• Luckyluca
  • Registratie: Oktober 2020
  • Laatst online: 20-03 20:07
mukky schreef op maandag 23 januari 2023 @ 20:00:
[...]


Ik kan even niet volgen wat je nu met je IP adres wil. Wil je een 192.168.1.1 adres of een 192.168.88.1? Ik zie het beiden terug.

Verder... wat voor setup had je hiervoor? Is Delta een AON? Is het een nieuwe SFP module of heb je iets omgeprikt? Dat je helemaal geen verkeer ziet wijst in de richting van een probleem met de SFP. Is de module wel compatibel met de 5009?
Ik probeer mijn publieke ip van Delta op te halen.
nero355 schreef op maandag 23 januari 2023 @ 20:10:
[...]

SFP+ is niet handig als het een AON verbinding SFP is en daarnaast kan je voor GPON dan wel XGS-PON beter met een Bridged modem aan de gang gaan die je via UTP met de RB5009 verbindt! :)

Voor XGS-PON is er de Nokia 010 bijvoorbeeld, maar die is zeer slecht verkrijgbaar en Delta/Caiway zou die ooit nog eens beschikbaar maken volgens eerdere berichten...
Ik heb een ptp aon verbinding van Delta. Wat is precies de reden dat sfp+ hier niet handig voor is. Ik gebruik trouwens wel een sfp (niet +) module. Is dit ook niet handig op een AON netwerk of is dit weer anders?

  • Luckyluca
  • Registratie: Oktober 2020
  • Laatst online: 20-03 20:07
Thralas schreef op maandag 23 januari 2023 @ 20:33:
[...]


Je NAT rule klopt niet. Je matcht op source port 443, dat is fout. Destination 443 is voldoende. Als je dat aanpast zou 't moeten werken.

De opmerking dat het een rommeltje is ben ik het het (zeldzaam) niet echt mee eens. Het grote deel van de default rules staat er nog (die zijn prima, vooral ook laten staan).

Volgorde is geen ramp, al leest het wat fijner als de chains gesorteerd zijn.


[...]


Ik ben niet bekend met Delta, maar met een DHCP-client op een VLAN kan niet zoveel misgaan.

Weet je zeker dat de SFP een link heeft? Je zou niet de eerste zijn die problemen heeft met een SFP in de RB5009.
Ik ben hier niet 100% zeker van. Als ik in de sfp interface kijk staat er wel onder in de hoek link ok. Ook staat er een waarde aangegeven bij TX en RX power. Daarom lijkt het mij dat er wel een link is.

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
Luckyluca schreef op maandag 23 januari 2023 @ 20:41:
Ik probeer mijn publieke ip van Delta op te halen.

Ik heb een ptp aon verbinding van Delta.
Dan kan je het beste gewoon de SFP uit de Genexis 7840 halen en direct in je eigen Router of Media Converter proppen :)

Verder VLAN 100 en DHCP gewoon inderdaad!

Check ook effe of je niet van de eerder gemelde SFP problemen last hebt :
- Hmmbob in "[MikroTik-apparatuur] Ervaringen & Discussie"
- g1n0 in "[MikroTik-apparatuur] Ervaringen & Discussie"

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

@Luckyluca, het valt me op dat je je SFP fixeert op 1Gbps. Heb je al een keer getest met Auto Negotiation?
Thralas schreef op maandag 23 januari 2023 @ 20:33:
De opmerking dat het een rommeltje is ben ik het het (zeldzaam) niet echt mee eens. Het grote deel van de default rules staat er nog (die zijn prima, vooral ook laten staan).
Veel rules staan er dubbel in en er ontbreekt een drop op de forward chain. Maar de term "rommel" is (inderdaad) arbitrair. :9

[Voor 65% gewijzigd door lier op 24-01-2023 08:35]

Eerst het probleem, dan de oplossing


  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 29-03 13:32
@nero355
Als je op XGS-PON zit heb je juist een sfp+ module nodig.
Daar komt bij dat de sfp poort op de rb5009 prima met sfp modules om kan gaan.

Ik ben het wel helemaal met je eens dat hem aansluiten via ethernet een simpeler is.
Mits je modem bridge mode ondersteund. zou je je instellingen eerst ook testen via ether net en dan pas switchen naar je PON sfp module.

Fiber store heeft ook pon modules ik heb er alleen nog geen ervaring mee.

[Voor 4% gewijzigd door kaaas op 24-01-2023 15:46]


  • Luckyluca
  • Registratie: Oktober 2020
  • Laatst online: 20-03 20:07
nero355 schreef op maandag 23 januari 2023 @ 22:52:
[...]

Dan kan je het beste gewoon de SFP uit de Genexis 7840 halen en direct in je eigen Router of Media Converter proppen :)

Verder VLAN 100 en DHCP gewoon inderdaad!

Check ook effe of je niet van de eerder gemelde SFP problemen last hebt :
- Hmmbob in "[MikroTik-apparatuur] Ervaringen & Discussie"
- g1n0 in "[MikroTik-apparatuur] Ervaringen & Discussie"
Ik heb even getest met mijn Microtik. Wanneer ik auto negotiaton aan heb gaat deze naar 1gbps. Zoals ook te verwachten van een 1gbps sfp module. Jammergenoeg krijg ik nogsteeds geen Rx op deze manier. Ook zie ik geen Rx wanneer de snelheid handmatig op 1gbps word ingesteld. Ik gebruik inmiddels ook de sfp die uit mijn door delta geleverde Genexis 7840 komt. Jammergenoeg vertoond deze dezelfde problemen. Ik zie trouwens wel dat er niks staat bij advertising en link-partner-advertising in het interface ethernet monitor commando. Van wat ik lees hoeft hier niks te staan wanneer je gebruikt maakt van een glaskabel. Klopt dit?

@lier om jouw vraag nog even snel te beantwoorden.
Ik heb het ook al geprobeerd met auto negotiation aan. Dit werkte alleen jammergenoeg niet. Ik had dit uitgezet aangezien ik hier en daar las dat er problemen waren met auto negotiation op de rb5009.


Hierbij ook nog de volledige output van het interface ethernet monitor sfp-sfpplus1 once commando:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
                      name: sfp-sfpplus1
                    status: link-ok
          auto-negotiation: done
                      rate: 1Gbps
               full-duplex: yes
           tx-flow-control: no
           rx-flow-control: no
               advertising: 
  link-partner-advertising: 
        sfp-module-present: yes
               sfp-rx-loss: no
              sfp-tx-fault: no
                  sfp-type: SFP-or-SFP+
        sfp-connector-type: SC
        sfp-link-length-sm: 20km
           sfp-vendor-name: GENEXIS
    sfp-vendor-part-number: 99618002
       sfp-vendor-revision: 1.0
         sfp-vendor-serial: H.0122167874
    sfp-manufacturing-date: 22041900
            sfp-wavelength: 1310nm
           sfp-temperature: 24C
        sfp-supply-voltage: 3.323V
       sfp-tx-bias-current: 17mA
              sfp-tx-power: -5.841dBm
              sfp-rx-power: -6.873dBm
           eeprom-checksum: good
                    eeprom: 0000: 03 04 01 00 00 00 52 12  00 01 01 01 0d 00 14 c8
  ......R. ........
                            0010: 00 00 00 00 47 45 4e 45  58 49 53 20 20 20 20 20
  ....GENE XIS     
                            0020: 20 20 20 20 00 00 00 00  39 39 36 31 38 30 30 32
      .... 99618002
                            0030: 20 20 20 20 20 20 20 20  31 2e 30 20 05 1e 00 00
           1.0 ....
                            0040: 00 1a 14 14 48 2e 30 31  32 32 31 36 37 38 37 34
  ....H.01 22167874
                            0050: 20 20 20 20 32 32 30 34  31 39 30 30 68 f0 05 2d
      2204 1900h..-
                            0060: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
  ........ ........
                            *
                            0080: 64 00 ce 00 55 00 d8 00  90 88 75 30 88 b8 79 18
  d...U... ..u0..y.
                            0090: 9c 40 01 f4 88 b8 02 ee  1f 07 03 1a 13 94 04 eb
  .@...... ........
                            00a0: 3d e9 00 20 27 10 00 32  ff ff ff ff ff ff ff ff
  =.. '..2 ........
                            00b0: ff ff ff ff ff ff ff ff  00 00 00 00 00 00 00 00
  ........ ........
                            00c0: 00 00 00 00 3f 80 00 00  00 00 00 00 01 00 00 00
  ....?... ........
                            00d0: 01 00 00 00 01 00 00 00  01 00 00 00 00 00 00 29
  ........ .......)
                            00e0: 18 00 81 d4 21 5f 0a 2d  08 06 ff fe 00 00 00 00
  ....!_.- ........
                            00f0: 00 10 00 00 00 10 00 00  00 00 00 00 00 00 00 00
  ........ ........

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
kaaas schreef op dinsdag 24 januari 2023 @ 15:44:
Als je op XGS-PON zit heb je juist een sfp+ module nodig.
Nee, want dat is een heel verhaal geworden helaas...

Je beste gok is een Genexis/Nokia Bridged Modem a.k.a. ONT kopen afhankelijk van welk merk apparatuur je ISP aan de andere kant van de verbinding gebruikt! :)

Daarbij moet ik wel zeggen dat ik welgeteld één succesverhaal i.c.m. GPON heb gezien en dat was toevallig in dit topic : Madcat in "[MikroTik-apparatuur] Ervaringen & Discussie"
Daarbij is er dus gebruik gemaakt van een GPON SFP en een dergelijk verhaal is er helaas nog niet voor XGS-PON tenzij je het niet erg vindt om te downgraden naar een AVM product... :/
Daar komt bij dat de sfp poort op de rb5009 prima met sfp modules om kan gaan.
Uiteraard, maar de laatste firmware gaf wat gedoe volgens sommigen...
Ik ben het wel helemaal met je eens dat hem aansluiten via ethernet een simpeler is.
Mits je modem bridge mode ondersteund. zou je je instellingen eerst ook testen via ether net en dan pas switchen naar je PON sfp module.

Fiber store heeft ook pon modules ik heb er alleen nog geen ervaring mee.
Het gaat niet om simpeler/makkelijker/moeilijker/beter of wat dan ook : Het hele XGS-PON gedoe is gewoon nog steeds een veel te nieuwe techniek en er is helaas nog niet zoveel verkrijgbaar voor de Tweaker die eigen apparatuur wil gebruiken! :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

*O* *O* *O* de RB5009 is binnen helaas is nog niet de config helemaal zoals ik zou willen, maar daar moet ik nog even over nadenken (zag ook niet zo een voorbeeld in dit topic).

Ik wil namelijk dat mijn bridge zowel vlan's (tagged) als untagged kan afhandelen. Nu als tijdelijk work around maar even een untagged port, 2x tagged port gemaakt en 2 UTP's ertussen, maar dat is een lelijke optie in mijn ogen :D

Internal LAN = Untagged
Guest Wifi = Vlan 50
IPTV = Vlan 75

Kortom nog even puzzelen of ik dat allemaal netjes op een bridge krijg, zodat ik maar 1 UTP kabel hoef te gebruiken.

"Allow me to shatter your delusions of grandeur."


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

@ShadowBumble, dit is het topic op het MikroTik forum dat het heel goed uitlegd:
https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

Voor je "Internal LAN" kan je, naar mijn mening, ook het beste een VLAN ID (anders dan default 1) gebruiken.

Eerst het probleem, dan de oplossing


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

lier schreef op woensdag 25 januari 2023 @ 07:55:
@ShadowBumble, dit is het topic op het MikroTik forum dat het heel goed uitlegd:
https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

Voor je "Internal LAN" kan je, naar mijn mening, ook het beste een VLAN ID (anders dan default 1) gebruiken.
Klopt die heb ik gelezen, dat zette mij juist aan om na te denken of het ook op een Bridge kon als Hybride configuratie. De uitkomst is dat het ook gewoon als Hybride port configuratie kan (dus geen Bridge waar alle poorten als Switch inzitten) maar daar ben ik nog geen cli voorbeelden van tegen gekomen.

Dus vandaag weer even verder met de zoektocht :+ (en natuurlijk heb je helemaal gelijk het is een kleine moeite om het internal lan ook op een vlanid te zetten, en dan gewoon de poort naar mijn switch omgeving op trunk, dat zal waarschijnlijk ook de uiteindelijke oplossing worden, maar een default network in unifi omzetten naar een vlan tag betekend best nog wel wat werk :) aanpassen netwerk, aanpassen per client waaraan je een profiel hebt gekoppeld etc.Waarschijnlijk is alles resetten en opnieuw opbouwen in Unifi sneller)

[Voor 24% gewijzigd door ShadowBumble op 25-01-2023 08:48]

"Allow me to shatter your delusions of grandeur."


