrotik) dat naar het interne server ip verwijst en de NAT rule alleen voor verkeer inkomend van buiten laten werken.
Heb je de standaard firewall ingesteld?Roetzen schreef op vrijdag 4 april 2025 @ 21:40:
@pimlie
Ik heb het apparaat gereset met de reserknop.
Ik heb het wachtwoord veranderd.
Ik heb een VLAN 100 geconfigureerd en daar een DHCP client aan gekoppeld en het opgenomen in de WAN lijst
Ik heb een port mapping gemaakt voor een bepaalde poort en die weer verwijderd.
Dat is alles wat ik tot dusver aan de default configuratie heb gewijzigd.
Post evt eens de output van /export verbose
[ Voor 4% gewijzigd door llagendijk op 10-04-2025 22:10 ]
Behalve als je zowel binnenom als buitenom je spullen wil kunnen benaderen (en dan over het internet niet over VPN). Dan is het opeens toch wel heel erg handig!pimlie schreef op zaterdag 5 april 2025 @ 15:17:
@esphome Zelf ben ik niet echt een voorstander van hairpin nat. Liever b.v. gewoon een interne DNS draaien (bv static entries op de mikrotik) dat naar het interne server ip verwijst en de NAT rule alleen voor verkeer inkomend van buiten laten werken.
Deze ruimte is te huur!
Als je intern (al dan niet via vpn) laat resolven naar het interne IP adres en publiek naar het publieke adres...dan ben je er toch? Of begrijp ik je nu verkeerd?Mattie112 schreef op vrijdag 11 april 2025 @ 10:26:
Behalve als je zowel binnenom als buitenom je spullen wil kunnen benaderen (en dan over het internet niet over VPN). Dan is het opeens toch wel heel erg handig!
Oftewel...ik ben ook voorstander van lokale DNS entries
Eerst het probleem, dan de oplossing
Je benadert hem dus op basis van het IP adres? Als je client aan de LAN kant zit, zou dat geen enkel probleem mogen zijn. Weet je zeker dat je het juiste IP adres gebruikt? Zie je dat ook in de DHCP leases? Of maak je gebruik van een vast IP adres?Roetzen schreef op vrijdag 4 april 2025 @ 16:14:
Het lukt al niet eens die vanaf het eigen LAN te bereiken. Op het 192.168.88.xx adres dus. Wat mis ik?
Wil je de server publiek beschikbaar maken? En dan via een port forward of kan je hem via VPN ook gebruiken? Wat is het eigenlijk voor server?
Eerst het probleem, dan de oplossing
Ik heb de default instellingen van de firewall.llagendijk schreef op donderdag 10 april 2025 @ 22:05:
[...]
Heb je de standaard firewall ingesteld?
Eh??? Waar vind ik zo iets?Post evt eens de output van /export verbose
Ja, voor de test.
Dat dacht ik ook en in de twintig jaar dat ik hier mee speel is het ook nooit een probleem geweest. Niet met IPv4 en niet met IPv6. Tot nu met Mikrotik.Als je client aan de LAN kant zit, zou dat geen enkel probleem mogen zijn.
Ja, ja en nee.Weet je zeker dat je het juiste IP adres gebruikt? Zie je dat ook in de DHCP leases? Of maak je gebruik van een vast IP adres?
Uiteindelijk wel, maar zo lang ik hem niet eens intern kan bereiken heeft het weinig zin het extern te gaan proberen lijkt me.Wil je de server publiek beschikbaar maken? En dan via een port forward
Brinkd. Een protocol voor Fidonet. Heeft hier altijd gewerkt met andere routers…Wat is het eigenlijk voor server?
@llagendijk @pimlie @esphome
Ik heb nog wat testjes gedaan en het lijkt er op dat alle apparaten op het LAN grotendeels van elkaar afgeschermd zijn. Ping werkt wel met de lokale adressen en de globale IPv6 adressen maar dat is het dan zo’n beetje. Het LAN bestaat interface “bridge” en dat zijn ether1-ether5.
Ik zie nu bij “Switch” iets staan met “Port isolation”. Kan dat iets zijn?
Ik heb nog wat testjes gedaan en het lijkt er op dat alle apparaten op het LAN grotendeels van elkaar afgeschermd zijn. Ping werkt wel met de lokale adressen en de globale IPv6 adressen maar dat is het dan zo’n beetje. Het LAN bestaat interface “bridge” en dat zijn ether1-ether5.
Ik zie nu bij “Switch” iets staan met “Port isolation”. Kan dat iets zijn?
gebruik een terminal (ssh of klik op terminal bovenin de web interface). Type danRoetzen schreef op maandag 14 april 2025 @ 13:54:
[...]
Ik heb de default instellingen van de firewall.
[...]
Eh??? Waar vind ik zo iets?
/export verbose file=filename
en dan download die file (webinterface, files filename.rsc).
Port forwarding zou een probleem op kunnen leveren maar alleen als je zelf wat hebt gewijzigd daar. Maar dat zou uit de export output moeten blijken
[ Voor 16% gewijzigd door llagendijk op 14-04-2025 17:37 ]
Dat kan, maar dan moet je wel je DNS server draaien intern (of fixed entries toevoegen). Die je weer los van je externe DNS moet bijhouden. Niet mijn ding maar ieder zn smaak natuurlijk.lier schreef op vrijdag 11 april 2025 @ 11:15:
[...]
Als je intern (al dan niet via vpn) laat resolven naar het interne IP adres en publiek naar het publieke adres...dan ben je er toch? Of begrijp ik je nu verkeerd?
Oftewel...ik ben ook voorstander van lokale DNS entries
Deze ruimte is te huur!
Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.llagendijk schreef op maandag 14 april 2025 @ 17:20:
[...]
gebruik een terminal (ssh of klik op terminal bovenin de web interface). Type dan
/export verbose file=filename en dan download die file (webinterface, files filename.rsc).
Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.
Wat voor probleem dan?Port forwarding zou een probleem op kunnen leveren maar alleen als je zelf wat hebt gewijzigd daar. Maar dat zou uit de export output moeten blijken
Hier is wat ik krijg met export:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
| [admin@MikroTik] > /export # 2025-04-16 16:44:59 by RouterOS 7.18.2 # software id = KDQG-E3VI # # model = RB750Gr3 # serial number = HGVXXXXXX /interface bridge add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge /interface vlan add interface=ether1 name=vlan1 vlan-id=100 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp interface=bridge name=defconf /disk settings set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface detect-internet set wan-interface-list=WAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add comment="Delta Fiber" interface=vlan1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0 /ip dhcp-client add comment=defconf interface=ether1 add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan type=A /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /ip hotspot profile set [ find default=yes ] html-directory=hotspot /ipv6 address add comment="Local LAN" from-pool=Delta interface=bridge /ipv6 dhcp-client add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp /system clock set time-zone-name=Europe/Amsterdam /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN [admin@MikroTik] > |
Gelieve je export in een code block te zetten, dat maakt het stukken leesbaarder.Roetzen schreef op woensdag 16 april 2025 @ 17:38:
[...]
Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.
Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.
[...]
Wat voor probleem dan?
Hier is wat ik krijg met export:
=== begin ===
[admin@MikroTik] > /export
# 2025-04-16 16:44:59 by RouterOS 7.18.2
# software id = KDQG-E3VI
#
# model = RB750Gr3
# serial number = HGVXXXXXX
/interface bridge
add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan1 vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add comment="Delta Fiber" interface=vlan1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ipv6 address
add comment="Local LAN" from-pool=Delta interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >
=== einde ===
Done.orvintax schreef op woensdag 16 april 2025 @ 20:12:
[...]
Gelieve je export in een code block te zetten, dat maakt het stukken leesbaarder.
Heb je niets ingesteld bij IPv6 ND? Waarschijnlijk krijg je namelijk nu wel een IPv6 adres en prefix van Delta alleen zet je deze niet door naar je clients.Roetzen schreef op woensdag 16 april 2025 @ 17:38:
[...]
Mijn kennis van Linux schiet te kort. Ik heb ooit OpenWrt gedraaid op een wrt zoveel maar dat was 15 jaar geleden en ik heb geen idee hoe ik waar file die ik kennelijk aangemaakt heb gebleven is en hoe ik hem zou kunnen dowloaden. Maar ik heb wel de inhoud van het scherm van de Mikrotik terminal kunnen opvangen. Zie verderop.
Ik zei overigens dat ik niets aan de default instellingen heb veranderd maar dat klopt natuurlijk niet helemaal. Om te beginnen heb ik de firmware opgewaardeerd naar 7.18.2. Verder hen ik VLAN 100 aangemaakt en IPv6 geactiveerd. En geprobeerd een IPv6 pinhole aan te maken voor poort 24554.