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

Toch even jullie hulp nodig, onderstaande is de config die ik tot nu toe heb. Het doel is om mijn netwerk van internet en iptv te voorzien. Dat houd in, Guestwifi en Internal LAN gewoon internet (beide vlans) en een apart vlan voor KPN IPTV.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
#
# model = RB5009UG+S+
#
# Rename ether1 to ether1-wan
# Rename ether2 to ether2-lan
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-lan

# Ensure you have VLAN4 (IPTV) and VLAN6 (Internet) on WAN interface
#
/interface vlan
add interface=ether1-wan name=wan-vlan4-IPTV vlan-id=4
add interface=ether1-wan name=wan-vlan6-Internet vlan-id=6

# Ensure you have VLAN5 (Internal), VLAN10 (GuestWifi) and VLAN15 (KPN IPTV) on LAN interface
#
add interface=ether2-lan name=lan-internal vlan-id=5
add interface=ether2-lan name=lan-guestwifi vlan-id=10
add interface=ether2-lan name=lan-iptv vlan-id=15


# Ip configuratie Interfaces
#
/ip address
add address=x.x.x.x/24 comment="Internal LAN" interface=lan-internal network=x.x.x.x
add address=x.x.x.x/24 comment="Guest WIFI" interface=lan-guestwifi network=x.x.x.x
add address=x.x.x.x/27 comment="KPN IPTV" interface=lan-iptv network=x.x.x.x

#
# DHCP IP Pools
#
/ip pool
add name=Internal-dhcp ranges=x.x.x.x-x.x.x.x
add name=GuestWifi-dhcp ranges=x.x.x.x-x.x.x.x
add name=IPTV-dhcp ranges=x.x.x.x-x.x.x.x

# Set KPN IPTV specific DHCP options
#
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'x.x.x.x'"

#
# DHCP servers
#
/ip dhcp-server
add address-pool=Internal-dhcp disabled=no interface=lan-internal lease-time=4h name=internal
add address-pool=GuestWifi-dhcp disabled=no interface=lan-guestwifi lease-time=4h name=guestwifi
add address-pool=IPTV-dhcp disabled=no interface=lan-iptv lease-time=4h options=option60-vendorclass,option28-broadcast name=iptv

#
# DHCP Fixed Leases in network
#
/ip dhcp-server lease add address=x.x.x.x comment="Crimson Typhoon" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="Gipsy Danger" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="Vulcan Specter" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="Lucky Seven" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="Chemo Alpha" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="Aether" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="MiniMe" mac-address=X server=internal
/ip dhcp-server lease add address=x.x.x.x comment="OSMC Vero 4k+" mac-address=X server=internal

#
# DHCP network settings
#
/ip dhcp-server network
add address=x.x.x.x/24 dns-server=8.8.8.8,8.8.4.4 domain=guestwifi.local gateway=x.x.x.x
add address=x.x.x.x/24 dns-server=8.8.8.8,8.8.4.4 domain=internal.local gateway=x.x.x.x
add address=x.x.x.x/27 dns-server=8.8.8.8,8.8.4.4 domain=iptv.local gateway=x.x.x.x

# Run a PPPoE-client on VLAN6 on the WAN interface to get internet connectivity
# Nothing special here for IPTV.
#
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=wan-vlan6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv4 user=internet

# Run a DHCP Client on the WAN-VLAN4 interface with the special IPTV option to get DHCP address for IPTV.
# No need to run a second DHCP client on VLAN6 (internet), as the PPPoE client is handeling that already
#
/ip dhcp-client
add interface=wan-vlan4-IPTV dhcp-options=option60-vendorclass add-default-route=special-classless default-route-distance=254 use-peer-dns=no use-peer-ntp=no

# Ensure NAT takes place on both outgoing interfaces (Internet and IPTV)
#
/ip firewall nat

add action=masquerade chain=srcnat comment="Needed for KPN IPTV" dst-address=213.75.112.0/21 out-interface=wan-vlan4-IPTV
add action=masquerade chain=srcnat comment="Needed for KPN IPTV" dst-address=217.166.0.0/16 out-interface=wan-vlan4-IPTV
add action=masquerade chain=srcnat comment="Internet Masquerade for Internal Lan" src-address=x.x.x.x/24 out-interface=pppoe-client
add action=masquerade chain=srcnat comment="Internet Masquerade for Guestwifi" src-address=x.x.x.x/24 out-interface=pppoe-client

# Default firewall rules
#
add action=reject chain=input in-interface=pppoe-client protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-client protocol=udp reject-with=icmp-port-unreachable

# Enable IGMP-Proxy with quick-leave
#
/routing igmp-proxy
set query-interval=30s quick-leave=yes

# Add igmp-proxy to wan-vlan4-TV as upstream, and lan-iptv as listening
#
/routing igmp-proxy interface
add interface=wan-vlan4-IPTV upstream=yes alternative-subnets=213.75.0.0/16,217.166.0.0/16 
add interface=lan-iptv


Waar ik nu specifiek tegen aanloop is dat ik ergens in die config nog IGMP snooping aan moet zetten, maar dus geen idee waar op de interface ? Moet er dan toch een bridge aangemaakt worden ?

Later op het todo lijstje:
  • Wireguard, voor als ik op reis ben
  • Wat algemene hygiene van router security en het uitzetten van onnodige features
  • IPv6 config op WAN
  • fatsoenlijke firewall rules :+

"Allow me to shatter your delusions of grandeur."


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

IGMP snooping doe je (inderdaad) op je switch, maar die heb je nu niet in je RB5009. Dus nu wordt altijd alles naar eth2 doorgezet...daar hoef je niets aan te "snoopen".

Misschien wel handig om firewall rules te gebruiken? Want je MikroTik staat nu echt wagenwijd open.

Eerst het probleem, dan de oplossing


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

lier schreef op woensdag 25 januari 2023 @ 13:36:
IGMP snooping doe je (inderdaad) op je switch, maar die heb je nu niet in je RB5009. Dus nu wordt altijd alles naar eth2 doorgezet...daar hoef je niets aan te "snoopen".

Misschien wel handig om firewall rules te gebruiken? Want je MikroTik staat nu echt wagenwijd open.
Top, IGMP snooping staat namelijk wel op de switch omgeving aan natuurlijk ;) Hij draait nu niet stand alone puur ter config (router on a stick in testlab :+), vandaar ook mijn todo lijstje die moeten er ook nog in voor ik de routers ga switchen.

Thanks voor het nakijken :D

"Allow me to shatter your delusions of grandeur."


  • Luckyluca
  • Registratie: Oktober 2020
  • Laatst online: 20-03 20:07
Luckyluca schreef op dinsdag 24 januari 2023 @ 17:54:
[...]


Ik heb even getest met mijn Microtik. Wanneer ik auto negotiaton aan heb gaat deze naar 1gbps. Zoals ook te verwachten van een 1gbps sfp module. Jammergenoeg krijg ik nogsteeds geen Rx op deze manier. Ook zie ik geen Rx wanneer de snelheid handmatig op 1gbps word ingesteld. Ik gebruik inmiddels ook de sfp die uit mijn door delta geleverde Genexis 7840 komt. Jammergenoeg vertoond deze dezelfde problemen. Ik zie trouwens wel dat er niks staat bij advertising en link-partner-advertising in het interface ethernet monitor commando. Van wat ik lees hoeft hier niks te staan wanneer je gebruikt maakt van een glaskabel. Klopt dit?

@lier om jouw vraag nog even snel te beantwoorden.
Ik heb het ook al geprobeerd met auto negotiation aan. Dit werkte alleen jammergenoeg niet. Ik had dit uitgezet aangezien ik hier en daar las dat er problemen waren met auto negotiation op de rb5009.


Hierbij ook nog de volledige output van het interface ethernet monitor sfp-sfpplus1 once commando:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
                      name: sfp-sfpplus1
                    status: link-ok
          auto-negotiation: done
                      rate: 1Gbps
               full-duplex: yes
           tx-flow-control: no
           rx-flow-control: no
               advertising: 
  link-partner-advertising: 
        sfp-module-present: yes
               sfp-rx-loss: no
              sfp-tx-fault: no
                  sfp-type: SFP-or-SFP+
        sfp-connector-type: SC
        sfp-link-length-sm: 20km
           sfp-vendor-name: GENEXIS
    sfp-vendor-part-number: 99618002
       sfp-vendor-revision: 1.0
         sfp-vendor-serial: H.0122167874
    sfp-manufacturing-date: 22041900
            sfp-wavelength: 1310nm
           sfp-temperature: 24C
        sfp-supply-voltage: 3.323V
       sfp-tx-bias-current: 17mA
              sfp-tx-power: -5.841dBm
              sfp-rx-power: -6.873dBm
           eeprom-checksum: good
                    eeprom: 0000: 03 04 01 00 00 00 52 12  00 01 01 01 0d 00 14 c8
  ......R. ........
                            0010: 00 00 00 00 47 45 4e 45  58 49 53 20 20 20 20 20
  ....GENE XIS     
                            0020: 20 20 20 20 00 00 00 00  39 39 36 31 38 30 30 32
      .... 99618002
                            0030: 20 20 20 20 20 20 20 20  31 2e 30 20 05 1e 00 00
           1.0 ....
                            0040: 00 1a 14 14 48 2e 30 31  32 32 31 36 37 38 37 34
  ....H.01 22167874
                            0050: 20 20 20 20 32 32 30 34  31 39 30 30 68 f0 05 2d
      2204 1900h..-
                            0060: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
  ........ ........
                            *
                            0080: 64 00 ce 00 55 00 d8 00  90 88 75 30 88 b8 79 18
  d...U... ..u0..y.
                            0090: 9c 40 01 f4 88 b8 02 ee  1f 07 03 1a 13 94 04 eb
  .@...... ........
                            00a0: 3d e9 00 20 27 10 00 32  ff ff ff ff ff ff ff ff
  =.. '..2 ........
                            00b0: ff ff ff ff ff ff ff ff  00 00 00 00 00 00 00 00
  ........ ........
                            00c0: 00 00 00 00 3f 80 00 00  00 00 00 00 01 00 00 00
  ....?... ........
                            00d0: 01 00 00 00 01 00 00 00  01 00 00 00 00 00 00 29
  ........ .......)
                            00e0: 18 00 81 d4 21 5f 0a 2d  08 06 ff fe 00 00 00 00
  ....!_.- ........
                            00f0: 00 10 00 00 00 10 00 00  00 00 00 00 00 00 00 00
  ........ ........
Hallo iedereen,

Ik wou nog even snel een update geven over het probleem waar dit bericht over gaat mochten hier nog meer mensen last van hebben. Na wat rondzoeken heb ik op het mikrotik forum een topic gevonden met hetzelfde probleem als dat ik ervaar. Hieruit bleek uiteindelijk dat de RB5009 nog niet heel lekker om gaat met sfp modulles. Dit is een software probleem maar hier is nog geen oplossing voor uitgebracht. Dit probleem vind zich alleen bij sommige sfp modulles plaats en kan eenvoudig worden opgelost door een media converter te gebruiken om je glaskabel om te laten lopen naar een utp kabel en dan één van je rj45 poorten als WAN poort te gebruiken tot er een oplossing is voor dit probleem. Hoopelijk komt er snel een update uit die dit oplost. En nog bedankt voor iedereen in dit forum die met mij mee heeft gedacht over wat het probleem kon zijn.

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

Zo gisterenavond, de hele config ingeladen en nagenoeg geen errors, paar kleine dingen zoals dat
#
# DHCP servers
#
/ip dhcp-server
add address-pool=IPTV-dhcp disabled=no interface=lan-iptv lease-time=4h options=option60-vendorclass,option28-broadcast name=iptv
Het meegeven van de opties in de dhcp server werkt dus klaarblijkelijk niet en de PPPoE client moest iets anders namelijk zonder profile.
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=wan-vlan6-Internet keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-client profile=kpn-ipv4 user=internet
Gelukkig hoeft de firewall op dit moment niet heel ingewikkeld dus (eigenlijk de enige eis is isolatie vlan guest/iptv naar internet/iptv) en zorgen dat het WAN interface er een beetje fatsoenlijk bijzit, dus dat is iets voor later vanmiddag :+

"Allow me to shatter your delusions of grandeur."


  • skwit8
  • Registratie: September 2020
  • Laatst online: 12-02 17:11
Hi,

Ik ben redelijk nieuw en hoop dat ik mijzelf kan ontwikkelen in het hele netwerken en internet gebeuren via de Mikrotik HW.

Ga mij binnenkort wagen aan de grote upgrade naar Mikrotik. Kom van simpele Mesh omgeving af en heb tmobile thuis met de"grijze"media converter (1000/1000).

Ik heb op dit moment de volgende onderdelen:

CRS-305-1G-4S (met 2 RJ45 SFP+ modules )
CRS326-24G-2S+IN
ASUS zenwifi XT12 dua (Tri-band).
NAS (ben ik nog aan het samenstellen (10gb)

Voor de time being denk ik erover om de ASUS de router functie te geven en alle switching aan de Mikrotiks over te laten ( na wat sparen wil ik een goede router van Mikrotik kopen). Wifi coverage van de ASUS is fenomenaal en dit wil ik later als AP aan de complete Mikrotik aansluiten.

Graag zou ik jullie aanbevelingen en do's en dont's vragen voor de volgende setup..

- Tmobile thuis direkt op CRS305 (SFP+)(switchOS gebruiken?/kan dit?)
- Port mirroring naar de ethernet poort ( kan ook een SFP+->RJ45 gebruiken maar 1gb is voor nu voldoende)(+ mediaconverter eruit)
- Ethernetpoort verbinden met XT12 Router en AiMesch opzetten voor WIFI en DHCP,etc..
- CRS326 via SFP+ verbinden met CRS305. (Is dit veilig zo??)
- NAS aansluiten op CRS305 (veilig?)

Kan zijn dat ik helemaal op het verkeerde pad zit (??) en zou graag advies willen vragen.

gr,Sellie

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
skwit8 schreef op donderdag 26 januari 2023 @ 22:30:
- Tmobile thuis direkt op CRS305 (SFP+)(switchOS gebruiken?/kan dit?)
- Port mirroring naar de ethernet poort ( kan ook een SFP+->RJ45 gebruiken maar 1gb is voor nu voldoende)(+ mediaconverter eruit)
- Ethernetpoort verbinden met XT12 Router en AiMesch opzetten voor WIFI en DHCP,etc..

Kan zijn dat ik helemaal op het verkeerde pad zit (??) en zou graag advies willen vragen.
Jij wil dus de SFP+ Switch als SFP naar RJ45 Media Converter inzetten :?