[...]
Wat voor probleem dan?
Hier is wat ik krijg met export:
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 [admin@MikroTik] > /export # 2025-04-16 16:44:59 by RouterOS 7.18.2 # software id = KDQG-E3VI # # model = RB750Gr3 # serial number = HGVXXXXXX /interface bridge add admin-mac=F4:1E:57:XX:XX:XX auto-mac=no comment=defconf name=bridge /interface vlan add interface=ether1 name=vlan1 vlan-id=100 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp interface=bridge name=defconf /disk settings set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface detect-internet set wan-interface-list=WAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add comment="Delta Fiber" interface=vlan1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0 /ip dhcp-client add comment=defconf interface=ether1 add comment="IP krijgen op Delta Fiber" default-route-tables=main interface=vlan1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan type=A /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /ip hotspot profile set [ find default=yes ] html-directory=hotspot /ipv6 address add comment="Local LAN" from-pool=Delta interface=bridge /ipv6 dhcp-client add add-default-route=yes interface=vlan1 pool-name=Delta pool-prefix-length=56 request=address,prefix /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="Allow binkp" dst-port=24554 protocol=tcp /system clock set time-zone-name=Europe/Amsterdam /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN [admin@MikroTik] >
Ik heb niets ingesteld bij IPv6 ND maar ik heb wel een /64 aangevraagd uit de pool "Delta voor het interface "bridge". De clients op het LAN krijgen IPv6 adressen.DJP! schreef op woensdag 16 april 2025 @ 20:56:
[...]
Heb je niets ingesteld bij IPv6 ND? Waarschijnlijk krijg je namelijk nu wel een IPv6 adres en prefix van Delta alleen zet je deze niet door naar je clients.
Dat is dan ook niet mijn probleem. Het probleem is dat de apparaten op het LAN van elkaar geïsoleerd lijken te zijn waardoor ik de server die op een er van draait niet eens lokaal kan bereiken. Niet op IPv4 en niet op IPv6.
[ Voor 20% gewijzigd door Roetzen op 16-04-2025 21:35 ]
@Roetzen Zijn je desktop en server beide met een netwerk kabel aangesloten op de mikrotik? En je hebt geverifieerd dat beide een 192.168.88.x ip adres krijgen via dhcp? Dat wil zeggen dat je zowel het lokale ip adress + netmask hebt gecontroleerd van de desktop/server als de dhcp leases tab en je hebt gecontroleerd dat beide hetzelfde zijn.
Het zou raar zijn dat het niet zo werken als dat zo was, want verkeer van/naar 192.168.88.x kan direct over de switch chip lopen en komt dus niet eens op de cpu/firewall terecht.
Kan je de server wel pingen vanaf je desktop? Zo nee, zet een doorlopende ping aan (`ping -t` in windows) en door loop de eerder genoemde stappen van torch/firewall om te controleren of je die icmp packets ziet. Voor de duidelijkheid, je zou dus geen icmp packets moeten zijn als je die 2 pingt omdat het verkeer over de switch chip zou moeten gaan en niet de cpu.
Die dhcp client op ether1 zou trouwens niet nodig hoeven te zijn, ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.
Laatste tip, probeer eerst alleen ipv4 werkend te krijgen (ie disable alle ipv6 gedoe op de mikrotik). Voor hetzelfde geldt is er een ipv4/ipv6 routing voorkeur probleem.
Het zou raar zijn dat het niet zo werken als dat zo was, want verkeer van/naar 192.168.88.x kan direct over de switch chip lopen en komt dus niet eens op de cpu/firewall terecht.
Kan je de server wel pingen vanaf je desktop? Zo nee, zet een doorlopende ping aan (`ping -t` in windows) en door loop de eerder genoemde stappen van torch/firewall om te controleren of je die icmp packets ziet. Voor de duidelijkheid, je zou dus geen icmp packets moeten zijn als je die 2 pingt omdat het verkeer over de switch chip zou moeten gaan en niet de cpu.
Die dhcp client op ether1 zou trouwens niet nodig hoeven te zijn, ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.
Laatste tip, probeer eerst alleen ipv4 werkend te krijgen (ie disable alle ipv6 gedoe op de mikrotik). Voor hetzelfde geldt is er een ipv4/ipv6 routing voorkeur probleem.
@Roetzen Ik zie in je config ook niets geks wat kan verklaren waarom je vanaf je desktop PC je server niet kan bereiken. Wat pimlie ook aangeeft, kan je wel pingen van PC naar server, en zitten ze ook daadwerkelijk aan de poorten van de MikroTik de je in je bridge hebt gekoppeld.
En verder nog, misschien een firewall op je server die de boel blokkeert?
En verder nog, misschien een firewall op je server die de boel blokkeert?
Driemaal ja.pimlie schreef op woensdag 16 april 2025 @ 23:17:
@Roetzen Zijn je desktop en server beide met een netwerk kabel aangesloten op de mikrotik? En je hebt geverifieerd dat beide een 192.168.88.x ip adres krijgen via dhcp? Dat wil zeggen dat je zowel het lokale ip adress + netmask hebt gecontroleerd van de desktop/server als de dhcp leases tab en je hebt gecontroleerd dat beide hetzelfde zijn.
Het is inderdaad heel raar en ik snap er dan ook niets van. Dit heeft in het verleden met andere routers ook altijd gewerkt. Alleen nu met Mikrotek niet. Sterker nog het werkt zelfs niet als ik via een externe switch de client en de server op dezelfde ethernet poort op de Mikrotik zet. (ether3 in dit geval). Het lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.Het zou raar zijn dat het niet zo werken als dat zo was, want verkeer van/naar 192.168.88.x kan direct over de switch chip lopen en komt dus niet eens op de cpu/firewall terecht.
Ja pingen gaat wel. Zowel op IPv4 als op IPv6. Pingen op IPv6 werkt ook van buiten af.Kan je de server wel pingen vanaf je desktop?
Als ik de client op dezelfde PC draai als waar de server op draait, dan is de server wel bereikbaar.
Maar het kan ook geen kwaad? Volgens mij is dat gewoon de default configuratie en is die blijven staan toen ik VLAN 100 aanmaakte en koppelde aan ether1.Die dhcp client op ether1 zou trouwens niet nodig hoeven te zijn, ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.
Dat heb ik ook al gehad. Ik ben begonnen met IPv4 only. En toen dat niet ging heb ik IPv6 ingeschakeld om te zien of ik daar hetzelfde probleem zou hebben. En dat heb ik dus inderdaad.Laatste tip, probeer eerst alleen ipv4 werkend te krijgen (ie disable alle ipv6 gedoe op de mikrotik). Voor hetzelfde geldt is er een ipv4/ipv6 routing voorkeur probleem.
Begrijp ik het nu goed dat zelfs als je een switch tussen de Mikrotik router en je server/client hangt dat het dan nog altijd niet werkt? In dat geval zou de data niet eens bij de router moeten komen.Roetzen schreef op donderdag 17 april 2025 @ 10:50:
[...]
Driemaal ja.
[...]
Het is inderdaad heel raar en ik snap er dan ook niets van. Dit heeft in het verleden met andere routers ook altijd gewerkt. Alleen nu met Mikrotek niet. Sterker nog het werkt zelfs niet als ik via een externe switch de client en de server op dezelfde ethernet poort op de Mikrotik zet. (ether3 in dit geval). Het lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.
[...]
Ja pingen gaat wel. Zowel op IPv4 als op IPv6. Pingen op IPv6 werkt ook van buiten af.
Als ik de client op dezelfde PC draai als waar de server op draait, dan is de server wel bereikbaar.
[...]
Maar het kan ook geen kwaad? Volgens mij is dat gewoon de default configuratie en is die blijven staan toen ik VLAN 100 aanmaakte en koppelde aan ether1.
[...]
Dat heb ik ook al gehad. Ik ben begonnen met IPv4 only. En toen dat niet ging heb ik IPv6 ingeschakeld om te zien of ik daar hetzelfde probleem zou hebben. En dat heb ik dus inderdaad.
Het blijft dus een mysterie..babbelbox schreef op donderdag 17 april 2025 @ 07:05:
@Roetzen Ik zie in je config ook niets geks wat kan verklaren waarom je vanaf je desktop PC je server niet kan bereiken.
Ja, het klopt echt allemaal. En het werkte intern ook toen het nog aan de Nokia XG2426 hing die ik van Delta had gekregen. Ik ben juist naar een eigen ONT en router overgestapt omdat ik daar de port forwarding en pinholing niet aan de praat kreeg.Wat pimlie ook aangeeft, kan je wel pingen van PC naar server, en zitten ze ook daadwerkelijk aan de poorten van de MikroTik de je in je bridge hebt gekoppeld.
En ik heb mijn Ziggo lijntje ook nog even aan gehouden en als ik het aan mijn Ziggo modem/router hang dan werkt alles zoals verwacht.
Tja, het heeft meer dan tien jaar gewerkt. Totdat ik met een Mikrotek router aan de gang ging..En het werkt nog steeds weer als ik even terug ga naar mijn Ziggo configuratie met de zwarte Sagemcom modem/router van Ziggo...En verder nog, misschien een firewall op je server die de boel blokkeert?
Je begrijpt het goed, zelfs dan werkt het niet.orvintax schreef op donderdag 17 april 2025 @ 10:53:
[...]
Begrijp ik het nu goed dat zelfs als je een switch tussen de Mikrotik router en je server/client hangt dat het dan nog altijd niet werkt? In dat geval zou de data niet eens bij de router moeten komen.
Ja, dat weet ik zeker.pimlie schreef op donderdag 17 april 2025 @ 10:58:
@Roetzen Weet je zeker dat die binkp server wel op 0.0.0.0 bind? Of bind die nog op een oud/specifiek ip adres?
--edit--
Voor de duidelijkheid, ik bedoel de service zelf die op de server met het 192.168.88.x ip draait
@Roetzen Kan je screenshots maken van de netwerk configuratie van je desktop & server? Liefst ook de routes op beide (dus ipconfig /all & route print op windows of ip a & ip r op linux). Het is niet dat ik je niet geloof, maar als het allemaal klopt wat je zegt dan zou het gewoon moeten werken.
Maar omdat je aangeeft dat het toch nog niet werkt, moet er dus ergens iets aan de hand zijn. Het is moeilijk om vanaf hier te achterhalen wat het is, vooral ook omdat je vooral de hele tijd zegt dat het klopt maar je laat het ons niet zien dat het klopt. Dus voor hetzelfde geldt heb jij nu al 5x ergens over heen gekeken waarvan jij het idee hebt dat het klopt, maar waarvan wij direct zouden zien dat het niet klopt.
Maar omdat je aangeeft dat het toch nog niet werkt, moet er dus ergens iets aan de hand zijn. Het is moeilijk om vanaf hier te achterhalen wat het is, vooral ook omdat je vooral de hele tijd zegt dat het klopt maar je laat het ons niet zien dat het klopt. Dus voor hetzelfde geldt heb jij nu al 5x ergens over heen gekeken waarvan jij het idee hebt dat het klopt, maar waarvan wij direct zouden zien dat het niet klopt.
Heb je dit gecontroleerd? Zie je verkeer naar de binkp server voorbij komen in Torch of als je een firewall regel logt? Zie ook mijn laatste zin boven deze quoteHet lijkt er dus op dat zelfs dan het via de cpu van de Mikrotek gaat.
Welke ip reeks geeft dat Ziggo modem uit? Als je op de Mikrotik alle 192.168.88.x ip reeksen aanpast naar dezelfde als op je Ziggo modem, werkt het dan wel?En ik heb mijn Ziggo lijntje ook nog even aan gehouden en als ik het aan mijn Ziggo modem/router hang dan werkt alles zoals verwacht.
@Roetzen Het is mij nog niet helemaal duidelijk wat het exacte probleem is.
Feitelijk zeg je 2 dingen kun je dit bevestigen?
-Pingen naar lokale adressen werkt (ipv4 of 6 is onduidelijk)
-Binkp service is niet bereikbaar op het lokale adres (ipv4 of 6 is onduidelijk)
Zou je het volgende willen testen?
Kun je de binkp server pingen op zijn lokale ipv4 adres
Kun je een telnet sessie op zetten naar je binkp server op het lokale ipv4 adres en poort 24554?
Zoals hierboven aangegeven kan het zijn dat doordat je adres reeks is veranderd van 192.168.2.0/24 naar 192.168.88.0/24 de instellingen op je binkp server niet meer kloppen?
Bijv een statisch adres, default gateway, statische routes, dns settings, firewall regels, binkp service luistert op een specifiek adres noem maar op.
Als ik naar je config kijk en het feit dat het via een switch ook niet werkt heb ik een sterk vermoeden dat het probleem niet in je mikrotik zit.
Feitelijk zeg je 2 dingen kun je dit bevestigen?
-Pingen naar lokale adressen werkt (ipv4 of 6 is onduidelijk)
-Binkp service is niet bereikbaar op het lokale adres (ipv4 of 6 is onduidelijk)
Zou je het volgende willen testen?
Kun je de binkp server pingen op zijn lokale ipv4 adres
Kun je een telnet sessie op zetten naar je binkp server op het lokale ipv4 adres en poort 24554?
Zoals hierboven aangegeven kan het zijn dat doordat je adres reeks is veranderd van 192.168.2.0/24 naar 192.168.88.0/24 de instellingen op je binkp server niet meer kloppen?
Bijv een statisch adres, default gateway, statische routes, dns settings, firewall regels, binkp service luistert op een specifiek adres noem maar op.
Als ik naar je config kijk en het feit dat het via een switch ook niet werkt heb ik een sterk vermoeden dat het probleem niet in je mikrotik zit.
Na nog wat testen ben ik er niet zo zeker meer van.babbelbox schreef op donderdag 17 april 2025 @ 07:05:
@Roetzen
En verder nog, misschien een firewall op je server die de boel blokkeert?
Wordt vervolgd....
@pimlie @kaaas @orvintax @babbelbox @DJP!
Het is potjankukeltje toch de firewall op de PC waar de server op draait. Om één of andere reden stond die om verder onverklaarbare redenen op “ openbaar netwerk”. Nadat ik dat gewijzigd had in “thuisnetwerk” kon ik de server wel bereiken vanaf clients in het LAN.
Nu nog de port IPv4 forward en de IPv6 pinholing. Morgen is er weer een dag.
Iedereen hartelijk bedankt voor het meedenken tot zo ver.
Het is potjankukeltje toch de firewall op de PC waar de server op draait. Om één of andere reden stond die om verder onverklaarbare redenen op “ openbaar netwerk”. Nadat ik dat gewijzigd had in “thuisnetwerk” kon ik de server wel bereiken vanaf clients in het LAN.
Nu nog de port IPv4 forward en de IPv6 pinholing. Morgen is er weer een dag.
Iedereen hartelijk bedankt voor het meedenken tot zo ver.
Ooh het is een windows machine dan snap ik het wel
De port forward en de pinholing bleken geen probleem meer te vormen. Het werkt nu allemaal zoals bedoeld. 
Iedereen nogmaals bedankt voor het meedenken.
Iedereen nogmaals bedankt voor het meedenken.
Hi allen
Ik heb een dilema.... Ik zie even door de bomen het bos niet meer..
Ik krijg mijn kpn tv multicast niet werkend en ik zie even niet waar ik nu de mist in ga.
Zou iemand mij kunnen helpen?
Alvsat dank
Ik heb een dilema.... Ik zie even door de bomen het bos niet meer..
Ik krijg mijn kpn tv multicast niet werkend en ik zie even niet waar ik nu de mist in ga.
Zou iemand mij kunnen helpen?