Dan moet je rekening houden met een aantal dingen :
- Of de SFP module van je ISP wel in de SFP+ poort gaat werken.
- Port Mirroring iets anders doet dan jij denkt : Dat gebruik je om verkeer te sniffen!
- Je dan gewoon met een apart VLAN op die twee poorten moet werken.
- De ARP tabel van je Switch dus ook MAC adressen van apparatuur op het netwerk van je ISP zal bevatten!
Voor sommigen kan dat onwenselijk zijn namelijk ;)

Succes alvast verder! :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • skwit8
  • Registratie: September 2020
  • Laatst online: 12-02 17:11
nero355 schreef op donderdag 26 januari 2023 @ 23:27:
[...]

Jij wil dus de SFP+ Switch als SFP naar RJ45 Media Converter inzetten :?

Dan moet je rekening houden met een aantal dingen :
- Of de SFP module van je ISP wel in de SFP+ poort gaat werken.
-> Op forums van Tmobile/Twekaers heb ik gelezen dat een SFP module(FS.com) (1310/1550 10km + een koppelstukje) gaat werken. Omdat ik een "grijze"mediaconverter heb, kan dit..

- Port Mirroring iets anders doet dan jij denkt : Dat gebruik je om verkeer te sniffen!
-> Klopt, maar als ik 1:1 door kan geven via de "switch chip" kan de mediaconverter eruit, omdat ik via de andere UTP naar de router kan gaan..

- Je dan gewoon met een apart VLAN op die twee poorten moet werken.
-> Vlan 300 als ik mij niet vergis (Tmobile). geen TV en telefonie.

- De ARP tabel van je Switch dus ook MAC adressen van apparatuur op het netwerk van je ISP zal bevatten!
-> Hier zit ik idd wel mee en vraag mij of of ik dit kan scheiden. Zodat mijn NAS en Switch volledig gebruik kunnen maken van de CRS305 (10gb/s ).

Voor sommigen kan dat onwenselijk zijn namelijk ;)

Succes alvast verder! :)
Dank je wel voor je feedback. Dat dit niet zomaar kan/mag voelde ik al een beetje aankomen. Stiekem hoop ik een mogelijke oplossing te vinden ( en te leren natuurlijk).

In ergste geval blijft de mediaconverter en gaat alles op 1gb zonder de CSR305 :(.

gr,Sellie

  • mukky
  • Registratie: December 2010
  • Laatst online: 22:40
skwit8 schreef op donderdag 26 januari 2023 @ 23:44:
[...]

In ergste geval blijft de mediaconverter en gaat alles op 1gb zonder de CSR305 :(.

gr,Sellie
Ik zou met die setup beginnen, dus een Mikrotik achter je mediaconverter en dan eerst je internetverbinding opzetten. Daarna kun je relatief eenvoudig ook je wireless opstelling vervangen door Mikrotik. De SFP implementatie van Mikrotik is een topic op zich, bewaar die als laatste zodat je niet meteen vastloopt in je nieuwe hobby. Have fun :)

  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
ShadowBumble schreef op donderdag 26 januari 2023 @ 08:33:
Zo gisterenavond, de hele config ingeladen en nagenoeg geen errors, paar kleine dingen zoals dat
Dat zijn beide zaken die afhankelijk zijn van het bestaan van een andere configuratieregel (DHCP options resp. een PPP profile).

Je hebt ze in dit geval beide ook niet nodig voor een verbinding van KPN (of afgeleide). De DHCP options slaan helemaal nergens op, die worden altijd klakkeloos overgekopiëerd om de een-of-andere reden.
skwit8 schreef op donderdag 26 januari 2023 @ 23:44:
Dank je wel voor je feedback. Dat dit niet zomaar kan/mag voelde ik al een beetje aankomen. Stiekem hoop ik een mogelijke oplossing te vinden ( en te leren natuurlijk).
Je leest z'n antwoord verkeerd. Het kan wel, alleen noemde jij wat zaken (bv. port mirroring) die hier niet aan de orde zijn. Kwestie van een apart untagged vlan aanmaken voor je SFP-naar-ethernet poorten, de rest kun je dan gebruiken voor je LAN.

Wat hierboven staat is ook wel waar: je switch gebruiken als mediaconverter levert geen functioneel voordeel op, misschien wil je dat voor het laatst bewaren.

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 18:53
Ik heb al een tijdje last van "traag" internet, KPN Glasvezel met de oude T-Mobile Glas SFP module in mijn Mikrotik hEX POE. Ik heb bijna een jaar nergens last van gehad, zat altijd rond de 880 Mbit/s. Prima voor een 1gigabit verbinding.
Maar laatste maanden ben ik al blij als ik 400mbit/s aantik en deze maand begint het pas echt vervelend te worden, kom tussen de 38mbit en 140 mbit uit. Dat is een beetje weinig als je je eigen filecloud draait en 2 mensen tegelijk thuiswerken met veel Zoomcalls en dan nog wat media af en toe automatisch wat download.. Als iemand dan nog iets als Netflix wil kijken wordt het vervelend.

Toevallig begon de terugval na de update naar RouterOS 7.5, ik kwam vanaf 6.48 denk ik.

Ik heb echter niks veranderd aan mijn configuratie. Misschien is dat juist het probleem? Moest je na de update iets opnieuw aanzetten, een vorm van hardware versnelling?

Ik zou echt niet weten hoe ik dit in de router zelf kan debuggen. Want de setup is simpel. Ik heb geen TV van KPN, het is puur internet.


KPN Klantenservice heeft een testje uitgevoerd (hij noemde het "Binnenkomend signaal" is 1gbit) maar dat leek meer administratief want ze kunnen geen test doen met de Mikrotik, daarvoor moet ik dus eerst hun modemrouter gaan uitpakken en aansluiten.. Dat ding zit nog sealed in doos sinds ik van T-Mobile overstapte naar KPN begin vorig jaar. Zit ik niet zo op te wachten..

Mocht iemand tips hebben, behalve de Mikrotik rebooten of 30seconden uitzetten, die heb ik al gedaan :+

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

Je zou je huidige configuratie kunnen posten, dan kunnen we kijken hoe je het opgezet hebt. De hEX POE is eigenlijk meer een switch (met routing capabilities). Het verbaast me dat je de 880Mbps hebt gehaald. Als ik kijk naar de testresultaten zou ik niet meer dan 600 Mbps verwachten.

Tav config (haal even alle persoonlijke gegevens weg):
/export file=bedenkeenleukenaam

Eerst het probleem, dan de oplossing


  • skwit8
  • Registratie: September 2020
  • Laatst online: 12-02 17:11
Dank je wel Thralas en mukky.

Ik ga het met jullie advies eerst eens proberen.

  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
lier schreef op vrijdag 27 januari 2023 @ 11:27:
Je zou je huidige configuratie kunnen posten, dan kunnen we kijken hoe je het opgezet hebt. De hEX POE is eigenlijk meer een switch (met routing capabilities). Het verbaast me dat je de 880Mbps hebt gehaald. Als ik kijk naar de testresultaten zou ik niet meer dan 600 Mbps verwachten.

Tav config (haal even alle persoonlijke gegevens weg):


[...]
Ik heb hier zelf ook de HEX zonder POE maar met fasttrack kan je de volle gig halen. Maar dat is echt zonder enige vorm van QoS en andere zaken die processorkracht innemen.

Zonder fasttrack kom ik niet boven de 250mbit. En toen ik FQ_codel voor het eerst probeerde rond de 100mbit maar dat is nu werkend met fasttrack met 200mbit limit.

Probeer je queues eens uit te zetten en fasttrack in je firewall rules aan en probeer dan nog eens.

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

sjaak88 schreef op vrijdag 27 januari 2023 @ 12:28:
Ik heb hier zelf ook de HEX zonder POE maar met fasttrack kan je de volle gig halen. Maar dat is echt zonder enige vorm van QoS en andere zaken die processorkracht innemen.
Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.

Eerst het probleem, dan de oplossing


  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
lier schreef op vrijdag 27 januari 2023 @ 12:53:
[...]

Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.
Ik heb de default firewall aanstaan, ShieldsUP! geeft aan dat het helemaal stealth dicht zit. Fasttrack is een soort hardware versnelling volgens mij. Pakketjes die kunnen dan door je firewall heen zonder gecheckt te worden oid.

Ben pas een paar weken nieuw met mikrotik en netwerken maar het is ontiegelijk leuk om van te leren.

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

Hoe heb je de test uitgevoerd, @sjaak88? Kan me namelijk niet voorstellen dat het WAN-LAN performance is geweest.

Eerst het probleem, dan de oplossing


  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
lier schreef op vrijdag 27 januari 2023 @ 14:20:
Hoe heb je de test uitgevoerd, @sjaak88? Kan me namelijk niet voorstellen dat het WAN-LAN performance is geweest.
Via speedtest.net en de bufferbloat test op wavevorm site.

  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
sjaak88 schreef op vrijdag 27 januari 2023 @ 12:28:
Ik heb hier zelf ook de HEX zonder POE
Appels en peren, die heeft een hele andere SoC.

Neemt niet weg dat ook de hEX POE met fasttrack een heel eind zou moeten komen. Zonder zou ik ook in de ordegrootte van 250 Mbit/s verwachten.

  • mbovenka
  • Registratie: Januari 2014
  • Laatst online: 29-03 12:29
Thralas schreef op vrijdag 27 januari 2023 @ 15:12:
[...]
Appels en peren, die heeft een hele andere SoC.
Klopt, maar als je naar de testresultaten op de MikroTik site kijkt, lijkt dat voor de performance niet zoveel uit te maken.

  • llagendijk
  • Registratie: April 2009
  • Laatst online: 22:02
skwit8 schreef op donderdag 26 januari 2023 @ 22:30:
Hi,

Ik ben redelijk nieuw en hoop dat ik mijzelf kan ontwikkelen in het hele netwerken en internet gebeuren via de Mikrotik HW.

Ga mij binnenkort wagen aan de grote upgrade naar Mikrotik. Kom van simpele Mesh omgeving af en heb tmobile thuis met de"grijze"media converter (1000/1000).

Ik heb op dit moment de volgende onderdelen:

CRS-305-1G-4S (met 2 RJ45 SFP+ modules )
CRS326-24G-2S+IN
ASUS zenwifi XT12 dua (Tri-band).
NAS (ben ik nog aan het samenstellen (10gb)

Voor de time being denk ik erover om de ASUS de router functie te geven en alle switching aan de Mikrotiks over te laten ( na wat sparen wil ik een goede router van Mikrotik kopen). Wifi coverage van de ASUS is fenomenaal en dit wil ik later als AP aan de complete Mikrotik aansluiten.

Graag zou ik jullie aanbevelingen en do's en dont's vragen voor de volgende setup..

- Tmobile thuis direkt op CRS305 (SFP+)(switchOS gebruiken?/kan dit?)
- Port mirroring naar de ethernet poort ( kan ook een SFP+->RJ45 gebruiken maar 1gb is voor nu voldoende)(+ mediaconverter eruit)
- Ethernetpoort verbinden met XT12 Router en AiMesch opzetten voor WIFI en DHCP,etc..
- CRS326 via SFP+ verbinden met CRS305. (Is dit veilig zo??)
- NAS aansluiten op CRS305 (veilig?)

Kan zijn dat ik helemaal op het verkeerde pad zit (??) en zou graag advies willen vragen.

gr,Sellie
Port mirroring is niet de oplossing zoals al aangegeven. Het is niet duidelijk wat je als router wilt gebruiken. Maar je kunt wel VLAN300 van de WAN poort naar je router sturen (tagged of untagged). Je CRS305 is niet als router te gebruiken (met een CRS309 zou dat wel kunnen).
Zonder wat meer informatie over wat je wilt is het niet simpel om meer hints te geven.

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

lier schreef op vrijdag 27 januari 2023 @ 12:53:
[...]

Heb je dan wel een "gewone" set aan firewall rules? Want dit lijkt echt enorm af te wijken van wat in de Test Results op de MiktoTik site staat.
Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).

"Allow me to shatter your delusions of grandeur."


  • skwit8
  • Registratie: September 2020
  • Laatst online: 12-02 17:11
llagendijk schreef op vrijdag 27 januari 2023 @ 16:14:
[...]

Port mirroring is niet de oplossing zoals al aangegeven. Het is niet duidelijk wat je als router wilt gebruiken. Maar je kunt wel VLAN300 van de WAN poort naar je router sturen (tagged of untagged). Je CRS305 is niet als router te gebruiken (met een CRS309 zou dat wel kunnen).
Zonder wat meer informatie over wat je wilt is het niet simpel om meer hints te geven.
Hmm, huiswerk voor mij om duidelijker te zijn..:).

Bedoeling was die mediaconverter eruit, (tijdelijk) Mikrotik switching met de ASUS als router en Wifi.
Met de 10g en switch hoopte ik thuis supersnel de NAS in te kunnen zetten (NAS heb ik nog niet besteld).

Bij nader inzien, zie ik nu in dat dit niet efficient is. Vandaag de knoop doorgehakt en de NAS op hold.

Heb de CCR2004-16g-2S+PC router besteld. De CSR 24port is overkill erlangs, maar ja ik heb m toch.
De 10g aspiraties komen wel later als de NAS er is (CSR305).

Van daaruit langzaam opbouwen en de NAS komt later wel.

Ik heb hopelijk alles volgende week binnen en ga ik eerst is alles via UTP aan te sluiten (geen SFP nog :) ) en de router up te krijgen.

Alvast bedankt voor de push en de reacties.Dit wordt nog een flinke uitdaging , maar ik ga zoveel mogelijk voorbereiden :).

gr,Sellie

  • lolgast
  • Registratie: November 2006
  • Laatst online: 21:35
ShadowBumble schreef op vrijdag 27 januari 2023 @ 17:02:
[...]


Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).
De default firewall config die je krijgt bij een reset (met default config aangevinkt uiteraard) is in mijn ogen dikke prima als uitgangspunt. Dan is alles van buitenaf dicht

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

lolgast schreef op vrijdag 27 januari 2023 @ 17:44:
[...]