Alvsat dank
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
| add igmp-snooping=yes name=Bridge_KPN_TV add igmp-snooping=yes igmp-version=3 multicast-querier=yes name=bridge-lan \ vlan-filtering=yes /interface ethernet set [ find default-name=ether16 ] disabled=yes /interface wireguard add listen-port=51820 mtu=1420 name=wireguard1 /interface vlan add comment=internet interface=sfp-sfpplus1 name=internet vlan-id=6 add interface=sfp-sfpplus1 name=televisie vlan-id=4 add comment=Management interface=bridge-lan name=vlan190 vlan-id=190 add comment=Streaming interface=bridge-lan name=vlan3500 vlan-id=3500 add comment=Televisie interface=bridge-lan name=vlan3501 vlan-id=3501 add comment=Radio interface=bridge-lan name=vlan3502 vlan-id=3502 /interface pppoe-client add add-default-route=yes allow=pap disabled=no interface=internet name=\ pppoe-out1 use-peer-dns=yes user=internet /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip dhcp-client option add code=60 name=option60-vendorclass value="'IPTV_RG'" /ip pool add name=dhcp_pool0 ranges=192.168.150.2-192.168.150.254 add name=dhcp_pool1 ranges=192.168.60.2-192.168.60.254 add name=dhcp_pool2 ranges=192.168.150.2-192.168.150.254 add name=dhcp_pool3 ranges=192.168.160.2-192.168.160.254 add name=dhcp_pool4 ranges=192.168.190.2-192.168.190.254 add name=dhcp_pool5 ranges=192.168.191.2-192.168.191.254 /ip dhcp-server add address-pool=dhcp_pool1 interface=vlan3500 name=dhcp1 add address-pool=dhcp_pool2 interface=vlan3502 name=dhcp2 add address-pool=dhcp_pool3 interface=vlan3501 name=dhcp3 add address-pool=dhcp_pool4 interface=vlan190 name=dhcp4 add address-pool=dhcp_pool5 interface=bridge-lan name=dhcp5 /port set 0 name=serial0 set 1 name=serial1 /interface bridge port add bridge=bridge-lan interface=sfp-sfpplus2 add bridge=bridge-lan interface=ether2 pvid=3500 add bridge=bridge-lan interface=ether3 pvid=3500 add bridge=bridge-lan interface=ether4 pvid=3500 add bridge=bridge-lan interface=ether5 pvid=3501 add bridge=bridge-lan interface=ether6 pvid=3501 add bridge=bridge-lan interface=ether7 pvid=3501 add bridge=bridge-lan interface=ether8 pvid=3501 add bridge=bridge-lan interface=ether9 pvid=3502 add bridge=bridge-lan interface=ether10 pvid=3502 add bridge=bridge-lan interface=ether11 pvid=3502 add bridge=bridge-lan interface=ether12 pvid=3502 add bridge=bridge-lan interface=ether13 add bridge=Bridge_KPN_TV interface=televisie /ip firewall connection tracking set udp-timeout=10s /ip neighbor discovery-settings set discover-interface-list=!dynamic /interface bridge vlan add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=ether2,ether3,ether4 \ vlan-ids=3500 add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=\ ether5,ether6,ether7,ether8 vlan-ids=3501 add bridge=bridge-lan tagged=sfp-sfpplus2 untagged=\ ether9,ether10,ether11,ether12 vlan-ids=3502 add bridge=bridge-lan tagged=sfp-sfpplus2 vlan-ids=1,190 /interface ovpn-server server add mac-address=FE:E8:4B:1C:72:F4 name=ovpn-server1 /ip address add address=10.138.138.1/24 interface=wireguard1 network=10.138.138.0 add address=192.168.60.1/24 interface=vlan3500 network=192.168.60.0 add address=192.168.150.1/24 comment="Radio Management" interface=vlan3502 \ network=192.168.150.0 add address=192.168.160.1/24 interface=vlan3501 network=192.168.160.0 add address=192.168.190.1/24 interface=vlan190 network=192.168.190.0 add address=192.168.191.1/24 interface=bridge-lan network=192.168.191.0 /ip dhcp-client add add-default-route=special-classless default-route-distance=250 \ dhcp-options=option60-vendorclassx interface=Bridge_KPN_TV use-peer-dns=\ no use-peer-ntp=no /ip dhcp-server lease add address=192.168.150.247 comment=Aeron0 mac-address=6C:3B:E5:16:FB:9C \ server=dhcp2 /ip dhcp-server network add address=192.168.60.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\ 192.168.60.1 add address=192.168.150.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\ 192.168.150.1 add address=192.168.160.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\ 192.168.160.1 add address=192.168.190.0/24 dns-server=195.121.1.34,195.121.1.66 gateway=\ 192.168.190.1 add address=192.168.191.0/24 gateway=192.168.191.1 /ip firewall address-list add address=192.168.60.0/24 list=BGP-Martin add address=192.168.150.0/24 list=BGP-Martin add address=192.168.160.0/24 list=BGP-Martin add address=192.168.190.0/24 list=BGP-Martin add address=192.168.191.0/24 list=BGP-Martin /ip firewall filter add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=\ tcp add action=accept chain=input comment=Wireguard dst-port=51820 in-interface=\ pppoe-out1 protocol=udp add action=accept chain=input comment="KPN TV Multicast IN" dst-address=\ 224.0.0.0/4 in-interface=Bridge_KPN_TV protocol=igmp add action=reject chain=input in-interface=pppoe-out1 protocol=tcp \ reject-with=icmp-network-unreachable /ip firewall nat add action=masquerade chain=srcnat comment=Radio out-interface=pppoe-out1 \ src-address=192.168.150.0/24 add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\ 100.64.1.0/24 add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\ 192.168.190.0/24 add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\ 192.168.60.0/24 add action=masquerade chain=srcnat comment="televisie subnet" out-interface=\ pppoe-out1 src-address=192.168.160.0/24 add action=masquerade chain=srcnat comment="lan vlan1" out-interface=\ pppoe-out1 src-address=192.168.191.0/24 add action=dst-nat chain=dstnat comment="Nat naar Alarmcentrale" dst-address=\ x.x.x.x.x dst-port=10001 in-interface=pppoe-out1 protocol=tcp \ to-addresses=192.168.190.110 to-ports=10001 add action=dst-nat chain=dstnat dst-address=x.x.x.x.x dst-port=9000 \ in-interface=pppoe-out1 protocol=udp to-addresses=192.168.150.221 \ to-ports=9000 add action=masquerade chain=srcnat comment="KPN TV" dst-address=\ 217.166.0.0/16 out-interface=Bridge_KPN_TV add action=masquerade chain=srcnat comment="KPN TV" dst-address=213.75.0.0/16 \ out-interface=Bridge_KPN_TV add action=masquerade chain=srcnat dst-address=10.207.0.0/20 out-interface=\ Bridge_KPN_TV add action=masquerade chain=srcnat comment="NAT Voor KPN TB" out-interface=\ Bridge_KPN_TV /ip ipsec profile set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5 /ip smb shares set [ find default=yes ] directory=flash/pub /routing igmp-proxy set query-interval=30s /routing igmp-proxy interface add interface=bridge-lan add alternative-subnets=0.0.0.0/0 interface=Bridge_KPN_TV upstream=yes /system clock set time-zone-name=Europe/Amsterdam /system note set show-at-login=no /tool romon set enabled=yes |
@martinschilder In je igmp proxy zou je iig direct de interface met vlan 4 als upstream moeten kunnen configureren, niet een bridge. Volgens mij noem je de iptv vlan interface 'televisie'? Zelfde met je firewall rules.
Nog even een aanvulling. Ik leer er steeds een beetje bij. ether1 hoeft inderdaad niet aan de WAN interface list toegevoegd te worden in dit geval. De communicatie met de buitenwereld loopt immers geheel over VLAN100. Maar ja omdat het deel was van de default configuratie durfde ik dat aanvankelijk niet te veranderen, aangenomen dat het geen kwaad kon.pimlie schreef op woensdag 16 april 2025 @ 23:17:
ether1 hoeft ook niet aan de WAN interface list toegevoegd te worden.
Maar nu komt het toch van pas omdat ik een toevoeging heb gemaakt waardoor ik vanaf de apparaten op het LAN toch bij het webinterface van de Nokia ONT kan komen. Dat bleek heel eenvoudig. Gewoon een vrij adres in de range 192.168.100.0/24 aan ether1 toevoegen et voila! Met dank aan @mvdnes
Heel nuttig is het verder niet, je kan eigenlijk niks met de WEBgui van de Nokia XS-010X-Q. Maar het is leuk om nu eens te snappen wat ik doe.
Ook zonder de toevoeging aan de WAN list kan het werken zoals je omschrijft. Mits je maar de juiste firewall filter rules maakt en evt. een NAT rule.Roetzen schreef op zondag 27 april 2025 @ 16:28:
[...]
Nog even een aanvulling. Ik leer er steeds een beetje bij. ether1 hoeft inderdaad niet aan de WAN interface list toegevoegd te worden in dit geval. De communicatie met de buitenwereld loopt immers geheel over VLAN100. Maar ja omdat het deel was van de default configuratie durfde ik dat aanvankelijk niet te veranderen, aangenomen dat het geen kwaad kon.
Maar nu komt het toch van pas omdat ik een toevoeging heb gemaakt waardoor ik vanaf de apparaten op het LAN toch bij het webinterface van de Nokia ONT kan komen. Dat bleek heel eenvoudig. Gewoon een vrij adres in de range 192.168.100.0/24 aan ether1 toevoegen et voila! Met dank aan @mvdnes
Heel nuttig is het verder niet, je kan eigenlijk niks met de WEBgui van de Nokia XS-010X-Q. Maar het is leuk om nu eens te snappen wat ik doe.