De default firewall config die je krijgt bij een reset (met default config aangevinkt uiteraard) is in mijn ogen dikke prima als uitgangspunt. Dan is alles van buitenaf dicht
Top, dat is dan deze (alleen dan Incl Bogon & Remote Access List ), en onderstaand toegevoegd voor het archief als iemand anders het nog zoekt ;)

https://gist.github.com/g...1f3cebd068b0e8cfc83704b2e

en anders te zien via

code:
1
2
/system default-configuration
print


(moet je wel wat normalisatie doen van de code i.v.m. dat dat in script vorm is maar dat is dus hetzelfde als bovenstaan uitgaande van 1 LAN en 1WAN interface.

[Voor 5% gewijzigd door ShadowBumble op 27-01-2023 22:35]

"Allow me to shatter your delusions of grandeur."


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

ShadowBumble schreef op vrijdag 27 januari 2023 @ 17:02:
Heb jij een concreet config snippet over wat jij verstaat onder basis set firewall rules ? Ik zoek een goed voorbeeld om verder op te bouwen maar er zijn zoveel voorbeelden (zonder context).
code:
1
2
3
4
5
6
7
8
9
10
11
12
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

[Voor 40% gewijzigd door lier op 27-01-2023 22:52]

Eerst het probleem, dan de oplossing


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

Nou, vandaag maar eens geprobeerd om alles netjes in banen te krijgen en dus de RB5009 gedeployed in plaats van mijn USG4-PRO.

Alles wat bekabeld was kwam redelijk okayish terug op het koste wat reboots etc maar so far so good, geen problemen met internet voor in ieder geval alles wat bekabeld was.

1 min puntje al mijn Unifi devices zijn unmanagable geworden, kan nergens meer bij en de controller die op de NAS draait ziet geen enkel device meer. Dus sneeuwbal effect is weer lekker bezig want omdat alles unmangable is geworden zijn alle twee mijn wifi netwerken down (en dus al mijn draadloze devices).

Dat wordt weer een flink middagje aan de bak, maar vooralsnog lijkt het erop alsof alles gereset gaat worden want ik krijg met geen mogelijkheid de controle terug.

Waarschijnlijk zit het probleem in de switch van untagged naar tagged maar ja zie dan maar eens je controle terug te krijgen ( immers je switches worden aangestuurd door de controller die de devices niet meer ziet :S )

"Allow me to shatter your delusions of grandeur."


  • lolgast
  • Registratie: November 2006
  • Laatst online: 21:35
@ShadowBumble En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.

Om dat te voorkomen heb ik destijds een extra Unifi switch gebruikt waarop ik kon testen of alles goed werkte via de Mikrotik en zodra ik overtuigd van de config was heb ik de USG pas vervangen.

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

lolgast schreef op maandag 30 januari 2023 @ 13:41:
@ShadowBumble En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.

Om dat te voorkomen heb ik destijds een extra Unifi switch gebruikt waarop ik kon testen of alles goed werkte via de Mikrotik en zodra ik overtuigd van de config was heb ik de USG pas vervangen.
Dat is inderdaad wel een flink domper daarvan, ik heb nu het volgende gedaan. Ik heb op mijn Mikrotik een secondary ip adress range gezet (untagged) en op de controller wat static routes opgenomen.

Ik kan nu in iedergeval met ssh bij mijn switch omgeving waardoor ik de set-inform naar de controller kan laten wijzen maar helemaal soepel gaat het (re)adopten nog niet.

/EDIT

Inmiddels 2 Switches en een AP recovered, de Flex mini's zijn een dingetje ;) die hebben geen SSH interface namelijk en zoeken voor adopt altijd naar http://unifi:8080/inform. De Andere AP had ik tijdens troubleshooten eerder vandaag gereset. Die zal dus in zijn default subnet zitten wat ik even nog moet toevoegen :+

[Voor 16% gewijzigd door ShadowBumble op 30-01-2023 14:20]

"Allow me to shatter your delusions of grandeur."


  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
ShadowBumble schreef op maandag 30 januari 2023 @ 13:25:
1 min puntje al mijn Unifi devices zijn unmanagable geworden, kan nergens meer bij en de controller die op de NAS draait ziet geen enkel device meer. Dus sneeuwbal effect is weer lekker bezig want omdat alles unmangable is geworden zijn alle twee mijn wifi netwerken down (en dus al mijn draadloze devices).

Dat wordt weer een flink middagje aan de bak, maar vooralsnog lijkt het erop alsof alles gereset gaat worden want ik krijg met geen mogelijkheid de controle terug.
lolgast schreef op maandag 30 januari 2023 @ 13:41:
En dat is meteen mijn grootste kritiekpunt op die Unifi spullen. Ik heb ze zelf ook hoor, maar zodra je controller down is kun je eigenlijk niets meer.
Sorry, maar dan heb je echt iets gruwelijk verkeerd gedaan! :/

- De WiFi netwerken horen gewoon te blijven draaien als je de UniFi Controller uitzet!
- Zolang je VLAN 1 als Management VLAN aanhoudt dan kan er weinig verkeerd gaan!
- Zelf als je de hele UniFi Controller sloopt, maar nog steeds de login details weet dan ben je weer binnen 15 minuten UP & Running door alles via de webGUI te "jatten" van je vorige installatie en hoef je alleen maar de Settings die je graag wilt hebben opnieuw toe te passen ZONDER de boel te resetten! :*)

Hetzelfde geldt trouwens voor de TP-Link Omada reeks, waarbij alleen het laatste puntje misschien wat anders kan zijn! :)
ShadowBumble schreef op maandag 30 januari 2023 @ 14:03:
Inmiddels 2 Switches en een AP recovered, de Flex mini's zijn een dingetje ;) die hebben geen SSH interface namelijk en zoeken voor adopt altijd naar http://unifi:8080/inform.
Dat ding is echt gewoon troep en had nooit mogen bestaan! :r

IMHO word je veel blijer van een net zo dure/goedkope TP-Link 105E of 105PE of één van de Netgear GS105 modellen voor zover die nog te koop zijn in de E of PE uitvoering :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

nero355 schreef op maandag 30 januari 2023 @ 15:21:

Sorry, maar dan heb je echt iets gruwelijk verkeerd gedaan! :/
Klopt, kijk nog eens naar mijn config hierboven en je spot vast mijn fout ;) Ik ben gegaan van een untagged naar een volledig tagged omgeving, dus na de switch storten alles langzaam in. Dat duurde even voor ik alles door had :) Daarna gewoon een een untagged range op de interface gezet, daarmee kon ik mijn switch/ap omgeving herstellen (via ssh) naar de al bestaande controller door set-inform te doen.

De flex mini was de meest uitdagende, dat heb ik uiteindelijk opgelost door simpel weg een DHCP server te draaien op de untagged interface en optie 43 te configuren in de DHCP server, zodat de flex mini een ip kreeg en gelijk een routed controller adres. Daarna was het kwestie van adopt drukken en dan herstelt aan de hand van het mac de controller de config het device :D
nero355 schreef op maandag 30 januari 2023 @ 15:21:
Dat ding is echt gewoon troep en had nooit mogen bestaan! :r

IMHO word je veel blijer van een net zo dure/goedkope TP-Link 105E of 105PE of één van de Netgear GS105 modellen voor zover die nog te koop zijn in de E of PE uitvoering :)
Ik neem aan dat je het over de flex mini hebt ach het doet waarvoor het is aangeschaft en voor die 3 tientjes een PoE powered switch met vlan support vind ik een prima aankoop :)

"Allow me to shatter your delusions of grandeur."


  • wolkewietje
  • Registratie: Juli 2010
  • Laatst online: 20-02 23:07
Goede dag allen.
Ik ben een paar maanden terug moeten verhuizen omdat 3 hoog met boodschappen niet meer te doen was voor me.
Het overzetten naar mijn nieuwe adres van mijn Hap AC3 lukt goed en ik heb internet.
Maar omdat ik eerst altijd via een schotel keek en op dit adres meer moet gaan betalen voor canal digitaal, heb ik de TV box van T-mobiel thuis gevraagd en wil via hun (ook mijn internet provider) de TV programma's bekijken.
Gebruik ik dat zyxel modem van t-mobiel dan heb ik mijn netwerk wel werkend maar een beveiliging van lik mijn vestje maar kan wel tv kijken.

voeg ik de regels:
code:
1
2
3
4
5
/interface vlan
add interface=ether1 name=vlan-tv vlan-id=640

/ip dhcp-client
add disabled=no interface=vlan-tv

Dan zie ik wel een nieuw IP adres verschijnen voor het tv signaal maar met de info van netwerkje.com lukt het me niet om die media box goed naar buiten te laten kijken en trek ik soms zelfs mijn werkend netwerk er onder uit zodat ik die weer opnieuw moet laden.

Op dit moment gaat mijn woonkamer/slaapkamer internet via poort 3 door een hub/switch omdat de CAT6 kabel van uit de meterkast onder de grond door een muur moet om in mijn woning te komen
Ook poort 2 gaat via een andere pijp mijn woning in om bij mijn gewone netwerk gedeelte uit te komen
Op poort 3 zijn aangesloten: mediabox, internet radio, laptop x2 en extra NAS voor films af te spelen op mijn TV.

Poort 4 wordt mijn home assistent via een raspberry pi
Poort 5 wordt een IP beveiligings camera.
Ik hoop dat iemand mij kan helpen met de ontbrekende regels zodat ik mijn eigen netwerk weer optimaal kan gaan gebruiken en beveiligen.

  • g1n0
  • Registratie: Maart 2016
  • Niet online
@wolkewietje wat bedoel je met “lukt het me niet om die media box goed naar buiten te laten kijken”? Je hebt dus internet en tv goed werkend, maar mist de firewall regels?

Is altijd een tijdrovend klusje om je firewall goed in te stellen. Ik begin zelf altijd met het blocken van al het verkeer (met logging aan) en kijken wat er doorheen moet gaan. Daar maak je regels voor aan en heb je uiteindelijk een sterke firewall.

PS: gebruik de Safe-mode, dan kun je jezelf niet uitsluiten. Zelf gebruik ik het nooit, maar hoor er goede verhalen over. :)

  • wolkewietje
  • Registratie: Juli 2010
  • Laatst online: 20-02 23:07
Internet met mikrotik werkt maar ik krijg geen IPTV signaal op de media box binnen.
De Vlan 640 verbinding gaat van af de Mikrotik niet mijn netwerk in.
Ik heb zelfs voor dat stuk geen enkele firewal regels gemaakt omdat die box nog niet gezien word in mijn netwerk.

[Voor 27% gewijzigd door wolkewietje op 31-01-2023 01:33]


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

Als ik kijk naar deze uitleg, dan mis je heel veel instellingen (het hele routeren staat niet in je [code] blok):
https://www.t-mobile.nl/C...modem-tv-instellingen.pdf

Daarnaast, volgens mij is netwerkje.com alleen bedoeld voor KPN, maar dat kan ik verkeerd hebben.

Eerst het probleem, dan de oplossing


  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
wolkewietje schreef op dinsdag 31 januari 2023 @ 00:07:
Maar omdat ik eerst altijd via een schotel keek en op dit adres meer moet gaan betalen voor canal digitaal, heb ik de TV box van T-mobiel thuis gevraagd en wil via hun (ook mijn internet provider) de TV programma's bekijken.
Je bent dus een nieuwe klant :?

Dan kan je gewoon via je WAN IPTV kijken als het goed is! :*)

Tagged VLAN 300 op DHCP zetten en gaan met die banaan! :Y)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • wolkewietje
  • Registratie: Juli 2010
  • Laatst online: 20-02 23:07
Dat werkt dus niet.
Ik ga mijn computer die ik boven heb staan miet gebruiken als tv decoder met een belabberde resolutie en mijn 10 jaar oude laptop houd dat ook niet vol.

Ja ik weet dat er een TV app is maar die eist versie 4 van mijn tv os terwijl die op 3 blijft staan omdat hij schijnbaar net te oud is toen ik hem 2 jaar terug kocht.

VLAN 300 = internet en dat werkt
VLAN 640 = TV en dit heeft op de buiten connectie een ip nummer maar gaat niet verder mijn netwerk in

  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
wolkewietje schreef op dinsdag 31 januari 2023 @ 19:36:
Dat werkt dus niet.
Ik ga mijn computer die ik boven heb staan miet gebruiken als tv decoder met een belabberde resolutie en mijn 10 jaar oude laptop houd dat ook niet vol.

Ja ik weet dat er een TV app is maar die eist versie 4 van mijn tv os terwijl die op 3 blijft staan omdat hij schijnbaar net te oud is toen ik hem 2 jaar terug kocht.

VLAN 300 = internet en dat werkt
VLAN 640 = TV en dit heeft op de buiten connectie een ip nummer maar gaat niet verder mijn netwerk in
Je hebt geen VLAN 640 meer nodig bedoelt nero355, bij nieuwe klanten werkt alles op VLAN 300, ook iTV.

  • wolkewietje
  • Registratie: Juli 2010
  • Laatst online: 20-02 23:07
Dan ben ik dus duidelijk een oude klant.
Ik heb al 2 jaar of iets langer T-mobiel als provider.
Alleen die TV stuk werkt bij mij via hun oude settop box en die zit via de zelfde switch als waar mee ik radio via internet luister als anime filmpjes via mijn laptop kijk.
En dat het stukje met de switch werkt weet ik omdat het zyxel modem geplaatst wel TV oplevert maar mijn mikrotik modem niet.