Hi ik heb een vraagje 
Ik zit met de volgende situatie
Ik heb op Lokatie A op ether1 2 vlans
vlan2 internet
vlan10 lan
daarnaast heb ik ook vxlan draaien
de vxlan interface heeft verbinding met lokatieB
op side A heb ik een bridge aangemaak waar vlan10 en vxlan1 in hangen
op side B als ik daar torch op vxlan1 dan zie ik de data van vlan10
Nu wil ik dat de vlan10 data op lokatieB terecht komt in vlan241 zodat ik dat verder het netwerk in kan laten vloeien.
dus ik heb ook op lokatie B een bridge gemaakt en daar vxlan1 en vlan241 in gehangen.
Als ik nu ga snifen op vlan241 zie ik niet de data echter op de bridge wel..
Wat doe ik fout?
Alvast dank
Ik zit met de volgende situatie
Ik heb op Lokatie A op ether1 2 vlans
vlan2 internet
vlan10 lan
daarnaast heb ik ook vxlan draaien
de vxlan interface heeft verbinding met lokatieB
op side A heb ik een bridge aangemaak waar vlan10 en vxlan1 in hangen
op side B als ik daar torch op vxlan1 dan zie ik de data van vlan10
Nu wil ik dat de vlan10 data op lokatieB terecht komt in vlan241 zodat ik dat verder het netwerk in kan laten vloeien.
dus ik heb ook op lokatie B een bridge gemaakt en daar vxlan1 en vlan241 in gehangen.
Als ik nu ga snifen op vlan241 zie ik niet de data echter op de bridge wel..
Wat doe ik fout?
Alvast dank
@martinschilder Vertel svp eerst eens of / hoe je vorige probleem is opgelost voordat we je met het volgende probleem helpen.
Sowieso is het aan te raden altijd alle relevante configs & test commandos te delen
Sowieso is het aan te raden altijd alle relevante configs & test commandos te delen
naar welk vorig probeem?pimlie schreef op vrijdag 2 mei 2025 @ 12:44:
@martinschilder Vertel svp eerst eens of / hoe je vorige probleem is opgelost voordat we je met het volgende probleem helpen.
Sowieso is het aan te raden altijd alle relevante configs & test commandos te delen
Nou dit geloof je niet maar de itv plus box daar heb je een functie om wel of geen multicast te gebruiken.pimlie schreef op vrijdag 25 april 2025 @ 12:02:
@martinschilder In je igmp proxy zou je iig direct de interface met vlan 4 als upstream moeten kunnen configureren, niet een bridge. Volgens mij noem je de iptv vlan interface 'televisie'? Zelfde met je firewall rules.
Aldus het menu stond deze aan maar door heen en weer te schakelen tussen unicast en mulitcast begon het te werken.
Hmm, klinkt raar inderdaad. Je hebt nog altijd die bridge als igmp upstream? Hoe was je erachter gekomen dat dit het was?martinschilder schreef op zondag 4 mei 2025 @ 10:13:
Nou dit geloof je niet maar de itv plus box daar heb je een functie om wel of geen multicast te gebruiken.
Aldus het menu stond deze aan maar door heen en weer te schakelen tussen unicast en mulitcast begon het te werken.
Kan je wat meer uitleggen hoe en wat, bv subnets/ips/routes etc? Wat voor verkeer zie je wel en waarom verwacht je dat dat verkeer over vlan241 wordt gerouteerd?Als ik nu ga snifen op vlan241 zie ik niet de data echter op de bridge wel..
Lokatie A:pimlie schreef op zondag 4 mei 2025 @ 17:09:
[...]
Hmm, klinkt raar inderdaad. Je hebt nog altijd die bridge als igmp upstream? Hoe was je erachter gekomen dat dit het was?
toeval![]()
[...]
Kan je wat meer uitleggen hoe en wat, bv subnets/ips/routes etc? Wat voor verkeer zie je wel en waarom verwacht je dat dat verkeer over vlan241 wordt gerouteerd?
Ehter1 heeft 2 vlans
vlan2 hier zit het default internet op
vlan30 hier zit lan verkeer op
Lokatie A heeft via wireguard verbinding met Lokatie B
WG ip A 100.80.1.1
WB ip B 100.80.1.2
A & B kunnen netjes met elkaar praten via de wireguard interface
Op lokatie A is een VXLAN interface gemaakt met VNI 9852 en local address 100.80.1.1 VTEP Remote ip 100.80.1.2
Lokatie B zelfde VXLAN/9862 en local address 100.80.1.2 VTEP remote ip 100.80.1.1
Voor Lokatie A heb ik een bridge aangemaakt waar dus het VXLAN interface en vlan30 heb toegevoegd met de gedachtegang dat het verkeer untagged doorvloeid naar de bridge.
Lokatie B idem bridge en vxlan maar dan een vlan241 interface toegevoegd.
Die vlan241 interface is vervolgens weer toegevoegd aan sfp-plus1 welke daar op B aan het netwerk hangt.
Ik zou verwachten dat ik nu het verkeer van vlan30 zou zien maar dit is niet het geval.... Ik loop dus een beetje vast
Vraagje. Ik heb gisteravond een Mikrotik hEX refresh geplaatst met de defaulf config in de firewall. Om te kijken wat er allemaal gedropped wordt heb ik de log aangezet voor "defconf: drop all not coming from LAN". Daarmee wordt alles op de WAN gedropped, muv de lijst met NAT regels.
Binnen een half uur loopt mijn log vervolgens helemaal vol met regels als:
Of is er iets anders aan de hand?
Enig advies wat te doen?
Binnen een half uur loopt mijn log vervolgens helemaal vol met regels als:
Zou het kunnen zijn dat iemand via mijn public IP de router als DDoS traffic generator probeert te gebruiken?2025-05-07 13:31:16 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 20.169.104.255:35233->XXX.XXX.XXX.XXX:9200, len 40
2025-05-07 13:31:19 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 23.94.28.175:48875->XXX.XXX.XXX.XXX:10459, len 40
2025-05-07 13:31:21 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto UDP, 84.116.46.20:53->XXX.XXX.XXX.XXX:5678, len 80
2025-05-07 13:31:26 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 59.125.205.245:1209->XXX.XXX.XXX.XXX:80, len 40
2025-05-07 13:31:35 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 83.222.191.38:40005->XXX.XXX.XXX.XXX:49026, len 40
2025-05-07 13:31:35 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 104.248.161.168:43516->XXX.XXX.XXX.XXX:18043, len 44
2025-05-07 13:31:49 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto UDP, 159.148.147.229:30000->XXX.XXX.XXX.XXX:5678, len 60
2025-05-07 13:31:57 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 167.94.138.128:22588->XXX.XXX.XXX.XXX:8443, len 60
2025-05-07 13:32:00 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 216.144.248.22:23142->XXX.XXX.XXX.XXX:9091, len 60
2025-05-07 13:32:01 firewall,info input: in:ether1-WAN out:(unknown 0), connection-state:new src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 216.144.248.22:23142->XXX.XXX.XXX.XXX:9091, len 60
Of is er iets anders aan de hand?
Enig advies wat te doen?
Vrijstaande woning, dubbel glas, veel ramen, alles open verbonden, ca 300m3, geen extra isolatie, vvw in de woonkamer, rest type 10 zonder boosters, T6 op 20°C & 19,5°C nacht, 4,5kW Quatt, Intergas Xtreme36, 6MWh Wp, Warmteverl. (-10°C) 7kW bij max 15°C
Ruis van het Internet, niet zo spannend. Logging uitzetten
Eerst het probleem, dan de oplossing
Ruis van het Internet... mooie termlier schreef op woensdag 7 mei 2025 @ 15:54:
Ruis van het Internet, niet zo spannend. Logging uitzetten
Vrijstaande woning, dubbel glas, veel ramen, alles open verbonden, ca 300m3, geen extra isolatie, vvw in de woonkamer, rest type 10 zonder boosters, T6 op 20°C & 19,5°C nacht, 4,5kW Quatt, Intergas Xtreme36, 6MWh Wp, Warmteverl. (-10°C) 7kW bij max 15°C
Ik heb denk ik even wat hulp nodig aangaande een Huawei LTE USB-stick in combinatie met RouterOS.
In het forum kwam ik de volgende post tegen van @mbovenka die kennelijk een werkende situatie heeft:
mbovenka in "[MikroTik-apparatuur] Ervaringen & Discussie"
Nu wil het geval dat ik ook met zo'n combinatie aan het spelen ben. In mijn geval betreft het de Huawei E3372-325 met een Mikrotik E50UG (hEX refresh)
De hEX refresh is nieuw uit doos en ben van plan deze verder naar mijn wens in te richten. Heb al enkele hAP ax lite's in gebruik en ben ondertussen redelijk thuis in RouterOS.