  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
wolkewietje schreef op dinsdag 31 januari 2023 @ 19:54:
Dan ben ik dus duidelijk een oude klant.
Ik heb al 2 jaar of iets langer T-mobiel als provider.
Alleen die TV stuk werkt bij mij via hun oude settop box en die zit via de zelfde switch als waar mee ik radio via internet luister als anime filmpjes via mijn laptop kijk.
En dat het stukje met de switch werkt weet ik omdat het zyxel modem geplaatst wel TV oplevert maar mijn mikrotik modem niet.
Dan moet je inderdaad wel VLAN640 gebruiken, maar als ik het zo even snel lees werkt het toch anders dan bij KPN.
Zit je op DSL of glas? Kennelijk moet je bij DSL ip adressen routen.

Van T-mobile forum geplukt;

In de router staat een default route die aangeeft dat al het verkeer naar het internet VLAN moet gaan. Daar moeten de volgende routes worden toegevoegd zodat verkeer dat naar een IP-adres uit de adresreeksen gaat, over het TV_VLAN gestuurd wordt. Dit geldt alleen voor DSL. Maak je gebruik van Glasvezel? Dan hoeven er geen specifieke TV-VLAN settings ingesteld te worden. Had je dit voorheen met Interactieve TV wel? Dan kan je deze settings dus verwijderen.

In de router moeten de volgende routes worden ingesteld als route naar het TV-VLAN (640):

10.12.255.0 255.255.255.0 /24

10.10.254.0 255.255.255.0 /24

10.10.26.0 255.255.255.0 /24

10.10.108.0 255.255.255.0 /24

10.18.0.0 255.255.240.0 /20

10.12.254.0 255.255.255.0 /24

10.10.24.0 255.255.255.192 /26

10.200.0.0 255.255.252.0 /22

Zie ook; https://community.t-mobil...-modem-324520/index1.html

  • wolkewietje
  • Registratie: Juli 2010
  • Laatst online: 20-02 23:07
Ik heb alleen een glas verbinding naar buiten.
De originele verbinding liep eerst via KPN op dit adres maar de monteur van T-mobiel heeft dat netjes in orde gemaakt.

[edit]
Ik ga morgen even kijken hoe het zit met al deze extra ip nummers.

[Voor 19% gewijzigd door wolkewietje op 31-01-2023 20:11]


  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

Ben nu 2 weken verder en die MikroTik ax3 werkt erg goed. Maar dat instellen is nog wat. Heb o.a. DoH geprobeerd maar toch maar weer verwijderd. Lees/hoor er teveel nadelen over. Hoop dat ik het goed heb gedaan dat verwijderen. Binnenkort dan maar eens in de weer met Wireguard e.d.

Onderstaand mijn config, hoor graag als ik daar nog rare dingen in heb zitten.

code:
1
2
3
Op verzoek ander uitdraai gemaakt, 
zie paar posts hieronder, 
nu staat de aangepaste versie in pastebin: https://pastebin.com/DEGjJiP5

[Voor 98% gewijzigd door MrMarcie op 01-02-2023 10:24. Reden: code aangepast]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
MrMarcie schreef op dinsdag 31 januari 2023 @ 21:31:
Onderstaand mijn config, hoor graag als ik daar nog rare dingen in heb zitten.
Maak daar eens een 'gewone' export van. Een verbose export is per definitie onleesbaar en vervuilt het topic..
Daarnaast vrees ik dat je zonder specifiekere vragen niet veel feedback krijgt. Op de firewall na is het al snel oké als het werkt.

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

Thralas schreef op dinsdag 31 januari 2023 @ 21:45:
[...]


Maak daar eens een 'gewone' export van. Een verbose export is per definitie onleesbaar en vervuilt het topic..
Daarnaast vrees ik dat je zonder specifiekere vragen niet veel feedback krijgt. Op de firewall na is het al snel oké als het werkt.
Wat is een 'gewone' export? Lijkt me dat dit er een is toch?

code:
1
export file=filename verbose

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
MrMarcie schreef op dinsdag 31 januari 2023 @ 22:24:
[...]

Wat is een 'gewone' export? Lijkt me dat dit er een is toch?

code:
1
export file=filename verbose
Zonder 'verbose'.

[Voor 19% gewijzigd door Thralas op 31-01-2023 22:34]


  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 18:53
lier schreef op vrijdag 27 januari 2023 @ 11:27:
Je zou je huidige configuratie kunnen posten, dan kunnen we kijken hoe je het opgezet hebt. De hEX POE is eigenlijk meer een switch (met routing capabilities). Het verbaast me dat je de 880Mbps hebt gehaald. Als ik kijk naar de testresultaten zou ik niet meer dan 600 Mbps verwachten.

Tav config (haal even alle persoonlijke gegevens weg):


[...]
Bij deze:

https://pastebin.com/U1UENVBu

Ik gebruik een script die checkt of mijn server nog wel DNS requests kan handelen (AdGuard Home), zo niet, valt hij terug op de DNS servers die in de router zijn ingesteld via NAT regel. Zoja, blokkeert hij poort 53 en stuurt deze door naar mijn server via NAT regels. Echter 1 regeltje heb ik per ongeluk gewist (die terugvalt naar de router) dus die zit hier niet tussen.

Gek genoeg haal ik nu 's avonds laat 1.1 Gbps/710Gbps (down/up) via Fast.com en 810/690 via KPN speedtest. Dit komt redelijk overeen met wat ik vorig jaar haalde.
Vanochtend 2x en in de middag 2x getest, altijd ruim onder de 250mbps down/up.
Het lijkt me dus echt een probleem dat KPN zelf heeft veroorzaakt, teveel klanten op de lijn?

Aan de andere kant, misschien is de hEX POE gewoon niet meer 100% ofzo?

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

https://pastebin.com/DEGjJiP5
Korter.

[Voor 225% gewijzigd door MrMarcie op 01-02-2023 00:15]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
Veel beter inderdaad.

Als je die nu even in de plaats van de verbose export zet ;)

Ik heb er vluchtig naar gekeken, maar het lijkt me een prima basisconfiguratie voor KPN (of iets dat erop lijkt). Je hebt de interface lists gebruikt zoals het hoort en de default firewall staat nog. d:)b

Volgens mij is 't prima.

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

Thralas schreef op woensdag 1 februari 2023 @ 08:39:
[...]


Veel beter inderdaad.

Als je die nu even in de plaats van de verbose export zet ;)

Ik heb er vluchtig naar gekeken, maar het lijkt me een prima basisconfiguratie voor KPN (of iets dat erop lijkt). Je hebt de interface lists gebruikt zoals het hoort en de default firewall staat nog. d:)b

Volgens mij is 't prima.
Dank je, dat wilde ik even horen. Omdat dat RouterOS nieuw is voor me. Maar begin er langzaam aan aan te wennen. En ik moet nog wel e.e.a. leren over de mogelijkheden. Maar dat vind ik alleen maar leuk. En ja is config voor KPN internet-only.

EDIT
Vanavond de eerste hikup gehad. Hoop niet dat dat gewoonte wordt. Kom thuis, heb IP ook de PC's en TV maar toch geen internet. Inloggen op die ax3 maar niks bijzonders. Herstart en alles werkt weer. Dat dan weer wel gelukkig.

[Voor 14% gewijzigd door MrMarcie op 01-02-2023 22:36. Reden: Edit toegevoegd]

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
Over een paar dagen krijg ik mijn MikroTik RB5009UG+S+IN binnen. Ik keek vandaag voor de gein op getic.com en er waren er gewoon 3 op voorraad :)

Hopelijk is deze wel in staat om de volle 1 gig met QoS te doen, dat was namelijk niet mogelijk met mijn Hex, die kwam stabiel tot 200mbit.

Ik kan niet wachten om ermee te spelen!

  • sjaak88
  • Registratie: Augustus 2004
  • Laatst online: 23:35
Op dit moment zijn er nog 7 stuks van RB5009UG+S+IN bij Getic. Dus voor degene die nog opzoek zijn;

https://www.getic.com/product/mikrotik-rb5009ug-s-in

  • tikkietrugjaap
  • Registratie: Juli 2005
  • Laatst online: 23-03 19:18
Goedemorgen,

Na wat wikken en wegen heb ik niet al te lang geleden ook een Mikrotik router (RB750Gr3 / Hex) gekocht om de Experiabox te vervangen. Ik heb al een Ubiquiti EdgeSwitch en 3 AC-Lite's waardoor een EdgeRouter een logische keuze was geweest maar gezien de ontwikkelingen bij Ubi heb ik daar maar van afgezien.

Aanvankelijk had ik netwerkje.com gevonden maar het lijkt erop dat de informatie op die site wat achterhaald is. Gelukkig heb ik onlangs de Github pagina van project 'Eigenrouter' gevonden: https://github.com/Eigenr...tree/main/guides/mikrotik.
Ik gok dat de auteurs van die pagina hier ook wel te vinden zijn, dus hartelijk bedankt!

Na die stappen te hebben gevolg heb ik nog mijn firewall aangevuld met hetgeen Mikrotik zelf aangeeft op https://help.mikrotik.com...lding+Your+First+Firewall. Ook heb ik de nodige zaken uitgezet na het lezen van een site zoals https://www.manitonetwork...mikrotik-router-hardening. Mijn beveiliging lijkt nu redelijk solide in elkaar te steken.

Het enige wat ik nu nog wil doen is:
  • VLAN's uitvogelen zodat ik de verschillende zaken van mijn LAN kan scheiden (TV-kastje, Chromecast, Gast-netwerk, etc).
  • Port forwarding voor mijn Ubuntu server.
  • Wireguard verbinding voor mijn Ubuntu server.
  • DNS via zoiets als Pi-hole laten lopen.
  • Deze RB750Gr3/Hex is een probeersel. Daarna wil ik de router upgraden naar een zwaarder model zodra ik vind ik dat genoeg kennis/controle heb over RouterOS.
Hieronder mijn export bestand. Ik zou het tof vinden als jullie hem kunnen bekijken en kritiek/tips zouden kunnen geven.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
# feb/23/2023 09:28:06 by RouterOS 7.7
# software id = 
#
# model = RB750Gr3
# serial number = 
/interface bridge
add arp=proxy-arp name=local
/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 name=vlan1.6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan1.6 \
    keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=ppoe-client user=kpn
/interface list
add comment="ether2 - ether5" name=LAN
add comment="Only ether1" include=static name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.0.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcppoolhome ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcppoolhome dhcp-option-set=IPTV interface=local \
    lease-time=8h name=dhcp-home
/port
set 0 name=serial0
/interface bridge port
add bridge=local interface=ether2
add bridge=local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 interface=local network=192.168.0.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=210 \
    dhcp-options=option60-vendorclass interface=vlan1.4 use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 domain=home.local gateway=\
    192.168.0.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
/ip firewall filter
add action=accept chain=input in-interface=ppoe-client protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=ppoe-client
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NATted" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ppoe-client
add action=masquerade chain=srcnat comment=IPTV dst-address=213.75.0.0/16 \
    out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV dst-address=217.166.0.0/16 \
    out-interface=vlan1.4
add action=masquerade chain=srcnat comment=IPTV dst-address=10.207.0.0/20 \
    out-interface=vlan1.4
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes
add interface=local
/system clock
set time-zone-name=Europe/Amsterdam
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no

Prima.


  • ronjon
  • Registratie: Oktober 2001
  • Laatst online: 28-03 20:57
Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard

  • tikkietrugjaap
  • Registratie: Juli 2005
  • Laatst online: 23-03 19:18
ronjon schreef op donderdag 23 februari 2023 @ 19:45:
Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard
Mijn Ubuntu-server is ooit begonnen als oefenomgeving om wat meer kennis over unix-achtige systemen op te doen. Hij is inmiddels een beetje doorgegroeid naar manusje-van-alles waaronder torrenting, Jellyfin en soms dedicated Valheim-server. Met portforwarding bedoel ik dat ik de server dus bereikbaar moet zijn vanaf het internet voor specifieke taken.

Prima.


  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:23
ronjon schreef op donderdag 23 februari 2023 @ 19:45:
Wat wil je doen met portforwarding voor je Ubuntu server? Als je deze van buitenaf wil benaderen zou ik dat doen dmv wireguard
Dan moet dat UDP poortje wel OPEN staan! :+

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 22:23
Versie 7.8 is uit:

download: RouterOS 7.8

ZZP'er en kijken of MoneyMonk iets voor jou is? DM me voor 50% korting in het eerste jaar (en ik 'n cadeaubon)!


  • mukky
  • Registratie: December 2010
  • Laatst online: 22:40
Deze viel mij op: route - fixed IPv6 default route presence when received from RA

Benieuwd wat er nu precies veranderd is. Ik heb "Add Default Route" nu uitstaan bij IPv6 maar IPv6 werkt wel. Iemand enig idee wat hier nu de bedoeling van is?

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 22:03
Ik vind het een mooie changelog. Zo op het oog zijn er geen grote wijzigingen, en betreft het vooral relatief kleine fixes. De enige die ik niet snap is:
swos - removed "/system swos" menu for CRS5xx series switches
Maakt me ook niet echt uit, maar ben wel benieuwd of dat er nou wel echt tussen hoort in het lijstje voor RouterOS.

Nu het geheel stabieler lijkt (mijn interpretatie) te worden, ben ik benieuwd of we binnenkort ook een Long Term Support release gaan zien voor v7. Op productie draai ik nu nog 7.1.1, en heb me voorgenomen die te gaan upgraden nadat er een Long Term Release is.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


  • kariem112
  • Registratie: Januari 2002
  • Niet online
Ik heb sinds enkele weken ook een MT router. Internet provider is Freedom (Glas, via Cambrium). Het internet werkt prima, maar ik krijg met geen mogelijkheid de STB aan de praat. Hij start op, kan de server bereiken en de tijd syncen... daarna het scherm met 4 blauwe ballen, verder komt die niet. Kan iemand wat vreemds in deze config zien?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
# mar/06/2023 07:14:55 by RouterOS 7.8
# software id = MU77-FSU5
#
# model = RB5009UG+S+

/interface bridge
add arp=proxy-arp comment="LAN bridge." igmp-snooping=yes membership-interval=5m multicast-router=permanent name=lan-bridge protocol-mode=none vlan-filtering=yes
/interface vlan
add arp=disabled comment="IPTV VLAN." interface=lan-bridge name=iptv-vlan vlan-id=4
add arp=disabled comment="Internet VLAN." interface=lan-bridge mtu=1508 name=wan-vlan vlan-id=6
/interface list
add comment="IPTV interface list." name=IPTV
add comment="LAN interface list." name=LAN
add comment="WAN interface list." name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.100.1-192.168.100.99,192.168.100.101-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=lan-bridge name=dhcp1
/ppp profile
add change-tcp-mss=no name=wan-profile use-compression=no use-encryption=yes use-mpls=no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=wan-vlan name=wan-pppoe profile=wan-profile user=fake@freedom.nl
/interface bridge port
add bridge=lan-bridge interface=ether1
add bridge=lan-bridge interface=ether2
add bridge=lan-bridge interface=ether3
add bridge=lan-bridge interface=ether4
add bridge=lan-bridge interface=ether5
add bridge=lan-bridge interface=ether6
add bridge=lan-bridge interface=ether7
add bridge=lan-bridge interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=LAN protocol=""
/ip settings
set icmp-rate-mask=0x1919 max-neighbor-entries=8192 rp-filter=strict secure-redirects=no send-redirects=no tcp-syncookies=yes
/interface bridge vlan
add bridge=lan-bridge comment="Internet VLAN." tagged=ether1,lan-bridge vlan-ids=6
add bridge=lan-bridge comment="IPTV VLAN." tagged=ether1,lan-bridge,ether3 vlan-ids=4
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=iptv-vlan list=IPTV
add interface=lan-bridge list=LAN
add interface=wan-pppoe list=WAN
/ip address
add address=192.168.100.100/24 comment="LAN IPv4 address." interface=lan-bridge network=192.168.100.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no interface=iptv-vlan use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.100
/ip dns
set servers=185.93.175.43,185.232.98.76
/ip firewall address-list
add address=192.168.100.0/24 comment="LAN subnet." list=lan-subnet
/ip firewall filter
add action=fasttrack-connection chain=forward comment="FastTrack established / related forward." connection-state=established,related hw-offload=yes in-interface-list=WAN
add action=accept chain=forward comment="Established / related / untracked." connection-state=established,related,untracked in-interface-list=WAN
add action=drop chain=forward comment="Drop invalid connections." connection-state=invalid in-interface-list=WAN
add action=accept chain=forward comment="Accept DSTNATed from WAN." connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="Reject the TCP protocol to the internal network." in-interface-list=WAN protocol=tcp reject-with=tcp-reset
add action=reject chain=forward comment="Reject other protocols to the internal network." in-interface-list=WAN reject-with=icmp-host-unreachable
add action=drop chain=forward comment="Stealth to the internal network." in-interface-list=WAN
add action=accept chain=input comment="Accept established / related / untracked." connection-state=established,related,untracked in-interface-list=WAN
add action=drop chain=input comment="Drop invalid connections." connection-state=invalid in-interface-list=WAN
add action=accept chain=input comment="Accept the ICMP protocol to the router." in-interface-list=WAN protocol=icmp
add action=reject chain=input comment="Reject the TCP protocol to the router." in-interface-list=WAN protocol=tcp reject-with=tcp-reset
add action=reject chain=input comment="Reject other protocols to the router." in-interface-list=WAN reject-with=icmp-host-unreachable
add action=drop chain=input comment="Stealth to the router." in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade the local network." out-interface-list=WAN src-address-list=lan-subnet
add action=masquerade chain=srcnat comment="Masquerade to the IPTV network." out-interface-list=IPTV src-address-list=lan-subnet
add action=masquerade chain=srcnat comment="Hairpin local network." dst-address-list=lan-subnet src-address-list=lan-subnet
/ip firewall raw
add action=drop chain=prerouting comment="Drop blacklisted hosts." in-interface-list=WAN src-address-list=blacklist
add action=drop chain=prerouting comment="Drop UDP port 0." in-interface-list=WAN port=0 protocol=udp
add action=jump chain=prerouting comment="Jump to ICMP chain." in-interface-list=WAN jump-target=icmp protocol=icmp
add action=jump chain=prerouting comment="Jump to TCP chain." in-interface-list=WAN jump-target=tcp protocol=tcp
add action=accept chain=icmp comment="0:0 (Echo reply) and limit for 5 packets/sec, burst 10." icmp-options=0:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp comment="3:0 (Net Unreachable)." icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="3:1 (Host unreachable)." icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="3:2 (Protocol unreachable)." icmp-options=3:2 protocol=icmp
add action=accept chain=icmp comment="3:3 (Port unreachable)." icmp-options=3:3 protocol=icmp
add action=accept chain=icmp comment="3:4 (Fragmentation needed)." icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="3:10 (The destination host is administratively prohibited)." icmp-options=3:10 protocol=icmp
add action=accept chain=icmp comment="3:13 (Communication administratively prohibited)." icmp-options=3:13 protocol=icmp
add action=accept chain=icmp comment="8:0 (Echo request - no code) and limit for 5 packets/sec, burst 10." icmp-options=8:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp comment="11:0-255 (Time exceeded)." icmp-options=11:0-255 protocol=icmp
add action=log chain=icmp comment="ICMP IPv4 dropped." log-prefix="[ICMP IPv4 dropped]: " protocol=icmp
add action=drop chain=icmp comment="ICMP drop everything else." protocol=icmp
add action=drop chain=tcp comment="TCP drop invalid flags filter." protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=tcp protocol=tcp tcp-flags=fin,syn
add action=drop chain=tcp protocol=tcp tcp-flags=fin,rst
add action=drop chain=tcp protocol=tcp tcp-flags=fin,!ack
add action=drop chain=tcp protocol=tcp tcp-flags=fin,urg
add action=drop chain=tcp protocol=tcp tcp-flags=rst,urg
add action=drop chain=tcp protocol=tcp tcp-flags=syn,rst
add action=drop chain=tcp comment="TCP port 0 drop." port=0 protocol=tcp
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip route
add disabled=no dst-address=10.60.142.0/24 gateway=iptv-vlan
add disabled=no dst-address=217.166.224.0/21 gateway=iptv-vlan
/ip service
set telnet address=192.168.100.0/24 disabled=yes
set ftp address=192.168.100.0/24 disabled=yes
set www address=192.168.100.0/24 disabled=yes
set ssh address=192.168.100.0/24
set www-ssl address=192.168.100.0/24
set api address=192.168.100.0/24 disabled=yes
set winbox address=192.168.100.0/24
set api-ssl address=192.168.100.0/24 disabled=yes
/ip ssh
set strong-crypto=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=lan-bridge type=internal
add interface=wan-pppoe type=external
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=192.168.100.0/24 interface=lan-bridge
add alternative-subnets=217.166.224.0/21 interface=iptv-vlan upstream=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp.time.nl
/tool bandwidth-server
set authenticate=no enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


IPTV zit intern ook op een apart VLAN.

Acties:
  • +1Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

kariem112 schreef op maandag 6 maart 2023 @ 07:19:
Kan iemand wat vreemds in deze config zien?
Ja, je stuurt VLAN 4 tagged door naar eth3, weet je zeker dat de STB dat begrijpt (ik denk het niet). Ik ga ervan uit dat je STB op deze poort aangesloten is? Krijgt de STB wel een IP adres? Welk IP adres?

Verder: je hebt de VLAN's op je bridge geconfigureerd, terwijl ik zou verwachten dat deze op de eth1 zou moeten staan. Daar heb je ook je DHCP client op gezet.

Samengevat klopt er, zover ik het kan overzien, volgens mij niet heel veel van. Kan je een plaatje maken van je netwerk en alle VLAN's erbij?

Waarom trouwens mtu=1508 op de Internet VLAN?

En voorkeur van mij: UPnP |:( Dan heb je zo'n moeite gedaan op je firewall om vervolgens alle controle te verliezen.

Eerst het probleem, dan de oplossing


  • kariem112
  • Registratie: Januari 2002
  • Niet online
lier schreef op maandag 6 maart 2023 @ 09:18:
[...]

Ja, je stuurt VLAN 4 tagged door naar eth3, weet je zeker dat de STB dat begrijpt (ik denk het niet). Ik ga ervan uit dat je STB op deze poort aangesloten is? Krijgt de STB wel een IP adres? Welk IP adres?

Verder: je hebt de VLAN's op je bridge geconfigureerd, terwijl ik zou verwachten dat deze op de eth1 zou moeten staan. Daar heb je ook je DHCP client op gezet.

Samengevat klopt er, zover ik het kan overzien, volgens mij niet heel veel van. Kan je een plaatje maken van je netwerk en alle VLAN's erbij?

Waarom trouwens mtu=1508 op de Internet VLAN?

En voorkeur van mij: UPnP |:( Dan heb je zo'n moeite gedaan op je firewall om vervolgens alle controle te verliezen.
Dank voor je uitgebreide reactie. Zal later even een plaatje maken voor het overzicht ;)

UPnP is overbodig, die haal ik er sowieso uit. Was wat dingen aan het testen (niet IPTV gerelateerd). De STB krijgt netjes een IP adres op Poort 3 , er zit nog een unifi switch tussen die het VLAN wel snapt :P

Poort 1 is WAN, Poort 2 naar een switch voor de rest van het netwerk, Poort 3 naar een switch voor IPTV

Acties:
  • +2Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

Waarom stuur je niet beide VLAN's in een trunk naar de Unifi switch?

Ik heb nog even de helppagina van Freedom erbij gezocht:
https://helpdesk.freedom....-instellingen-eigen-modem

Nu begrijp ik een beetje beter wat je wil...je hoeft alleen aan de WAN kant met VLAN's te werken

Je zou (naar mijn idee het volgende aan moeten passen):
  • wan_vlan koppelen aan eth1
  • IPTV VLAN verwijderen
  • eth1 verwijderen uit de bridge
Er wordt geen gescheiden VLAN aangeboden door Freedom, IPTV gaat over hetzeldfe VLAN als Internet. Je hoeft dus geen scheiding aan te brengen. Lijkt erop alsof je je hebt laten inspireren door netwerkje.com (althans, VLAN 4 wordt gebruikt bij KPN netwerken).

Eerst het probleem, dan de oplossing


  • kariem112
  • Registratie: Januari 2002
  • Niet online
lier schreef op maandag 6 maart 2023 @ 13:38:
Waarom stuur je niet beide VLAN's in een trunk naar de Unifi switch?

Ik heb nog even de helppagina van Freedom erbij gezocht:
https://helpdesk.freedom....-instellingen-eigen-modem

Nu begrijp ik een beetje beter wat je wil...je hoeft alleen aan de WAN kant met VLAN's te werken

Je zou (naar mijn idee het volgende aan moeten passen):
  • wan_vlan koppelen aan eth1
  • IPTV VLAN verwijderen
  • eth1 verwijderen uit de bridge
Er wordt geen gescheiden VLAN aangeboden door Freedom, IPTV gaat over hetzeldfe VLAN als Internet. Je hoeft dus geen scheiding aan te brengen. Lijkt erop alsof je je hebt laten inspireren door netwerkje.com (althans, VLAN 4 wordt gebruikt bij KPN netwerken).
Freedom heeft op de WAN kant VLAN 6 (internet) en VLAN4 (IPTV) nodig. Ik had dit altijd in een apart intern VLAN zitten omdat de unifi USG anders niet echt lekker werkte met een hoop IGMP problemen (en een instabiele STB :O ). Ik zou het kunnen vereenvoudigen door dit te doen:
  • wan_vlan koppelen aan eth1
  • IPTV VLAN verwijderen
  • eth1 verwijderen uit de bridge
En intern krijgt de STB dan via de IGMP proxy de juiste streams door?

Acties:
  • +2Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

Mmm...blijkbaar moet er voor tv iets meer gedaan worden:
INSTELLINGEN VOOR TELEVISIE
Router moet DHCP-requests doen op VLAN 4* voor TV.
Er moet NAT worden toegepast voor verkeer over VLAN 4*.
Er moeten static routes worden gezet naar 10.10.0.33/32, 185.24.175.0/24 en 185.41.48.0/24 over het op VLAN 4* verkregen gateway IP. Deze routes worden ook via DHCP optie 121 doorgegeven. (Let op. Heb je een verbinding via het glasvezel Helmond netwerk of Fiber Operator? Dan hoef je geen statische routes in te stellen).
De settopboxen hangen in het normale LAN.
IGMP snooping of proxying moet worden toegepast op VLAN 4*.
RTSP connection tracking module moet ingeschakeld worden mits beschikbaar. Wanneer RTSP connection tracking niet beschikbaar is, kan een destination NAT regel aangemaakt worden richting de IP tv-ontvanger.
*Let op! Heb je een glasvezelverbinding via het glasvezel Helmond netwerk? Gebruik dan VLAN 424 i.p.v. VLAN 4 voor televisie.
Volgens mij moet je het volgende doen (even zo uit mijn hoofd):

VLAN interface (vlan_iptv) aanmaken, VLAN ID = 4 en deze koppelen aan eth1
Nieuwe DHCP Client koppelen aan vlan_iptv
Nieuwe IP NAT masquerade rule om te NAT-ten
Routes toevoegen en als gateway vlan_iptv

Nog even ter aanvulling, je hoeft geen VLAN te gebruiken in je interne netwerk. Alleen aan de WAN kant.

[Voor 4% gewijzigd door lier op 06-03-2023 19:35]

Eerst het probleem, dan de oplossing


Acties:
  • +1Henk 'm!