Waar ik nu tegenaan loop is dat de stick wordt herkend maar dat RouterOS er geen traffic naartoe routeert. Voor mijn gevoel is het iets simpels maar ik kan het niet vinden.
Er zijn geen Routing Tables of Rules ingericht. Bij Routing Nexthops is de 'lte1' netjes te zien.
Bij IP Route zit ook alles er keurig uit.
De LTE USB-stick heb ik ingericht als subnet 192.168.33.0/24. Zodra ik de USB-stick direct in mijn laptop steek dan kan ik netjes de webinterface 192.168.33.1 van de stick benaderen. Zodra ik de stick in de Mikrotik steek dan lukt het me niet om die 192.168.33.1 te benaderen. Verder is 'lte1' helemaal zichtbaar en bij de IP Routes zie ik ook netjes het subnet 192.168.33.0/24 verschijnen. Het lukt me wel om het 'lokale adres' van dat subnet te pingen, het adres wat de DHCP-server in de stick heeft toegekend aan de Mikrotik. Wanneer ik de stick zelf probeer te pingen dan komt er geen response.
Het subnet van de hEX refresh is de standaard 192.168.88.0/24 en zit elkaar dus niet in de weg.
Edit, voor aankoop heb ik goed op de compatibility gelet: "Models with suffixes -325 works only with arm cpu", of te wel, deze stick is compatible met de CPU in de Mikrotik.
Edit 2, de stick werkt naar behoren wanneer ik deze in mijn GL-iNET AX1800 travelrouter steek. Ik doe dus iets fout op de hEX refresh maar ik zie het zo snel niet.
Het is wellicht iets simpels, hopelijk schiet iemand iets te binnen?
Bij voorbaat hartelijk dank!
In het forum kwam ik de volgende post tegen van @mbovenka die kennelijk een werkende situatie heeft:
mbovenka in "[MikroTik-apparatuur] Ervaringen & Discussie"
Nu wil het geval dat ik ook met zo'n combinatie aan het spelen ben. In mijn geval betreft het de Huawei E3372-325 met een Mikrotik E50UG (hEX refresh)
De hEX refresh is nieuw uit doos en ben van plan deze verder naar mijn wens in te richten. Heb al enkele hAP ax lite's in gebruik en ben ondertussen redelijk thuis in RouterOS.
Waar ik nu tegenaan loop is dat de stick wordt herkend maar dat RouterOS er geen traffic naartoe routeert. Voor mijn gevoel is het iets simpels maar ik kan het niet vinden.
Er zijn geen Routing Tables of Rules ingericht. Bij Routing Nexthops is de 'lte1' netjes te zien.
Bij IP Route zit ook alles er keurig uit.
De LTE USB-stick heb ik ingericht als subnet 192.168.33.0/24. Zodra ik de USB-stick direct in mijn laptop steek dan kan ik netjes de webinterface 192.168.33.1 van de stick benaderen. Zodra ik de stick in de Mikrotik steek dan lukt het me niet om die 192.168.33.1 te benaderen. Verder is 'lte1' helemaal zichtbaar en bij de IP Routes zie ik ook netjes het subnet 192.168.33.0/24 verschijnen. Het lukt me wel om het 'lokale adres' van dat subnet te pingen, het adres wat de DHCP-server in de stick heeft toegekend aan de Mikrotik. Wanneer ik de stick zelf probeer te pingen dan komt er geen response.
Het subnet van de hEX refresh is de standaard 192.168.88.0/24 en zit elkaar dus niet in de weg.
Edit, voor aankoop heb ik goed op de compatibility gelet: "Models with suffixes -325 works only with arm cpu", of te wel, deze stick is compatible met de CPU in de Mikrotik.
Edit 2, de stick werkt naar behoren wanneer ik deze in mijn GL-iNET AX1800 travelrouter steek. Ik doe dus iets fout op de hEX refresh maar ik zie het zo snel niet.
Het is wellicht iets simpels, hopelijk schiet iemand iets te binnen?
Bij voorbaat hartelijk dank!
[ Voor 10% gewijzigd door FrankHe op 20-05-2025 22:15 ]
Zou je een export van je config kunnen posten?
Heb je de LTE interface toegevoegd aan de WAN interface list?
Eerst het probleem, dan de oplossing
Dat was hem inderdaad! Toegevoegd en het werkt nu, hartelijk dank!lier schreef op woensdag 21 mei 2025 @ 08:34:
Heb je de LTE interface toegevoegd aan de WAN interface list?
Dit is de eerste keer dat ik met multi-WAN aan de slag ben. Weer iets geleerd.
Zijn hier ook mensen die ervaring hebben met Mikrotik configuratie extern bewaren / beheren?
Via Git -> Ansible -> Mikrotik ?
Dan kan je op 1 centrale plek alle configuratie bijhouden en in 1 keer uitrollen?
Of wellicht een alternatief voor Ansible?
Via Git -> Ansible -> Mikrotik ?
Dan kan je op 1 centrale plek alle configuratie bijhouden en in 1 keer uitrollen?
Of wellicht een alternatief voor Ansible?
Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD
@GarBaGe Ik heb het wel andersom. Daarbij doe ik Mikrotik -> Oxidized -> Git. Daarbij pullt Oxidized bijvoorbeeld ieder uur de config naar een centrale git repo toe. Op die manier kan je makkelijk zien wanneer welke wijziging gemaakt is en kan je 't eventueel als backup gebruiken.
Afhankelijk van wat je exact wilt bereiken sluit dat precies wel of niet aan bij wat je zoekt
Afhankelijk van wat je exact wilt bereiken sluit dat precies wel of niet aan bij wat je zoekt
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.
@mgom Wel de hEX refresh maar ik zit niet bij KPN. De ARM CPU in de MikroTik E50UG is echt bijzonder krachtig voor dat geld. Het zou me verbazen als die problemen heeft met 1 Gbps PPPoE.
Enkele weken geleden heb ik twee hEX refreshes gekocht en ben er mee aan het spelen. Ik zal komende week eens een PPPoE opzetten tussen beide units en kijken hoe dat performt.
Enkele weken geleden heb ik twee hEX refreshes gekocht en ben er mee aan het spelen. Ik zal komende week eens een PPPoE opzetten tussen beide units en kijken hoe dat performt.
Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.mgom schreef op woensdag 28 mei 2025 @ 18:17:
Zijn er op dit forum Hex Refresh gebruikers in combinatie met KPN galsvezel 1gb. Ik ben benieuwd of deze router de volle snelheid aan kan over de PPPoe WAN-verbinding. Ben benieuwd.
Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025
De E60iUGS is inderdaad net gelanceerd, letterlijk gisteren. Ook mij lijkt dat de uitgelezen oplossing in deze situatie. Echter duurt het wellicht nog een aantal weken voordat deze daadwerkelijk beschikbaar komt.sambaloedjek schreef op vrijdag 30 mei 2025 @ 22:04:
[...]
Niet Hex refresh, maar nog het voorgaande model die gewoon 1Gbps haalt over KPN PPPoe. Wat je vraagt hangt af van jouw use-case. Downloaden/uploaden van grote bestanden met 1Gbps geen probleem met KPN PPPoe dankzij offloading, wel kun je latency problemen krijgen voor andere connecties tijdens deze bulk acties. Voor normaal huis tuin en keuken gebruik met enkele gebruikers werkt ie prima.
Er is nu ook een nieuwe Hex S refresh met identieke specs als Hex refresh, waarbij je de KPN SFP direct in kunt pluggen! https://mikrotik.com/product/hex_s_2025
Heb je je probleem ooit opgelost? Ik ben van plan om een nieuwe Hex S te kopen en wil er dan een SFP+ module instoppen voor mijn e-fiber aansluiting maar weet niet welke SFP ik moet kopenbabbelbox schreef op donderdag 21 maart 2024 @ 13:11:
[...]
Maar dan heb jij een AON verbinding, vermoed ik.
Ik heb een GPON aansluiting, vandaar de 'specifieke' SFP+ module
Hier zit veel kennis over KPN/Delta icm SFP modules: LINK
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.
Ik moest zoeken wat het was, heb paar Mikrotiks sinds de originele HEX, en ook de RB5009 maar nog nooit nodig gehad.Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.