  • 3dmaster
  • Registratie: December 2004
  • Laatst online: 23:31
Ik heb een wireguard tunnel tussen mijn Mikrotik (RB5009UPr+S+) en een pfsense machine in een DC (vm). Eerder had ik deze tussen 2 pfsense machines maar 1 daarvan is vervangen door de Mikrotik. Het gekke nu is dat ik sindsdien het probleem heb dat mijn wireguard tunnel maar een paar seconden op full speed blijft, daarna zat deze helemaal in tot 0. Na een tijdje loopt hij weer op naar max voor een paar sec en dan weer naar 0.

code:
1
2
3
4
5
6
7
8
9
10
11
[  5] local 10.10.0.9 port 48138 connected to 10.10.20.9 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  73.4 MBytes   616 Mbits/sec   65    494 KBytes       
[  5]   1.00-2.00   sec  50.0 MBytes   419 Mbits/sec    1    414 KBytes       
[  5]   2.00-3.00   sec  51.2 MBytes   430 Mbits/sec    0    496 KBytes       
[  5]   3.00-4.00   sec  61.2 MBytes   514 Mbits/sec    0    577 KBytes       
[  5]   4.00-5.00   sec  67.5 MBytes   566 Mbits/sec    0    657 KBytes       
[  5]   5.00-6.00   sec  32.5 MBytes   272 Mbits/sec   72   1.34 KBytes       
[  5]   6.00-7.00   sec  0.00 Bytes  0.00 bits/sec    2   1.34 KBytes       
^[[A[  5]   7.00-8.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   8.00-9.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes


Zo zie ik dat dan ook terug in iperf3

Ik heb overal de mtu op default voor wireguard staan (1420). De verbindingen aan beide kanten zijn gewoon normaal (delta DHCP, en direct verbinding op een access router). Dus gewoon MTU 1500 op de verbinding zelf.

Heeft iemand dit vaker gezien icm mikrotik? Het lijkt alsof er ergens een buffertje overloopt of zo.

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.


Acties:
  • +2Henk 'm!

  • g1n0
  • Registratie: Maart 2016
  • Niet online
Vaker gezien, maar lag bij mij wel aan de mtu. Probeer eens je path zonder fragmentation te pingen om te checken of je mtu echt klopt

Acties:
  • +1Henk 'm!

  • 3dmaster
  • Registratie: December 2004
  • Laatst online: 23:31
Als ik ping zonder fragmentation gaat het goed vanaf een packetsize van 1392 (+28 = mtu 1420) dus dat lijkt wel goed te zijn. Of zie ik nu iets over het hoofd?

code:
1
2
3
4
5
6
7
8
9
10
[root@ipa2 ~]# ping 10.10.20.9 -M do -s 1393
PING 10.10.20.9 1393(1421) bytes of data.
ping: local error: message too long, mtu=1420
ping: local error: message too long, mtu=1420


[root@ipa2 ~]# ping 10.10.20.9 -M do -s 1392
PING 10.10.20.9 1392(1420) bytes of data.
1400 bytes from 10.10.20.9: icmp_seq=1 ttl=62 time=7.61 ms
1400 bytes from 10.10.20.9: icmp_seq=2 ttl=62 time=7.74 ms

[Voor 56% gewijzigd door 3dmaster op 10-03-2023 15:55]

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.


Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
Dat moet je wel buiten de tunnel testen want van dat DF-vlaggetje blijft niet zoveel over na encapsulatie door WireGuard. Ik vind er wel verdacht veel verkeer doorheen gaan voor een MTU issue. Zou eens experimenteren met iperf in udp mode (eveneens binnen en buiten de tunnel).

Ook: hoe is de latency?

Acties:
  • +1Henk 'm!

  • 3dmaster
  • Registratie: December 2004
  • Laatst online: 23:31
Ik heb ff een ping sweep gedaan vanaf de pfsense naar het adres van mijn delta verbinding thuis.

code:
1
2
3
4
5
6
7
ping -i 0.1 -D -g 1300 -G 1500 <geheim>
<knip>
1479 bytes from <geheim>: icmp_seq=271 ttl=63 time=6.529 ms
1480 bytes from <geheim>: icmp_seq=272 ttl=63 time=6.484 ms
ping: sendto: Message too long
ping: sendto: Message too long
ping: sendto: Message too long


Die stopt dus bij 1480 (dus volgens mij is dan de mtu gewoon 1500 op dat pad).

Ping is redelijk strak net boven de 6ms continue.

ook wat iperf binnen en buitenom gedaan. Buitenom zit ik tegen een gigabit aan. zowel udp als tcp. Binnen de tunnel kakt hij in, zowel tcp als udp.

[Voor 17% gewijzigd door 3dmaster op 10-03-2023 16:36]

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.


Acties:
  • +4Henk 'm!

  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:27
Nou, vorige week maar een hAP AX2 besteld en kwam vandaag binnen. Heerlijk apparaatje. Ga hem gebruiken voor mijn mobiele werkplek. Ergens wireless of wired inpluggen zodat die internet heeft en dezelfde SSIDs als thuis uitzenden. WireGuard tunnel naar huis toe waar al het verkeer over gaat en we kunnen overal werken zoals thuis :)

Van de week een hex bij mijn pa ingezet met WireGuard naar huis zodat de backup van mijn nas naar een nas bij hem loopt. Ideaal spul.

Moet zeggen dat die hAP wel wat steviger aanvoelt.

[Voor 22% gewijzigd door Shinji op 21-03-2023 22:41]


Acties:
  • +1Henk 'm!

  • Pasc66
  • Registratie: September 2009
  • Laatst online: 27-03 13:40
Vandaag lijkt RouterOS 7.9beta4 uitgekomen te zijn. Er lijken een groot aantal sfp problemen aangepakt te zijn (komende week even testen met Delta fiber). Copy/paste uit de changelog:

*) sfp - added log warning about failed auto-initialization on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - allow modules that hold "TX_FAULT" high signal all the time on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - allow modules with bad or no EEPROM in forced mode on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - fixed "rate-select" functionality on CCR2004-16G-2S+ and CCR2004-1G-12S+2XS devices (introduced in v7.8);
*) sfp - fixed combo-ether link monitor for CRS328-4C-20S-4S+ switch;
*) sfp - improved module initialization and display more detailed initialization status on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;
*) sfp - improved SFP28 interface stability with some optical modules for CRS518 switch;
*) sfp - improved system stability with some SFP GPON modules on RB4011, RB5009, CCR2004-1G-12S+2XS, CCR2004-16G-2S+, CCR2116-12G-4S+, CCR2216-1G-12XS-2XQ devices;

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

Pasc66 schreef op vrijdag 24 maart 2023 @ 16:48:
Vandaag lijkt RouterOS 7.9beta4 uitgekomen te zijn. Er lijken een groot aantal sfp problemen aangepakt te zijn (komende week even testen met Delta fiber). Copy/paste uit de changelog:
In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.

"Allow me to shatter your delusions of grandeur."


Acties:
  • +3Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Laatst online: 21:35
Ik update zodra het me uitkomt, maar doorgaans wel binnen 7 dagen. Ze maken die updates niet voor niets en een rollback is eventueel zo gedaan.
Ik maak 2 keer per week een backup en via SFTP komen die op mijn server, ik kan een jaar terug qua config als er iets stuk is :+

Acties:
  • +2Henk 'm!

  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:27
ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]


In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.
Dat ligt ook een beetje aan hoe kritiek de omgeving is natuurlijk, thuis doe ik in elk geval gelijk upgraden. Als ze zakelijk ingezet worden zou ik denk ik halfjaarlijks een ronde doen. Daar kan je dan altijd nog van af wijken indien zich er bugs voordoen of nodige features bijkomen of er een vulnerability in zit in de tussentijd.

Net een avond bezig geweest om in plaats van wat static routes alles op basis van OSPF over de wireguard tunnels te doen.

Vanaf huis draait er weer een wireguard naar kantoor waar alleen een apart vlan/subnet bij kan waar mijn werk laptop in zit en dezelfde constructie draait nu ook vanaf mijn remote werkplek hAP AX2 waarbij het verkeer dan wel via mijn huis gaat.

[Voor 22% gewijzigd door Shinji op 24-03-2023 20:30]


  • Pasc66
  • Registratie: September 2009
  • Laatst online: 27-03 13:40
ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]


In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.
Ik upgrade direct (thuis) naar de eerstvolgende beta / release zodra beschikbaar en geen problemen ervaren - maar goed, ik heb thuis dan ook een erg eenvoudige setup..

Acties:
  • +2Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 22:03
ShadowBumble schreef op vrijdag 24 maart 2023 @ 19:24:
[...]


In het verlengde hiervan, wat is de algemene consensus hier ? Direct upgraden bij een nieuwe stabiele versie (ik zit bijvoorbeeld nog op 7.6) of een if it ain’t broke don’t fix it.
Hangt er een beetje van af. Op productie heb ik 2 CCR1072's draaien + 2 switches. Die draaien 7.1.1 sinds december 2021 (toen de setup opgebouwd werd), sindsdien zijn ze niet meer geupgrade. De setup draait stabiel, en als je alle services goed firewallt is er ook niet echt iets qua security dat het vereist om te upgraden.

Dus dan is de afweging vooral 'draait het stabiel?', daar op is het antwoord 'ja', dus dan ga ik niet periodiek het upgraden (met mogelijke downtime tot gevolg etc). Ik houd wel de changelogs in de gaten, zo zag ik laatst een fix dat VRF's pas vanaf 7.4 ofzo goed werkten. Dat houd ik dan wel in het achterhoofd dat als ik ooit VRF support nodig heb, dat ik dan eerst ga upgraden.

Verder had ik laatst een keer contact met support voor een random vraag. Toen gokte ik dat het antwoord ging zijn, 'je moet eerst upgraden', maar daar begonnen ze niet eens over. Stiekem zat ik te wachten op de nieuwe longterm release, maar hoe lang dat nog gaat duren...

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • +1Henk 'm!

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 22:09
Heb de 7.9beta4 ondertussen draaien op m'n "labo" RB3011 en die "hangt" aan een ZeroTier cloud-netwerk (via aparte PPPoE xDSL link)
Upgrade ging zonder problemen en alles werkt precies nog, inclusief de ZeroTier want ik kon er direct aan vanaf m'n thuis-LAN.

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 18:53
Shinji schreef op dinsdag 21 maart 2023 @ 22:40:
Nou, vorige week maar een hAP AX2 besteld en kwam vandaag binnen. Heerlijk apparaatje. Ga hem gebruiken voor mijn mobiele werkplek. Ergens wireless of wired inpluggen zodat die internet heeft en dezelfde SSIDs als thuis uitzenden. WireGuard tunnel naar huis toe waar al het verkeer over gaat en we kunnen overal werken zoals thuis :)

Van de week een hex bij mijn pa ingezet met WireGuard naar huis zodat de backup van mijn nas naar een nas bij hem loopt. Ideaal spul.

Moet zeggen dat die hAP wel wat steviger aanvoelt.
Wat is eigenlijk de reden dat je Wireguard server niet gewoon op je NAS draait?
Je hoeft toch niet al het verkeer van je pa door jouw vpn en ISP te laten lopen?
Dan is het toch simpeler als zijn nas met de jouwe verbind en de rest van zijn apparaten (zonder verdere configuratie) daar niks mee te maken hebben?

Ik vraag het vooral omdat ik het zo heb.
Weet dat ik ook Wireguard op de Mikrotik (hex poe) kan draaien maar zie nog niet in waarom ik dat zou doen..

  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:27
Het verkeer van mijn pa gaat niet via de tunnel en mijn verbinding. De Hex die daar ligt zit achter zijn experiabox en daarna direct aan de NAS. De NAS zit ook nog met een poot aan de experiabox zodat hij er bij kan.

De NAS daar is puur voor backup, dus uiteindelijke doel is dat ik die middels WoL aan kan zetten ‘s nachts.

Voor Synology is (of was in elk geval) geen native WireGuard server dus dan zou ik die in docker moeten draaien.

Als je groot genoeg ben en bijvoorbeeld heel veel locaties aan elkaar knoopt of het als dial in van veel gebruikers gebruikt kan je misschien beter een dedicated VPN server optuigen.

Voor mij thuis en klein zakelijk is het ideaal dat het native in de Mikrotik zit. Het is set and forget wat dat betreft. Daarbij zie ik een NAS primair als storage device. Een Mikrotik als networking device en VPN is een networking service dus is daar eerder op zijn plaats als die mogelijkheid er is.

Ik heb overigens ook lang een openvpn tunnel gehad vanaf mijn nas naar de backup nas dus is zeker een use case voor maar vooral bij gebrek aan beter ;)

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op vrijdag 24 maart 2023 @ 19:38:
Ik update zodra het me uitkomt, maar doorgaans wel binnen 7 dagen. Ze maken die updates niet voor niets en een rollback is eventueel zo gedaan.
Ik maak 2 keer per week een backup en via SFTP komen die op mijn server, ik kan een jaar terug qua config als er iets stuk is :+
Ben nog nieuw met die MikroTik. Heb nu zon ax3 draaien maar basis setup. Heb je voorbeeld scriptje hoe jij die backups via sftp draait?