Nope, ik zie dat ook meer als oplossing voor als je t echt heel erg verkloot hebt 
Heb zelfs ik nog niet eerder nodig gehad
Altijd Winbox of WebUI, heel soms ssh
Heb zelfs ik nog niet eerder nodig gehad
Sometimes you need to plan for coincidence
Ik heb slechts 1 keer de Netinstall nodig gehad.Commendatore schreef op donderdag 5 juni 2025 @ 11:59:
Hoe groot is de kans dat ik, als ik MikroTik-apparatuur gebruik, Netinstall nodig ga hebben? Ik zit namelijk te overwegen om een RB5009 aan te schaffen om een beetje mee te gaan spelen, maar ik heb alleen Macs en dan zou ik voor Netinstall door hoepels moeten springen waar ik helemaal niet doorheen wil hoeven springen.
Dat was op mijn hAP ac2, omdat Mikrotik een nieuwe firmware te groot had gemaakt voor het (te kleine) interne geheugen van die routers.
Maar ik zou me daar bij de RB5009 geen zorgen over maken.
"Hello IT, have you tried turning it off and on again?" - "Computer says no..."
Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.
Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?
Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.
Iemand die me wegwijs kan maken in deze keuze?
Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?
Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.
Iemand die me wegwijs kan maken in deze keuze?
Mijn bevooroordeelde "2 cents":
Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.
Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.
Voor wat betreft je vraag, op dit moment zijn er globaal 4 producten voor Wifi die binnen "kunnen":
hAP AX2, hAP AX3, cAP AX en wAP AX. Deze laatste is een bizar goed accesspoint en draait hier (in drievoud) kneiterstabiel mijn thuisnetwerk in CAPsMAN (de centrale manager voor wifi).
Als je "echte" vragen hebt, laat maar weten!
Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.
Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.
Voor wat betreft je vraag, op dit moment zijn er globaal 4 producten voor Wifi die binnen "kunnen":
hAP AX2, hAP AX3, cAP AX en wAP AX. Deze laatste is een bizar goed accesspoint en draait hier (in drievoud) kneiterstabiel mijn thuisnetwerk in CAPsMAN (de centrale manager voor wifi).
Als je "echte" vragen hebt, laat maar weten!
Eerst het probleem, dan de oplossing
Compleet nieuwe infra voor het huis.lier schreef op vrijdag 20 juni 2025 @ 12:49:
Begin bij het begin, wat heb je nodig? Aan welke eisen moet het voldoen? En waarom? Van daaruit kan je je keuze gaan maken. Zou fijn zijn als je alle eisen kan benoemen, ook non-functionals als bijvoorbeeld ondersteuning (EoL en Unify...) maar ook kosten.
1x Router
1x 16 port switch met PoE?
3x Accesspoint voor binnen
1x Accesspoint voor buiten
Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.
Liefste geen cloud omgeving en alles lokaal te beheren (self hosted).
Mooi product van unify vind ik bijvoorbeeld:
https://techspecs.ui.com/unifi/wifi/u7-iw?s=eu
Budget is ongeveer 800,- maar dat hoeft het niet te kosten natuurlijk
Wat betreft APs ben ik het hier niet mee eens overigens. APs van Ubiquity zijn prima standalone te gebruiken zonder verder iets af te nemen. Net zo goed als de Mikrotiks samenwerken met andere vendoren.lier schreef op vrijdag 20 juni 2025 @ 12:49:
Daar waar Unify het "beste" werkt als je voor het hele ecosystem kiest, is MikroTik eenvoudiger te combineren met andere merken.
Als WiFi7 een eis is, valt MikroTik af. Dat hebben ze (nog) niet.BaseBoyNL schreef op vrijdag 20 juni 2025 @ 13:41:
Het moet vooral zoveel mogelijk open en up to date zijn qua specs bijvoorbeeld wifi7, 2.5 GbE poorten, vlans, meerdere draadloze netwerken voor IoT en gasten.
@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.
Ik heb ook overal Mikrotik hangen in huis.
Maar gewoon met Wifi5 en 1Gb poorten.
De RB4011iGS+5HacQ2HnD-IN als Wifi AP (voor de begane grond), switch en DHCP server.
En 3 hAP AC2's als AP's en switch (op de 1e, zolder en tuin).
Dat voldoet meer dan genoeg voor alles wat de vrouw en kinderen doen op hun mobieltjes, TV's en laptops.
Evenals voor mijn pc's, NAS-en, etc...
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.
Ik heb ook overal Mikrotik hangen in huis.
Maar gewoon met Wifi5 en 1Gb poorten.
De RB4011iGS+5HacQ2HnD-IN als Wifi AP (voor de begane grond), switch en DHCP server.
En 3 hAP AC2's als AP's en switch (op de 1e, zolder en tuin).
Dat voldoet meer dan genoeg voor alles wat de vrouw en kinderen doen op hun mobieltjes, TV's en laptops.
Evenals voor mijn pc's, NAS-en, etc...
[ Voor 15% gewijzigd door Thasaidon op 20-06-2025 14:07 ]
"Hello IT, have you tried turning it off and on again?" - "Computer says no..."
Laat ik hier delen hoe ik tot mijn keuze ben gekomen.
In mijn meterkast stond al jaren een FRITZ!Box 7590 te zoemen. Daar was ik op zich tevreden over en de functies waren uitgebreid (voor een consumentenrouter, welteverstaan). Maar wat ik bv. miste was de mogelijkheid om een echte DMZ in te richten en met de komst van glasvezel (Glaspoort is hier onlangs met de aanleg begonnen) zou ik ook te weinig Ethernetpoorten hebben. Verder begon ik mij in toenemende mate te storen aan het gefragmenteerde updatebeleid van AVM.
Ik ben bij MikroTik uitgekomen omdat je voor een bescheiden bedrag (Ubiquity is toch een heel stuk duurder) prima hardware krijgt en de functionaliteit zeer uitgebreid is (op enterpriseniveau). Je wordt in de configuratiemogelijkheden niet beperkt tot wat het product management van de fabrikant zinvol vindt om in een GUI te ondersteunen.
De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:
Dan resten mij nog een paar waarschuwingen:
In mijn meterkast stond al jaren een FRITZ!Box 7590 te zoemen. Daar was ik op zich tevreden over en de functies waren uitgebreid (voor een consumentenrouter, welteverstaan). Maar wat ik bv. miste was de mogelijkheid om een echte DMZ in te richten en met de komst van glasvezel (Glaspoort is hier onlangs met de aanleg begonnen) zou ik ook te weinig Ethernetpoorten hebben. Verder begon ik mij in toenemende mate te storen aan het gefragmenteerde updatebeleid van AVM.
Ik ben bij MikroTik uitgekomen omdat je voor een bescheiden bedrag (Ubiquity is toch een heel stuk duurder) prima hardware krijgt en de functionaliteit zeer uitgebreid is (op enterpriseniveau). Je wordt in de configuratiemogelijkheden niet beperkt tot wat het product management van de fabrikant zinvol vindt om in een GUI te ondersteunen.
De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:
- Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
- Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
- Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
- Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.
Dan resten mij nog een paar waarschuwingen:
- Je kunt MikroTik apparatuur zoals gezegd op detailniveau configureren. De keerzijde is dat je ook heel verkeerde dingen kunt doen. RouterOS houdt je daarbij op geen enkele wijze tegen. In de leerfase heb ik de hardwarematige factory reset dan ook een keer nodig gehad. Grondige netwerkkennis is zeer gewenst om te voorkomen dat er gekke dingen gebeuren en je niet begrijpt waarom.
- De RouterOS documentatie is zeer uitgebreid, maar helaas niet altijd even goed toegankelijk. De juiste pagina vinden gaat nogal eens gemakkelijker met Google dan met de zoekfunctie op de MikroTik site.
- MikroTik doet dingen op de MikroTik manier. Zelfs als je vele jaren ervaring hebt in netwerken zul je merken dat de leercurve heel steil is. Maar als je eenmaal boven bent is het uitzicht prachtig.
Allereerst dank voor jullie reacties!
Ik vind het altijd zonde om niet direct de laatste tech te kopen en over 2 a 3 jaar weer te moeten upgraden.
Naar mijn verwachting zullen streams en gaming steeds meer data gaan verbruiken en komen er steeds meer devices (IoT bijvoorbeeld) op het wifi netwerk te draaien dus in de zin van bandbreedte is dan de laatste tech wel gewenst.
De computer heeft al een 2,5Gb poort en ik verwacht dat mijn volgende zelfbouw server dit ook zal hebben dus ja dit is actueel. Dit zelfde geld voor Wifi7 welke ik verwacht dat me volgende laptop dit zal hebben.Thasaidon schreef op vrijdag 20 juni 2025 @ 14:00:
@BaseBoyNL
Mijn vraag is dan...
Heb je echt Wifi7 nodig?
En heb je ook echt die 2,5Gb poorten nodig?
Kan je cliënt apparatuur dat wel aan, want anders is dat overkill.
Ik vind het altijd zonde om niet direct de laatste tech te kopen en over 2 a 3 jaar weer te moeten upgraden.
Naar mijn verwachting zullen streams en gaming steeds meer data gaan verbruiken en komen er steeds meer devices (IoT bijvoorbeeld) op het wifi netwerk te draaien dus in de zin van bandbreedte is dan de laatste tech wel gewenst.
De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?ZwarteIJsvogel schreef op vrijdag 20 juni 2025 @ 14:06:
De juiste detailkeuzes maken was nog wel een dingetje. Dit waren mijn belangrijkste wensen:
- Configureerbaar op detailniveau, niet een GUI met alle functies behalve de juiste.
- Wifi 6. Dat is tegenwoordig mainstream en wifi 7 voegt m.i. voor thuis niets wezenlijks toe.
- Power over Ethernet (PoE). Mijn datacenter in de meterkast zit op een UPS en dan is het wel zo handig als de wifi het blijft doen bij stroomuitval.
- Internet direct via glasvezel (optie), dus zonder Ethernetkabel naar een NTU of ONT.
Je moet het PON-ID (feitelijk het serienummer) van de ONT registreren bij de belichter zodat de OLT weet welke ONT bij jouw aansluiting hoort. Dat stelt niet veel voor. Maar als er iets mis gaat moet je het ook weer terug laten zetten en als je ONT SFP stuk gaat, is het jouw verantwoordelijkheid om die te vervangen.BaseBoyNL schreef op vrijdag 20 juni 2025 @ 14:29:
De glasvezel optie vind ik ook zeker interessant, echter lees ik overal dat dit vaak lastig is om op te zetten gezien dit in samenwerking met je provider moet?
Belangrijkste redenen om een ONT SFP in je router te gebruiken zijn stroomverbruik (bv. de Zaram ONT SFP gebruikt duidelijk minder stroom dan de Nokia ONT van KPN) en gewoon omdat het cool is om een directe glasverbinding te gebruiken. Als Tweaker doe je sommige dingen nu eenmaal gewoon omdat het kan.
De belangrijkste reden om het niet te doen is voor mij dat de ONT functioneel onderdeel is van het XGS-PON netwerk van de belichter. De belichter configureert de ONT tot op zekere hoogte en zit dus met zijn neus in jouw apparatuur.. Met een externe ONT met een Ethernet koppelvlak heb je een veel zuiverder demarcatiepunt tussen wat beheermatig des belichters is en wat van jou is. En als het ding stuk gaat heb je in no time een nieuwe in huis.
Just my two cents.
Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.
Want?Commendatore schreef op vrijdag 20 juni 2025 @ 20:39:
Een eigen ONT zou ik zelf alleen doen als de ISP alleen gecombineerde ONT/gateways levert, anders maak je het jezelf alleen maar moeilijk.
Op Delta zijn er honderden Tweakers tevreden met hun eigen Zaram SFP, FS.com SFP, Huawei ONT of Nokia ONT.
Leverde Delta geen gecombineerde ONT/gateways?
Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.
Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.
Jazeker, de Nokia xs-2426g-b ONT/router/ap. Device met beperkingen. En bij zakelijke contracten en via wholesale (met name Odido) de Nokia xs-010x-q ONT.Commendatore schreef op vrijdag 20 juni 2025 @ 21:15:
Leverde Delta geen gecombineerde ONT/gateways?
Zeker mooi dat het kan. Eigen beheer, geen plotselinge FW updates met nog meer beperkingen, lager energiegebruik etc.Begrijp me trouwens niet verkeerd: ik ben blij dat het kan, alleen zou ik het zelf niet zo snel doen.
Ik zit een beetje met hetzelfde dilemma. Wifi 6(E) is voor mij nog wel oké vanwege de beperkte meerwaarde van Wifi 7. Maar het kleine aantal SFP+ en/of >=2,5GB RJ45 poorten op veel Mikrotek producten maakt dat ik de kat nog even uit de boom kijk. Het is me opgevallen dat Mikrotek voor veel producten een levensduur van 7-8 jaar heeft. Als je bijvoorbeeld kijkt naar de Hex en de Hex refresh. Of de recent verschenen HeX S refresh. De orginele HeX S was uit juni 2018, de HeX S refresh kwam juni dit jaar uit. Daarom denk ik dat we misschien over niet al te lange tijd wel eens de opvolger van de RB4011 kunnen verwachten. Die kwam namelijk in november 2018 uit (zowel de versie met als zonder wifi). Ik verwacht bij een dergelijk model eigenlijk wel meer meer dan één 2,5GB/s RJ45 poort en eventueel ook meer dan één SFP+ poort.BaseBoyNL schreef op vrijdag 20 juni 2025 @ 12:11:
Ik overweeg MikroTik voor mijn thuis netwerk maar ben er nog niet helemaal uit wat ik nu moet hebben.
Zie bijvoorbeeld dat ze enkel nog access points hebben met wifi 6 waar wifi 7 inmiddels al wordt uitgerold.
En naar mijn idee is het vooral voor buiten/LTE oplossingen?
Twijfel nu tussen Unify en Mikrotik waar Mikrotik de voorkeur heeft omdat het europees is en naar mijn idee minder vendor locking.
Iemand die me wegwijs kan maken in deze keuze?
De opvolger van de non-WiFi RB4011 is de RB5009. Meer dan 1 SFP+ verwacht ik sowieso niet in de SOHO space,, daar hebben ze de CCR2004-16G-2S+ al voor; die gaan ze niet in de weg zitten.
Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.
Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.
code:
1
2
3
4
| /routing filter num-list add comment=facebook disabled=no list=facebook range=32934 /routing filter rule add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}" |
Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.
Dat laatste inderdaad.bcome schreef op woensdag 25 juni 2025 @ 14:37:
Ik heb een vraag waar ik in de documentatie niet echt duidelijkheid over kon krijgen;
is het mogelijk om toegang tot bepaalde IP adressen te blokkeren door gebruik te maken van BGP regels? Bijv.
code:
1 2 3 4 /routing filter num-list add comment=facebook disabled=no list=facebook range=32934 /routing filter rule add chain=connected-in comment=no_facebook disabled=yes rule="if (bgp-as-path [[:facebook:]]\$) {reject}"
Bovenstaande werkt niet, maar ik krijg geen duidelijkheid of dat komt omdat de filter rule niet correct is of omdat ik überhaupt m'n eigen BGP niet beheer. Ik vermoed dat het dat laatste is, maar wellicht kan iemand dat bevestigen.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.
Maar je hebt alleen een default route van jouw isp.
Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.
Bedankt voor je snelle antwoord! Ik ben maar een consument, dus helaas geen geavanceerde netwerkmogelijkheden wat dat betreft. Het ging mij meer om meta te weren van m'n netwerk, niet zozeer de facebook website zelf. Een alternatief is misschien om iets te scripten wat een ASN database binnentrekt en die IP adressen in een address list van de firewall zet?canonball schreef op woensdag 25 juni 2025 @ 14:47:
[...]
Dat laatste inderdaad.
AS32934 is het AS van facebook. Als je een volledige bgp feed krijgt kun je aangeven dat je ip-blokken die vanaf AS32934 komen niet wil toevoegen in jouw routingstabel. Bij een volledige bgp feed heb je voor IPv4 denk ik al meer dan 500.000 netwerken, met allemaal eigen bgp atributen. Als de orgin het AS van facebook is, kun je zeggen dat het niet in jouw eigen routerings tabel wilt zetten.
Als je dan ook geen default route hebt, ken je de ip-addressen van facebook niet. Dat kun je alleen (zinvol) als je een isp bent, en bgp verbindingen heb met verschillende partijen.
Maar je hebt alleen een default route van jouw isp.
Ps, als je het AS van facebook blokkeert, weet je niet wat je allemaal blokeerd, dat kan meer zijn dat de facebook sites. Het kan best wel zijn dat ook niet-docheters-van-facbook, sites hebben in het facebook netwerk. Om facebook te blokeren zijn er andere manieren, op dns bv.
Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.
Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?
Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Dit is RouterOS 7 inderdaad. De documentatie lijkt af en toe nog te verwijzen naar oude syntax wat best verwarrend isFreeaqingme schreef op woensdag 25 juni 2025 @ 15:27:
Ja dat kan zeker. Als je geen BGP peers hebt dan ga je ook niets kunnen filteren. Maar firewallen kan zeker.
Overigens herkende ik de syntax niet direct. Is het Router OS v7, of zit je nog op v6?