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


Acties:
  • +5Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Laatst online: 21:35
@MrMarcie
:global SystemName
:global SftpUrl
:global SftpUser
:local FilePath ($SystemName . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Files [ :toarray "" ];

/export file=$FilePath;
/system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Files ($Files, ($FilePath . ".rsc"));
:set Files ($Files, ($FilePath . ".backup"));

:foreach File in=[ $Files ] do={
  /tool fetch upload=yes url=([$SftpUrl] . [$File]) src-path=$File user=$SftpUser;
  /file remove $File;
}

SftpUrl = sftp://pad-naar-share

Ik maak gebruik van authenticatie via SSH-keys dus geen wachtwoord nodig

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op zondag 26 maart 2023 @ 11:34:
@MrMarcie
:global SystemName
:global SftpUrl
:global SftpUser
:local FilePath ($SystemName . "-" . [:pick [/system clock get date] 4 6] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 7 11]);
:local Files [ :toarray "" ];

/export file=$FilePath;
/system backup save name=$FilePath;

:while ([ :len [/file find where name=($FilePath . ".backup") ] ] = 0) do={
  delay 100ms;
}

:set Files ($Files, ($FilePath . ".rsc"));
:set Files ($Files, ($FilePath . ".backup"));

:foreach File in=[ $Files ] do={
  /tool fetch upload=yes url=([$SftpUrl] . [$File]) src-path=$File user=$SftpUser;
  /file remove $File;
}

SftpUrl = sftp://pad-naar-share

Ik maak gebruik van authenticatie via SSH-keys dus geen wachtwoord nodig
Top, ga ik mee aan de slag

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


Acties:
  • +3Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Laatst online: 21:35
Het zijn overigens 2 bestanden, een export en een backup. Vergeef me momenteel de exacte reden, maar een backup heeft niet alle config onderdelen en een export ook niet. Maar beide samen bevatten wel alles. Ik “geloof” dat het een combi van geconfigureerde users en de door mij gebruikte SSH keys was/is

  • MrMarcie
  • Registratie: Oktober 2006
  • Laatst online: 29-03 12:04

MrMarcie

CFMoto 650MT gekocht

lolgast schreef op zondag 26 maart 2023 @ 11:53:
Het zijn overigens 2 bestanden, een export en een backup. Vergeef me momenteel de exacte reden, maar een backup heeft niet alle config onderdelen en een export ook niet. Maar beide samen bevatten wel alles. Ik “geloof” dat het een combi van geconfigureerde users en de door mij gebruikte SSH keys was/is
Ik kom er wel uit denk ik. En ik test altijd alles goed.

For sale | "Goodbyes are only for those who love with their eyes. Because for those who love with heart and soul there is no such thing as separation" Rumi


Acties:
  • +1Henk 'm!

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:30

ShadowBumble

Professioneel Prutser

Thanks iedereen voor alle reacties over direct upgraden of niet, de reden dat ik het vroeg was inderdaad om eens te proeven wat iedereen doet "vroegah" in de begin RouterOS6 tijd was direct upgraden echt uit den boze maar het lijkt erop dat het tegenwoordig allemaal een heel stuk stabieler is.

Ik blijf wel nog even hangen op de stable branch zolang er niks nodig is waarvoor ik directe fixes nodig heb.

"Allow me to shatter your delusions of grandeur."


  • TF0
  • Registratie: December 2009
  • Laatst online: 23:28
Ik ben de laatste tijd (ook) bezig geweest met VPNs:
1. Er is een IPSEC site-to-site tunnel naar een andere locatie en dat werkt
2. Er is een Wireguard interface waar ik verbinding mee kan maken met o.a. mijn telefoon.
3. Ik ben ook begonnen met het maken van een Wireguard interface naar een externe VPN provider (Mullvad), maar die lijkt half te werken.

Nu heb ik nog enkele ideeën om het beter te maken:
1. Ik wil een apparaat van mijn netwerk het internet op laten gaan via de site-to-site VPN tunnel (via IPSEC)
2. Ik wil graag van een ander apparaat via Mullvad laten lopen (via Wireguard)

Ik heb allerlei methodes getest maar kom er niet uit, ik zou hulp goed kunnen gebruiken.

Ik heb onder andere hier gekeken (maar nog veel meer bronnen geraadpleegd):
YouTube: Mullvad - The World's Most Anonymous VPN on MikroTik!
zx9r_mario in "[MikroTik-apparatuur] Ervaringen & Discussie"
https://forum.mikrotik.com/viewtopic.php?t=152303

Er zijn blijkbaar verschillende manieren (VRF, routing table/rule, IPSEC policy etc) maar ik weet niet wat het verschil precies is en er werkt niets in mijn geval.

Details probleem 1:
Ik begrijp dat ik dit moet oplossen met een policy binnen ip/IPSEC.
Client met IP adres 192.168.10.103 moet via de IPSEC tunnel gaan.
Ik ben er al achter gekomen dat je daarvoor moet switchen naar 'unique' ipv 'require' maar er mist nog iets anders.

code:
1
2
3
4
5
6
7
/ip/ipsec/policy> print
Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
#     PEER    TUNNEL  SRC-ADDRESS        DST-ADDRESS      PROTOCOL  ACTION   LEVEL   PH2-COUNT
0 T *                 ::/0               ::/0             all                                 
1     NAAM  yes     192.168.10.103/32  0.0.0.0/32       all       encrypt  unique          0
2  A  NAAM  yes     192.168.10.0/24    192.168.11.0/24  all       encrypt  unique          1

Waarbij de eerste niet actief wordt ('no phase 2'). Het lijkt mij dat dáár het probleem is en niet zozeer de firewall.

Andere kant van de vpn tunnel heb ik 1 enkele policy gemaakt om van 192.168.11.0/24 naar mijn 192.168.10.0/24 te gaan. Mijns inziens zou dat voldoende moeten zijn, maar waarschijnlijk maak ik een denkfout:
code:
1
2
3
4
5
6
7
/ip/ipsec/policy> print
Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUN
T
#     PEER  TUNNEL  SRC-ADDRESS      DST-ADDRESS      PROTOCOL  ACTION   LEVEL   P
0 T *               ::/0             ::/0             all                         
1  A  NAAM yes     192.168.11.0/24  192.168.10.0/24  all       encrypt  unique  1

Ik weet niet welke informatie nog meer relevant is om hier in te duiken, dat hoor ik graag!

Probleem 2 begin ik wel over op het moment dat ik probleem 1 opgelost heb, anders wordt het een te grote post.

offtopic:
Ik heb voor IPSEC site-to-site gekozen omdat de MikroTiks daar HW ondersteuning voor hebben (twee keer RB750Gr3).
Om dingen voor mezelf relatief simpel te houden (2 verschillende protocollen voor 2 verschillende doelen) en wegens de goede recensies over Wireguard ben ik daarna begonnen met Wireguard --> dat beviel heel goed met de juiste tutorial en maakt snel verbinding.
Als het blijkt dat de site-to-site met Wireguard (veel) beter te beheren is, dan kan ik uiteraard alles omzetten, maar het gaat me ook om het leren :).

Acties:
  • +2Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
TF0 schreef op dinsdag 28 maart 2023 @ 21:36:
Er zijn blijkbaar verschillende manieren (VRF, routing table/rule, IPSEC policy etc) maar ik weet niet wat het verschil precies is en er werkt niets in mijn geval.
VRF's heb je in ieder geval niet snel nodig, eerder wat routing rules.

Hele belangrijke notie voor IPsec: de policies die je daar definieert maken dat je routetabel niet meer de autoratieve bron is voor wat er met verkeer gebeurt. Daar zijn aardige flowcharts van: volgens mij gaat IPsec vóór routing decisions - met andere woorden: verkeer kan een tunnel in verdwijnen ondanks wat je routetabel zegt.

Nu niet per se je probleem, maar wel iets dat op de loer ligt als je met verschillende routes in de weer bent - ik heb een paar uur gespendeerd aan me afvragen waarom verkeer een Wireguard tunnel niet verliet terwijl de routetabel klopte, dat wil ik eenieder besparen (hint: er was een IPsec tunnel policy die te ruim stond).
Details probleem 1:
Ik begrijp dat ik dit moet oplossen met een policy binnen ip/IPSEC.
Client met IP adres 192.168.10.103 moet via de IPSEC tunnel gaan.
Ik ben er al achter gekomen dat je daarvoor moet switchen naar 'unique' ipv 'require' maar er mist nog iets anders.
Als ik de beschrijving van unique lees geloof ik van niet:
unique - drop the packet and acquire a unique SA that is only used with this particular policy. It is used in setups where multiple clients can sit behind one public IP address (clients behind NAT).
Dat lijkt me bedoeld voor meerdere IPsec clients - jij wil gewoon één machine door een bestaande tunnel routeren.
Waarbij de eerste niet actief wordt ('no phase 2'). Het lijkt mij dat dáár het probleem is en niet zozeer de firewall.
Dit is iets waarvan ik het antwoord zou hebben als ik IPsec zou begrijpen, maar dat doe ik niet. Ik zou IPsec logging eens op debug zetten en kijken wat dat zegt.
Ik weet niet welke informatie nog meer relevant is om hier in te duiken, dat hoor ik graag!
Doe eens een /export van alle relevante IPsec settings en je routetabel?
offtopic:
Als het blijkt dat de site-to-site met Wireguard (veel) beter te beheren is, dan kan ik uiteraard alles omzetten, maar het gaat me ook om het leren :).
Niets mis mee hoor, maar als je IPsec niet dagelijks instelt blijft het wel iets waar je altijd eerst een hele studie van moet maken om weer te herinneren hoe het werkt, en daarna altijd uitgebreid debuggen omdat allerlei proposals mismatchen.

Geeft wel voldoening als het werkt, maar een beetje masochistisch is het wel..

  • TF0
  • Registratie: December 2009
  • Laatst online: 23:28
Bedankt! Goed om te lezen dat anderen ook uren spenderen om iets in te stellen wat op het eerste oog redelijk simpel zou moeten zijn ;).
Doe eens een /export van alle relevante IPsec settings en je routetabel?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
/ip ipsec mode-config
add connection-mark=Site-to-siteVPN name=Site-to-siteVPN responder=no
/ip ipsec peer
add address=EXTERN.IP/32 exchange-mode=ike2 name=NAAM
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 dpd-interval=30s dpd-maximum-failures=3 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=myproposal pfs-group=modp2048
/ip ipsec identity
add peer=NAAM
/ip ipsec policy
add dst-address=0.0.0.0/32 level=unique peer=NAAM proposal=myproposal src-address=192.168.10.103/32 tunnel=yes
add dst-address=192.168.11.0/24 level=unique peer=Ouders proposal=myproposal src-address=192.168.10.0/24 tunnel=yes

Zal ik hem terug zetten naar 'require'? Of kan het geen kwaad om hem op unique te laten staan?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
/routing table
Flags: D - DYNAMIC; X, I, A - ACTIVE; c, s, d, y - COPY
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS        GATEWAY            DISTANCE
;;; Misschien nodig voor routing via site-to-site
0  Xs 0.0.0.0/0          192.168.11.1              1
1  Xs 0.0.0.0/0          192.168.11.1              5
;;; Mullvad
2  Xs 0.0.0.0/0          wireguard_Mullvad         1
  DAd 0.0.0.0/0          192.168.2.254             1
  DAc 10.65.165.130/32   wireguard_Mullvad         0
;;; Mullvad
3  As 146.70.188.130/32  192.168.2.254             1
  DAc 192.168.2.0/24     ether1                    0
  DAc 192.168.10.0/24    bridge                    0
  DAc 192.168.100.0/24   wireguard1

De eerste drie zijn uitgeschakeld en de MikroTik zit achter een KPN router (2.254) om in een redelijk veilige omgeving te kunnen spelen (poort forwarding voor IPSEC en Wireguard is dus allemaal al OK).
146.70.188.130 is het Mullvad Wireguard ip adres en moet via 192.168.2.254 om zeker te zijn dat hij via het 'normale' internet gaat. In mijn geval waarschijnlijk niet nodig aangezien ik alleen specifieke clients via vpn wil laten lopen, maar het kan geen kwaad.
Dit is iets waarvan ik het antwoord zou hebben als ik IPsec zou begrijpen, maar dat doe ik niet. Ik zou IPsec logging eens op debug zetten en kijken wat dat zegt.
In de logging (/system logging add topics=ipsec,!packet) zie ik telkens 'got error: TS_Unacceptable' voorbij komen. Op het moment dat ik de policy voor 10.103 uitzet gaat de error weg, het zit dus echt in die policy.
Ik heb op Google geen antwoord kunnen vinden waar die error wordt opgelost: ze gaan of 1-op-1 chatten of de TS stopt er mee.
Geeft wel voldoening als het werkt, maar een beetje masochistisch is het wel..
Ja, daar kom ik ook achter :P.

  • Laagheim
  • Registratie: December 2016
  • Laatst online: 20:54
@TF0 Vorig jaar een nieuwe telefoon dus ben toen ook bezig geweest om vpn weer werkend te krijgen.Met deze instructies was het zo gepiept 👍

https://forum.mikrotik.com/viewtopic.php?f=23&t=175656#

  • Thralas
  • Registratie: December 2002
  • Laatst online: 21:33
TF0 schreef op woensdag 29 maart 2023 @ 09:54:
In de logging (/system logging add topics=ipsec,!packet) zie ik telkens 'got error: TS_Unacceptable' voorbij komen. Op het moment dat ik de policy voor 10.103 uitzet gaat de error weg, het zit dus echt in die policy.
Ik heb op Google geen antwoord kunnen vinden waar die error wordt opgelost: ze gaan of 1-op-1 chatten of de TS stopt er mee.
Kijk, dat is al nuttige informatie. TS is Traffic Selector (blijkt uit de RFC - en dat is dus het probleem met IPsec, valt niet te debuggen zonder de RFC in de hand).

Traffic selectors zijn inderdaad de policies die over en weer worden gestuurd. De 'andere zijde' keurt je policy af. Mijn eerste reactie was: hoe ziet IPsec config aan de andere zijde eruit?

Maar toen wierp ik nog een blik op je config, en zie dat je 0.0.0.0/32 als destination address hebt staan. Dat lijkt me niet zo handig :+

Probeer eens met 0.0.0.0/0?
Pagina: 1 ... 40 41 42 Laatste


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee