[MikroTik-apparatuur] Ervaringen & Discussie

Pagina: 1 2 3
Acties:

  • maarud
  • Registratie: Mei 2005
  • Laatst online: 02-07 18:05
Klik hier om naar het einde van de OP te springen

Afbeeldingslocatie: http://tweakers.net/ext/f/JlqhJBKihb9j2HNfRnCply51/full.png


Inleiding

Naar aanleiding van het verzameltopic Unifi/Meraki/Mikrotik is in overleg besloten om de huidige topics (een zooitje) te laten voor wat het is en voor eens en voor altijd duidelijke en normale topics de starten. Zo ook dit topic, waar ervaringen gedeeld kunnen worden of vragen gesteld kunnen worden over de apparatuur van MikroTik.

Wired


MikroTik maakt ontzettend veel routers (of RouterBOARDS). De populairste is de 2011-serie, die als RM (rackmount) of standalone kan worden gekocht. Daarnaast wordt het zgn. RouterOS beschreven.

RB2011UiAS-IN
Afbeeldingslocatie: http://tweakers.net/ext/f/oibRivq8Cif19dUooERmjtTG/medium.jpg
  • CPU: Atheros AR9344 (600Mhz)
  • Ethernet: 5x RJ-45 Gigabit Ethernet, 5x Fast Ethernet waarvan 1x PoE
  • Geheugen: 128 MB RAM
  • Console: 1 RJ-45 seriële consolepoort
  • Overig: microUSB poort, LCD scherm, RouterOS L5 licentie, SFP cage. Inclusief L5-licentie.
  • Prijs: +/- € 65
Multifunctionele router boordevol opties. De routers draaien op RouterOS, welke helemaal naar eigen smaak in te stellen is. Zo ook het LCD-paneel wat aanwezig is, hier kan allerlei soorten informatie op weergegeven worden. Denk aan snelheden, aangesloten apparaten, etc.
RouterOS
Afbeeldingslocatie: http://tweakers.net/ext/f/h8XNUpQJVFKnM9S1o1FgcPIn/medium.png
  • Meegeleverd op de routers, draait ook op PC (Linux-gebaseerd)
  • Bereikbaar via WinBox, CLI, Telnet, SSH en Web
  • Bevat: Firewall, routing, forwarding, MPLS, VPN, Wireless, Hotspot, QoS, Proxy, monitoring tools en meer
  • Prijs: Aanwezig met licentie op de routers, werkt voor op een PC via een licentiemodel (zie PDF)


Wireless


RB2011UiAS-2HnD-IN
Afbeeldingslocatie: http://tweakers.net/ext/f/4KBSFc12LrWwjKtWd3fOSX3c/medium.png
  • CPU: Atheros AR9344 (600Mhz)
  • Ethernet: 5x RJ-45 Gigabit Ethernet waarvan 1x PoE, 5x Fast Ethernet
  • Geheugen: 128 MB RAM
  • Console: 1 RJ-45 seriële consolepoort
  • WiFi: 802.11b/g/n 2.4Ghz (tot 1W zendvermogen)
  • Overig: microUSB poort, LCD scherm, RouterOS L5 licentie, SFP cage.
  • Prijs: +/- € 65
Multifunctionele router boordevol opties. De routers draaien op RouterOS, welke helemaal naar eigen smaak in te stellen is. Zo ook het LCD-paneel wat aanwezig is, hier kan allerlei soorten informatie op weergegeven worden. Denk aan snelheden, aangesloten apparaten, etc.
SXT Lite5
Afbeeldingslocatie: http://tweakers.net/ext/f/GJzbiT8QtrjZyi65d8SJifZX/medium.png
  • CPU: Atheros AR9344 600MHz
  • Ethernet: 1x 10/100
  • Geheugen: 32MB DDR SDRAM
  • WiFi: Onboard dual chain 5GHz 802.11a/n Atheros AR9344-BC2A wireless module
  • Overig: Gevoed via PoE Inclusief L3-licentie.
  • Prijs: -[/url]
Device voor het outdoor opzetten van 5Ghz PtP verbindingen. Ook beschikbaar in een high-power versie (1250mW)


Overige


Een veelgenoemde webwinkel voor deze apparatuur is bijvoorbeeld www.interprojekt.com.pl. Deze prijzen (net als bovenstaande) zijn wel excl. BTW.


  • Thralas
  • Registratie: December 2002
  • Laatst online: 03-07 22:21
WTM schreef op zondag 17 augustus 2014 @ 11:43:
Ik moet zeggen dat ik wel gecharmeerd ben van de specificaties van de Mikrotik RouterBOARD RB2011UiAS-2Hnd-IN. Maar ik zou liever een exemplaar willen dat 10 ethernet poorten heeft van 1Gbps ipv 5 stuks met ook 5 stuks fast ethernet. (natuurlijk kan er ook een switch naast maar 1 device is eigenlijk al mooi genoeg)
Volgens mij is de enige RB die daaraan voldoet de CRS125-24G-1S-2HND-IN.

Misschien weer wat veel gigabit ports :P (en duurder dan een losse switch of AP).
Daarnaast is de wan/lan throughput niet echt toekomst proof, deze is ongeveer 200 Mbps. Het zal niet lang duren voor we daar over heen gaan of in de buurt komen.
Waarschijnlijk kan de announced RB850gx2 (5x giga, dual core PPC @ 500 MHz) wat meer data verzetten. Maar die heeft weer geen WiFi.
Verder is er alleen WiFi op de 2.4 Ghz mogelijk.
Niet helemaal, maar een fabrieks-af dualband board is er helaas niet. Volgens mij is er genoeg vraag naar een RB951G of RB2011 met dual-band wireless...

RB912UAG-5HPnD (5 GHz n, miniPCIE)
RB911G-5HPacD (5 GHz ac, geen miniPCIE)
RB922UAGS-5HPacD (5 GHz ac, miniPCIE)

In de modellen met een miniPCIE slot kan je - denk ik - wel een 2 GHz-kaartje kwijt, maar dan nog blijft het een hoop aanrommelen (losse case, antenna's) tegen een prijs die weinig concurrerend is tov. een TP-Link router als AP..
Ligt het in de lijn van verwachting dat er een router komt van MikroTik die wel aan mijn eisen voldoet?
Zou er niet te hard op hopen. De combinatie van wireless icm. veel gigabit ports is nogal lastig.

In completely unrelated news, Interprojekt heeft de MikroTik mAP in stock:

Afbeeldingslocatie: http://img.routerboard.com/mimg/940_m.png
The mAP is a tiny size wireless 2.4GHz Access Point with full RouterOS capabilities. It is very portable, since it accepts power from a wide variety of sources - USB, Passive or Active PoE (802.3af and 802.3at) and power jack. It also works as a PoE injector - the second Ethernet port provides up to 500mA of power to another device, for example, you can connect a SXT CPE device to it.
Leuk als extra AP lijkt me? Maar weer enkel 2 GHz..

  • maarud
  • Registratie: Mei 2005
  • Laatst online: 02-07 18:05
Iemand tips? :)

edit: een plaatje zegt meer dan de lap tekst:
Afbeeldingslocatie: http://tweakers.net/ext/f/JCo7H2mcuc1lDBksabxW2iVV/medium.png

De router rechtsbovenin zit er om van buitenaf ook in het 192.168.0.0/24 netwerk te komen dmv VPN.

[ Voor 91% gewijzigd door maarud op 03-09-2014 11:58 ]


  • Thralas
  • Registratie: December 2002
  • Laatst online: 03-07 22:21
A challenger appears...

Afbeeldingslocatie: http://img.routerboard.com/mimg/997_l.jpg
cAP 2n

Heeft slechts 1 chain (tov. z'n geduchte UniFi-concurrent), maar is wel 2 tientjes goedkoper en integreert met Mikrotik's CAPsMAN. Maar geen roamingmagie, geloof ik..

  • The Fatal
  • Registratie: Maart 2009
  • Laatst online: 09:50
Hier een vraagje over VPN routing.

ik heb de volgende situatie:
Afbeeldingslocatie: https://dl.dropboxusercontent.com/u/32518921/Network.png

Vanuit mijn huis netwerk (192.168.88.0/24) wil ik over VPN een ander netwerk werk bereiken (192.168.0.0/24).
Dit wil ik door de router laten afhandelen.

De VPN opzetten lukt van uit de Mikrotik naar de andere kant (zie de mini screenshot bovenaan) en krijgt IP 10.10.10.1.remote adres 10.0.0.0.

Als ik via de terminal probeer te pingen naar 10.0.0.0 dan krijg ik time outs.
Als ik probeer te pingen naar 192.168.0.X dan krijg ik ook time outs.

Als ik de VPN opbouw vanaf mijn laptop en dan "send all traffic over VPN" dan kan ik alles goed bereiken. Ook als ik "Send all traffic over VPN" uitzet en manueel een route er in gooi dan werkt het ook.

Dus denk dat er iets fout gaat in routes/firewall op de router. Maar hier kom ik niet uit.
Heeft iemand een paar aanwijzingen hoe ik alleen het 192.168.0.X verkeer over de VPN kan laten gaan en al het andere gewoon over de WAN zoals het nu is.

  • Thralas
  • Registratie: December 2002
  • Laatst online: 03-07 22:21
Het is wit met blauw, en zit niet tegen je plafond...

De RB941-2nD aka. hAP lite. QCA9531 @ 650 MHz / 32 MB, 4x100, 2.4 GHz.

Afbeeldingslocatie: http://img.routerboard.com/mimg/1007_l.jpg

Niets bijzonders, maar voor een list price van $21.95 dan wel weer zeer aardig geprijsd. Ook benieuwd wat de non-lite hAP dan wordt, met 128 MB RAM en gigabit heb je immers een RB951G ;)

  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

Ik heb even een screenshot van de instellingen gemaakt misschien hebben jullie daar zo wat aan. :)
Ik heb alleen de naam van de SSID weggehaald.
Afbeeldingslocatie: http://i59.tinypic.com/cixsk.jpg

  • The Fatal
  • Registratie: Maart 2009
  • Laatst online: 09:50
Loop al een tijdje tegen het probleem dat ik met de router (RB2011...) niet mijn internet lijn kan dicht trekken.
Eerst was zich altijd 90/9 en is nu 120/12 geworden.
Ik gebruik ETH10 als "gateway" poort dus is maar een 100Mbit connectie(die laatste 20Mbit interesseert mij niet zo veel, upload van 12Mbit is wel fijn), maar verwacht dan wel de 100Mbit te halen. Helaas kom ik niet boven de +/- 80 Mbit uit.

Ik heb een aantal testen gedaan. Als ik mijn laptop rechtstreeks op de modem aan sluit haal ik direct de hoge snelheid.

Afbeeldingslocatie: http://i60.tinypic.com/2uoqfl0.png

Als ik het via de router doe haal ik het volgende:
Afbeeldingslocatie: http://i59.tinypic.com/2mpbihv.png

Heb de testen ook een aantal keer gedaan en mee gekeken naar de resources op de Mikrotik, maar het lijkt wel of hij geen centje pijn lijdt:
Afbeeldingslocatie: http://i62.tinypic.com/dg565z.png

Ik heb geen idee waar ik dit verder moet en kan zoeken.
Daarom heb ik de configuratie er bij gezet.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
export compact
# mar/05/2015 16:24:59 by RouterOS 6.24
# software id = F548-PM3S
#
/interface bridge
add admin-mac=4C:5E:0C:2C:19:0A arp=proxy-arp auto-mac=no comment=LocalBridge \
    mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes name=Fiber1-gateway
set [ find default-name=ether10 ] comment=Ziggo name=Gateway-ETH10 poe-out=\
    off
set [ find default-name=ether1 ] comment="Synology Nas" name=\
    ether1-Synology110J
set [ find default-name=ether2 ] comment=MediaPlayer master-port=\
    ether1-Synology110J name=ether2-MediaPlayer
set [ find default-name=ether3 ] master-port=ether1-Synology110J
set [ find default-name=ether4 ] master-port=ether1-Synology110J
set [ find default-name=ether5 ] master-port=ether1-Synology110J
set [ find default-name=ether6 ] comment="Radio Denon" name=\
    "ether6 - DenonKamer"
set [ find default-name=ether7 ] master-port="ether6 - DenonKamer"
set [ find default-name=ether8 ] master-port="ether6 - DenonKamer"
set [ find default-name=ether9 ] comment=Youless master-port=\
    "ether6 - DenonKamer"
/ip neighbor discovery
set Fiber1-gateway discover=no
set Gateway-ETH10 comment=Ziggo
set ether1-Synology110J comment="Synology Nas"
set ether2-MediaPlayer comment=MediaPlayer
set "ether6 - DenonKamer" comment="Radio Denon"
set ether9 comment=Youless
set bridge-local comment=LocalBridge
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=***** supplicant-identity=MikroTik \
    wpa-pre-shared-key=****** wpa2-pre-shared-key=*****
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=**** wpa-pre-shared-key=\
    ***** wpa2-pre-shared-key=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n comment=Wireless \
    disabled=no distance=indoors frequency=2437 l2mtu=2290 mode=ap-bridge \
    name=***** security-profile=***** ssid=***** \
    wireless-protocol=802.11
/interface wireless manual-tx-power-table
set ***** comment=Wireless
/ip neighbor discovery
set ***** comment=Wireless
/interface wireless nstreme
set ***** comment=Wireless
/interface wireless
add comment="Guest Acces" disabled=no l2mtu=2290 mac-address=\
    4E:5E:0C:2C:19:13 master-interface=***** name=_*****Guest_ \
    security-profile=_*****Guest_ ssid=_*****Guest_ wds-default-bridge=\
    bridge-local
add comment="Hotspot Test Interface" mac-address=4E:5E:0C:2C:19:14 \
    master-interface=***** name=_*****Hotspot_ ssid=_*****Hotspot_ \
    wds-default-bridge=bridge-local
/interface wireless manual-tx-power-table
set _*****Guest_ comment="Guest Acces"
set _*****Hotspot_ comment="Hotspot Test Interface"
/ip neighbor discovery
set _*****Guest_ comment="Guest Acces"
set _*****Hotspot_ comment="Hotspot Test Interface"
/interface wireless nstreme
set *F comment="Guest Acces"
set *12 comment="Hotspot Test Interface"
/ip hotspot profile
add dns-name=HotspotGuest hotspot-address=192.168.10.1 login-by=\
    cookie,http-chap,trial,mac-cookie name=hsprof1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc pfs-group=none
/ip pool
add name=dhcp ranges=192.168.88.60-192.168.88.199
add name=dhcp_Guest ranges=192.168.10.50-192.168.10.100
add name=dhcp_Hotspot ranges=192.168.11.2-192.168.11.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=1d name=\
    *****
add address-pool=dhcp_Guest disabled=no interface=_*****Guest_ lease-time=\
    1d name=*****/L2TP
add address-pool=dhcp_Hotspot interface=_*****Hotspot_ lease-time=3d name=\
    dhcp2
/ip hotspot
add address-pool=dhcp_Hotspot interface=_*****Hotspot_ name=hotspot1 \
    profile=hsprof1
/port
set 0 name=serial0
/ppp profile
add bridge=bridge-local change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 name=\
    "L2TP *****"
add bridge=bridge-local idle-timeout=5m name="VPN Moeder" use-encryption=yes
add change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 local-address=192.168.10.1 \
    name="L2TP \"Others\"" remote-address=dhcp_Guest
add bridge=bridge-local dns-server=8.8.8.8,8.8.4.4 name=PPTP use-encryption=\
    yes
/interface pptp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=\
    ****** dial-on-demand=no disabled=yes keepalive-timeout=60 \
    max-mru=1400 max-mtu=1400 mrru=1600 name="VPN Moeders" password=\
    ******* profile="VPN Moeder" user="*******"
/queue simple
add comment="Limiet Gast Netwerk" dst=Gateway-ETH10 max-limit=1M/4M name=\
    ******* target=********
/system logging action
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=bridge-local interface=*****
add bridge=bridge-local interface=ether1-Synology110J
add bridge=bridge-local interface="ether6 - DenonKamer"
/interface l2tp-server server
set default-profile="L2TP \"Others\"" enabled=yes ipsec-secret=**** \
    use-ipsec=yes
/interface pptp-server server
set default-profile=PPTP enabled=yes
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.88.0
add address=192.168.10.1/24 interface=_*****Guest_ network=192.168.10.0
add address=192.168.11.1/24 disabled=yes interface=_*****Hotspot_ network=\
    192.168.11.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    Fiber1-gateway
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
    no interface=Gateway-ETH10
/ip dhcp-server lease
add address=192.168.88.226 comment="MediaPlayer Huiskamer" mac-address=\
    EC:A8:6B:FD:82:2B server=*****
add address=192.168.88.220 client-id=1:0:11:32:5:90:53 comment=\
    "*****Server (Synology)" mac-address=00:11:32:05:90:53 server=*****
add address=192.168.88.225 client-id=1:0:5:cd:2d:df:d4 comment=\
    "Denon Radio Huiskamer" mac-address=00:05:CD:2D:DF:D4 server=*****
add address=192.168.88.227 client-id=1:c0:3f:d5:68:f1:af comment=\
    MediaPlayer-2 mac-address=C0:3F:D5:68:F1:AF server=*****
add address=192.168.88.10 comment=Thermostaat mac-address=00:60:34:0B:30:E7 \
    server=*****
add address=192.168.88.221 always-broadcast=yes client-id=1:d0:50:99:17:1:8e \
    comment=*****Server-Test mac-address=D0:50:99:17:01:8E server=*****
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.10.1
add address=192.168.11.0/24 gateway=192.168.11.1
add address=192.168.88.0/24 comment="default configuration *****" \
    dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall address-list
add address=192.168.88.0/24 list=Home
add address=192.168.10.0/24 comment=GuestLan list=Guest
add address=192.168.11.0/24 list=GuestHospot
add address=192.168.100.0/24 list="L2TP VPN"
/ip firewall filter
add chain=input comment=VPN dst-port=500,1701,4500 in-interface=Gateway-ETH10 \
    protocol=udp
add chain=input in-interface=Gateway-ETH10 protocol=ipsec-esp
add chain=input dst-port=1723 in-interface=Gateway-ETH10 protocol=tcp
add chain=input protocol=gre
add chain=input comment=NAS disabled=yes dst-address=192.168.88.220 dst-port=\
    5001 in-interface=Gateway-ETH10 protocol=tcp src-port=443
add action=drop chain=forward comment="Block Guest to Lan" dst-address-list=\
    Home src-address-list=Guest
add action=drop chain=input comment="Block Guest to router" dst-address=\
    192.168.10.1 src-address-list=Guest
add action=drop chain=input comment="Block guest to router" dst-address=\
    192.168.88.0/24 src-address=192.168.10.0/24
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    Fiber1-gateway
add action=drop chain=input comment="default configuration" in-interface=\
    Gateway-ETH10
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=Gateway-ETH10
add action=masquerade chain=srcnat out-interface=Gateway-ETH10 src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat comment="default configuration" disabled=\
    yes out-interface=Fiber1-gateway
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-port=443 \
    in-interface=Gateway-ETH10 protocol=tcp to-addresses=192.168.88.220 \
    to-ports=5001
# VPN Moeders not ready
add action=masquerade chain=srcnat comment="Test voor VPN Moeders" \
    out-interface="VPN Moeders"
/ip firewall service-port
set ftp disabled=yes
/ip hotspot user
add name=Guest password=Guest server=hotspot1
/ip ipsec peer
add enc-algorithm=3des,aes-256 generate-policy=port-override secret=****
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip proxy
set cache-path=web-proxy1
/ip route
add comment="VPN Moeders" distance=1 dst-address=192.168.0.0/24 gateway=\
    10.10.10.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ip smb
set allow-guests=no interfaces=bridge-local
/ip smb shares
add directory=/usb1 name=USB
add directory=/ name=Router
/ip smb users
**
/lcd
set backlight-timeout=5m default-screen=informative-slideshow enabled=no \
    touch-screen=disabled
/lcd interface pages
set 0 interfaces="Fiber1-gateway,ether1-Synology110J,ether2-MediaPlayer,ether3\
    ,ether4,ether5,ether6 - DenonKamer,ether7,ether8,ether9,Gateway-ETH10"
/ppp secret
*********
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=*****Router
/system logging
add disabled=yes topics=l2tp
add disabled=yes topics=ppp
add topics=firewall
add disabled=yes topics=ipsec
/system ntp client
set enabled=yes primary-ntp=46.249.39.114 secondary-ntp=129.250.35.250
/tool graphing interface
add allow-address=192.168.88.0/24 interface=Gateway-ETH10
add allow-address=192.168.88.0/24 interface=bridge-local
add allow-address=192.168.88.0/24 interface=*****
add interface=****
/tool graphing resource
add allow-address=192.168.88.0/24
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-MediaPlayer
add interface=ether3
add interface=ether4
add interface=ether5
add interface="ether6 - DenonKamer"
add interface=ether7
add interface=ether8
add interface=ether9
add disabled=yes interface=Gateway-ETH10
add interface=*****
add interface=bridge-local
add interface=ether1-Synology110J
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-MediaPlayer
add interface=ether3
add interface=ether4
add interface=ether5
add interface="ether6 - DenonKamer"
add interface=ether7
add interface=ether8
add interface=ether9
add disabled=yes interface=Gateway-ETH10
add interface=*****
add interface=bridge-local
/tool sniffer
set file-name=pptpout filter-interface=*17


heeft iemand een idee waar ik kan beginnen of ik iets verkeerd heb opgezet?

  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

Als ik een Speedtest doe bij Ziggo, trek ik met 200Mbit de volgende CPU-load.
Gateway heb ik op Ether1 zitten. :)
Afbeeldingslocatie: http://i58.tinypic.com/102jx8x.png

  • The Lord
  • Registratie: November 1999
  • Laatst online: 16:26
Ik zie vast iets over het hoofd; situatie:
MikroTik krijgt DHCP adres en moet een L2TP+IPsec verbinding maken naar pfSense met vast IP adres.
  • IPsec site to site zonder L2TP werkt.
  • L2TP tunnel zonder IPsec werkt.
  • L2TP+IPsec niet.
Phase 1 lijkt correct (in pfSense zie ik een succesvolle asociatie).
Bij phase 2, geïnitieerd door een ping, geeft de MikroTik de melding "failed to begin ipsec sa negotiation".

Het enige wat ik heb veranderd zijn de SA Src en SA Dst adressen naar de respectievelijke L2TP tunnel adressen.

Mobile CPE

geeft geen inhoudelijke reacties meer


Verwijderd

Wifi: Ontvangst is heel goed. Snelheid is wispelturig. Af en toe heel slecht inderdaad. Ik heb het idee dat het sterk afhangt van hoeveel apparaten tegelijk verbinding hebben, maar heb daar nog niet echt naar gekeken.

Wat de belasting betreft, ik zou dat ook verwachten, een CPU naar 100%.

Maar dit is een profile gemaakt tijdens een speedtest:
Afbeeldingslocatie: http://s27.postimg.org/s9twkcslv/profile.jpg

De belasting lijkt redelijk.

Overigens, ik heb eerder via winbox een profile kunnen vragen en kreeg dan een window met horizontale balkjes. Als ik nu profile selecteer, klapt winbox er helemaal uit. Ik gebruik v 3.0rc6

  • Thralas
  • Registratie: December 2002
  • Laatst online: 03-07 22:21
Iemand de stream van MUM Europe net gezien?

Afbeeldingslocatie: https://i.imgur.com/4AA5tEt.jpg
Afbeeldingslocatie: https://i.imgur.com/ciapfID.jpg
Afbeeldingslocatie: https://i.imgur.com/HAbKJe7.jpg
Afbeeldingslocatie: https://i.imgur.com/4eQeCfp.jpg

(Bron)

  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Afbeeldingslocatie: http://img.rubenrohaan.nl/uploads/thumbs/RB3011.jpg
Voor de visualisatie van de RB3011.
Prijs is nog wel stevig. Het lijk me wel een mooie vervanger voor mijn huidige 2011.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Mijn hAP lite's zijn ook binnen.. Eindelijk!!!(Probleem met aflevering. Hier in Finland hebben ze blijkbaar geen deurbel bedacht voor appartementen)
Afbeeldingslocatie: https://pxopja.bn1304.livefilestore.com/y2mWaK9c4BMDGsGYEyLvB82DSGClnZgnkY7TvhteZ5gFM3kkB1o2Hm-bPaq4aMMC9mEZT_RLwXsLT3CE2i-lveqBZfs2TSwn2yG2G58Om1FBq_UeVsExEJ7k-xIVu67lYyYAuvDrXyM2iVWyXFF_P44mQ/WP_20150402_004.jpg?psid=1
Mijn eerst ervaringen is dat 50/50 verbinding met standaard instellingen voor een homeAP no problem at all is. Verder moet ik nog op onderzoek uit.

Dit wordt voor nu mijn testlab om bekend te worden met CAPsMAN, WDS en vlans.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • ihre
  • Registratie: Juni 2004
  • Laatst online: 12-02-2025
Een laatste poging, voor ik het op geef en de CRS125 op V&A zet:

Afbeeldingslocatie: http://i.imgur.com/mKcaDCgl.png

Dat is mijn gewensde situatie, en ik kom er maar niet uit. In feite werkt de config op de CRS125, echter krijg ik geen beeld als ik een STB aan sluit op ether2 van de RB951. Tevens is het management IP van de RB951 (192.168.2.253) op geen enkele manier te pingen...

Uiteraard zie ik wat over het hoofd, maar wat? |:(

CRS125:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether6 ] master-port=ether1
set [ find default-name=ether7 ] master-port=ether1
set [ find default-name=ether8 ] master-port=ether1
set [ find default-name=ether9 ] master-port=ether1
set [ find default-name=ether10 ] master-port=ether1
set [ find default-name=ether11 ] master-port=ether1
set [ find default-name=ether12 ] master-port=ether1
set [ find default-name=ether13 ] master-port=ether1
set [ find default-name=ether14 ] master-port=ether1
set [ find default-name=ether15 ] master-port=ether1
set [ find default-name=ether16 ] master-port=ether1
/interface vlan
add interface=ether1 l2mtu=1584 name=vlan6 vlan-id=6
add interface=ether1 l2mtu=1584 name=vlan10 vlan-id=10
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 name=pppoe user=xxx
/ip pool
add name=vlan10 ranges=192.168.2.10-192.168.2.240
/ip dhcp-server
add address-pool=vlan10 disabled=no interface=vlan10 lease-time=4h name=\
    vlan10
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether1,switch1-cpu vlan-id=6
add tagged-ports=ether1,ether2,switch1-cpu vlan-id=10
add tagged-ports=ether1 vlan-id=4
/interface ethernet switch ingress-vlan-translation
add new-customer-vid=10 ports=ether3,ether4,ether5,ether6,ether7,ether8
add new-customer-vid=4 ports=ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16
/ip address
add address=192.168.2.254/24 interface=vlan10 network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 gateway=192.168.2.254
/ip dns
set allow-remote-requests=yes servers=8.8.4.4,8.8.8.8


RB951:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
/interface vlan
add interface=ether1 l2mtu=1594 name=vlan10 vlan-id=10
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch vlan
add independent-learning=no ports=ether1,ether3,switch1-cpu switch=switch1 vlan-id=10
add independent-learning=no ports=ether1,ether2 switch=switch1 vlan-id=4
/ip address
add address=192.168.2.252/24 interface=ether5 network=192.168.2.0
add address=192.168.2.253/24 interface=vlan10 network=192.168.2.0

  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

Bedoel je deze meldingen?
Afbeeldingslocatie: http://i57.tinypic.com/2yvm7ae.png

  • Zware Unit
  • Registratie: Maart 2001
  • Laatst online: 09-01 22:32
Eindelijk heb ik mijn nieuwe CCR1009-8G-1S-1S+ aan de praat.

Afbeeldingslocatie: http://www.speedtest.net/result/4478291825.png

[ Voor 173% gewijzigd door Zware Unit op 03-07-2015 15:42 ]

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
FreshMaker schreef op dinsdag 07 juli 2015 @ 08:15:
[...]


In winbox nog niet gelukt,

...
Afbeeldingslocatie: http://static.tweakers.net/ext/f/WBpqk1vQZw368qAeNzTbXsoo/medium.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
FreshMaker schreef op dinsdag 07 juli 2015 @ 19:17:
Ja, dat was ondertussen wel gelukt, maar na make static blijft het ip grijs, kan het niet aanpassen.
Op de webfig, nagenoeg dezelfde plek kan ik dus die adressen wel gewoon veranderen.
Niet een groot probleem, alleen een beetje raar.

(Indrukwekkende lijst btw, complimenten )
Laatste waar ik nog aan kan denken; Check het verschil tussen de tabladen even:
Afbeeldingslocatie: http://static.tweakers.net/ext/f/CiLyotxlFhfFhHBHD0oAEV7K/full.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • chaoscontrol
  • Registratie: Juli 2005
  • Laatst online: 18:01
Ik maak een PPTP client interface aan. Connect deze, alles werkt goed. Disconnect, Maak de route aan, wil de interface weer connecten, lukt niet! Blijft op connecting staan. Ook na een reboot wil hij niet meer connecten.

Afbeeldingslocatie: http://michelerkens.nl/pptp.png

Ik denk dat ik het in de PPTP server moet zoeken. Als ik die reboot werkt het weer een keer of 2 en daarna niet meer. Met de Windows client blijft het wel werken, vreemd.

[ Voor 34% gewijzigd door chaoscontrol op 09-07-2015 20:33 ]

Inventaris - Koop mijn meuk!


  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

WAN/Lan kakt eruit, het modem is een een EVW321b in Bridge mode.

Ik heb een laptop rechtstreeks aan het modem gehad, deze gaf in speedtests 170/20Mbit door.
Weet iemand een betrouwbare/langere meetmethode om het modem te testen.

Ik zie de waardes van Int1 (TX/RX rate) om de zoveel seconden naar 0 gaan en daarna weer een waarde aangeven.
Achter de router geven speedtests maar ook gewoon surfen time-outs. Ik dacht zelf aan de MTU of autonegotiation, maar deze waardes veranderen levert niets op.

Vanavond wil ik de router tijdelijk vervangen voor een RB951 om te zien wat deze doet.
Ik kan in de RB2011 niets vreemds vinden, ik kan gewoon niet geloven dat deze kapot is door een modemwissel.

Pings welke ik monitor met SmokePing lijken wel netjes stabiel...

Afbeeldingslocatie: http://i57.tinypic.com/mv70qb.png

[ Voor 8% gewijzigd door allure op 28-07-2015 09:35 ]


  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

Er komen in de logs geen vreemde zaken voor, de verbinding opzich disconnect ook niet.
Ik gebruik inderdaad een DHCP-client op ETH1 (WAN).

Er is aan de firewall-settings niets veranderd, alleen het modem van Ziggo is vervangen.
Afbeeldingslocatie: http://i60.tinypic.com/2yvv5ma.png

Ik heb er nu een RB951 tussen zitten en deze haalt strak de volledige bandbreedte.
Conclusie, de RB2011 is defect.
Heeft iemand hier al eens een Router met RMA terug gedaan naar interprojekt?

[ Voor 25% gewijzigd door allure op 28-07-2015 18:56 ]


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
De CCR1072 is ook gelanceerd via de routerboard website. Prijs is een dikke $3000. Opzich niet gek voor een Professionele router die een 10 Mpps door kan voeren.

De RB750Gr2(hEX) is ook gelanceerd via de routerboard website. Prijs is ongeveer $60. Ik vraag me af of dit het helemaal waard is. Maar de RB750r2(hEX lite) heeft wel een zeer gunstige prijs/prestatie verhouding. Het is een klein, handig, functioneel apparaatje.
chaoscontrol schreef op vrijdag 31 juli 2015 @ 17:19:
Nog steeds niets over een nieuwe release date voor de RB3011.
Ik zit ook te wachten op deze router. Volgens de sheets zou het Q2 zijn.
Ik benieuwd naar de prijs/prestatie verhouding. Deze was bij de RB2011 zeer gunstig.
Afbeeldingslocatie: http://static.tweakers.net/ext/f/DlpJFgZgiA0gK6KSHk5z5vVZ/medium.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

code:
1
DropRule input: in:ether1 out:(none), src-mac 00:22:90:c6:d5:d9, proto UDP, 111.105.xxx.xxx:13225->217.xxx.xxx.xxx:6881, len 129


Ik heb logging even aangezet op de drop rule op de input chain, en meteen daarna loopt de logfile vol met regels zoals hierboven getoont.
Het mac-adres is van het kabelmodem, het 2e ip is niet van mij 217.xxx.xxx.xxx is mijn externe WAN ip.

Afbeeldingslocatie: http://i58.tinypic.com/287oy2b.png

Ik heb geen torrent draaien op dit moment.

[ Voor 11% gewijzigd door allure op 04-08-2015 08:32 ]


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Mikrotik is blijkbaar een nieuw variant van de hAP(home access point) in de markt aan het zetten.

Dit is de wAP(wall access point). Dit model moet zeer geschikt zijn om tegen een muur of plafond te monteren. Hij is beschikbaar in 2 kleuren; Zwart en wit. De behuizing is geschikt voor zowel binnen als buiten gebruik. In de behuizing is rekening gehouden met kabels die direct uit de muur komen. Zo kan hij over een gat worden geplaats. Hij ondersteund PoE in. Jammer is dat hij alleen nog maar 2,4GHz ondersteunt.

Uitgebreide specs.
Prijs lijkt uit te komen op ongeveer 40 euro.

Afbeeldingslocatie: http://static.tweakers.net/ext/f/YhiB2omJLh4Niiek7D51S3HZ/full.png
Afbeeldingslocatie: http://static.tweakers.net/ext/f/n7CfNCch5LQfXVoftyXma7WG/full.png

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Sneakpeak van de RB3011.

klikbaar
Afbeeldingslocatie: http://static.tweakers.net/ext/f/ouVT4KANqpDK6rcbRi5u14yl/medium.jpgAfbeeldingslocatie: http://static.tweakers.net/ext/f/ZD3IxChXIn71s4gGLmPMcSs3/medium.jpg
Afbeeldingslocatie: http://static.tweakers.net/ext/f/hkqOZqTAF9l4Y7OM60n4PNFI/medium.jpgAfbeeldingslocatie: http://static.tweakers.net/ext/f/2WQtGzSHNh58Rz24vOMv9tTO/medium.jpg

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • mrc4nl
  • Registratie: September 2010
  • Laatst online: 17:26

mrc4nl

Procrastinatie expert

De wifi prestaties van de 2011UiAS-IN vind ik beroerd

ziggo 2.4G
Afbeeldingslocatie: http://tweakers.net/ext/f/cf7nKvUAIMlZquSb46h9Azbq/full.png
unifi AP (aangesloten op de 100mbit poort)
Afbeeldingslocatie: http://tweakers.net/ext/f/s1h3A3qg3cfbkOGn5Fv5x4ea/full.png
en dan de mikrotik

Afbeeldingslocatie: http://tweakers.net/ext/f/f16Y6mVKCAVGhLdbXhwfZsOm/full.png

is dit normaal?

ora et labora


  • The Fatal
  • Registratie: Maart 2009
  • Laatst online: 09:50
hier doet hij het anders op een paar meter afstand prima getest met een MBP2010:
Afbeeldingslocatie: http://www.speedtest.net/result/4679623978.png

[ Voor 8% gewijzigd door The Fatal op 20-09-2015 21:01 ]


  • mrc4nl
  • Registratie: September 2010
  • Laatst online: 17:26

mrc4nl

Procrastinatie expert

Thralas schreef op zondag 11 oktober 2015 @ 22:56:
En in plaats van uitzoeken wat er nu werkelijk misgaat (Wireshark) of wat zaken uit te sluiten (ethernet ipv. WiFi, Unifi direct aan Ubee of juist zonder Unifi) noem je de RB2011 een pauperding.

Right.

Sorry, maar de kans dat het probleem tussen toetsenbord en computer zit is groter dan dat het aan de hardware ansich ligt.
Jaja ik ben de noob, ik weet het. En verdwaald raken al altijd de schuld van de persoon niet de wegwijzers.

Vind het gewoon stom dat een verkeerde config "prima" draait.
te weinig power via POE? droppen we random wat packets of connecties.

ow je hebt drop packets uitstaan bij de firewall config, geen probleem, sommige verbindingen laat ik wel in de wachtrij staan. we laten 9/10 door en die ene heeft dan pech.

ow je wil een sstp vpn server draaien?
prima, maar we houden de wan poort wel gesloten, stel je voor dat iemand van buiten je vpn server kan benaderen.Want documentatie hoe je die op een nette manier sstp openzetop de wan poort hebben we niet. Wel hoe je een sstp server aanmaakt, en port forwarding naar een intern adres is natuurlijk vreemd, dat gaat niet werken, want wat is het externe adres bij dubbele nat?

zodra ik ga rommelen in de firewall config om die sstp toe te laten, gaat het bij mij mis.
fdan werkt sstp wel maar krijg je zulke dingen
Afbeeldingslocatie: http://tweakers.net/ext/f/9z9S6bMSa5q7bCiTslMccC8z/thumb.png
ook èèntje gahad dat het laatste odnerdeel pas na 12 minuten binnenkwam :z

ora et labora


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Verwijderd schreef op woensdag 02 december 2015 @ 22:47:
...

En trouwens, sinds wanneer "vraagt" een client een adres? De PC vraagt dit aan:

DHCP-Local-LAN received request with id 2749550326 from 0.0.0.0
Afbeeldingslocatie: https://upload.wikimedia.org/wikipedia/commons/0/0d/DHCPDORA.png

Standaard:
Een pc vraagt op t netwerk "is hier een dhcp??"
DHCP zegt "Ja hier! Dit adres mag jij wel gebruiken"
PC zegt "okee ik gebruik dit adres"
DHCP zegt "okee"

Bekend lan:
Een pc vraagt op t bekende netwerk "is hier een dhcp?? Zo ja ik had dit adres mag ik die weer."
DHCP zegt "Ja hier! Dit adres mag jij wel gebruiken"
PC zegt "okee ik gebruik dit adres"
DHCP zegt "okee"


Check ook even of de ranges van jouw dhcp server en zijn pool matchen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 25-06 18:08
Tenzij je de PPTP Client zelf toegevoegd, staat die standaard niet in een bridge. Kan je eenvoudig zien a.d.h.v. de status letters voor de interface:

Afbeeldingslocatie: http://i.imgur.com/IFGXilQ.png

S = Slave (in een bridge)
R = Running (actief)
X = Disabled (uitgeschakeld)

[ Voor 24% gewijzigd door Petervanakelyen op 06-12-2015 21:40 ]

Somewhere in Texas there's a village missing its idiot.


  • dovo
  • Registratie: November 2015
  • Laatst online: 15-02 09:20
Als je de Quick Set standaard configuratie doet is het normaal gezien juist en veilig ingesteld.
Zo heb ik het ook gedaan en geen enkel probleem daar mee ondervonden.
Dit is mijn firewall config. Ik heb VPN en winbox geconfigureerd om van buitenaf bereikbaar te zijn.
Afbeeldingslocatie: http://i.imgur.com/rEVX7jm.png

  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Afbeeldingslocatie: http://img.routerboard.com/mimg/1136_l.jpg
De Routerboard hAP ac Lite is op de routerboard website geplaatst. Helaas nog niet te bestellen via de Inter Project website.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
Mikrotik heeft een nieuwe router geïntroduceerd.
Normaal gesproken weinig spannends, maar ik vond deze toch het vermelden waard.
Vooral omdat ik de non-lite versie hiervoor al had ingezet.
Maar deze het dubbel zo goed overdoet.

De mAP Lite!!

mAP Lite
mAP
Afbeeldingslocatie: http://img.routerboard.com/mimg/1160_l.jpgAfbeeldingslocatie: http://img.routerboard.com/mimg/942_l.jpg
CPUQCA9533@650MHZ
(zelfde als hAP lite)
AR9331@400MHZ
WIFIdual chain 802.11 b/g/n, 2GHzsingle chain 802.11 b/g/n, 2GHz
Connections
  • 802.3at POE-in(ETH1)
  • 5V-micro USB
  • Passive POE-in(ETH1)
  • Passive POE-out(ETH2)
  • 12V-jack
  • 5V-micro USB
Extra'sMagnetische backplate
LinksRB mAP LiteRB mAP

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
raymonvdm schreef op donderdag 14 januari 2016 @ 10:45:
Ik heb twee keer een HAP Lite maar ik krijg mijn wifi netwerk niet heel stabiel. Voor nu heb ik een van de twee uit staan omdat ze soms elkaar overlappen maar vooral android clients lijken instabiel ook met 1 hap aan

Wat is de beste wifi setup hiervoor?


RB450G (CAPsMAN)

code:
1
...


Dit is de export van een van de twee HAP Lites

code:
1
...
code:
1
add action=reject comment="Reject All Client with low Signal" disabled=no interface=all signal-range=-120..-71 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat


Disable deze rule is en probeer dan is.
Aangezien de hAP Lite niet de sterkste zender is en -71dB aan de hoge kant is gekozen, krijg je veel drops.
Je zou eventueel ook eerst even kunnen loggen.

Afbeeldingslocatie: http://tweakers.net/ext/f/F29uYGgv4nzETzD4vKujEwPI/full.png
Zoals je hier kan zien zijn een aantal verbonden apparaten op mijn hAP's in de -70db range en lager.
Over het algeheel is de -70dB/-80dB range niet heel raar.

[ Voor 12% gewijzigd door rohaantje op 14-01-2016 14:30 . Reden: Onderbouwing hAP argument ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 12-06 14:23
rohaantje schreef op dinsdag 26 januari 2016 @ 13:34:
Zou je is een Screenshot van Wifianalyzer/inssider kunnen posten?
Afbeeldingslocatie: http://files.raqxs.nl/mikrotik/inSSIDer_Overview.PNG

  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 12-06 14:23
Ik heb hem pas geleden aangepast naar 40 MHz omdat dat juist beter zou zijn. Ik ben al een tijdje aan het stoeien namelijk en heb twee HAP Lite access points waarvan eentje boven en eentje beneden.

De SSID (wifi) die ik gebruik voor telefoons en laptops is op dit moment alleen actief op het access point beneden om overspringen tussen de twee access points tegen te gaan.

Ik wil wel overstappen op 5Ghz maar ik weet nog niet of dat de HAP Lite AC gaat worden of een Ubutique UniFi AC Lite. Ik ben tot nu toe Mikrotik minded overigens :-) maar ik lees hier in het UniFi topic dat die dingen zo goed werken,

Ik vraag me alleen af of die mensen ook zoveel buren hebben?


Overigen lijkt er wel iets te zijn met 40 / 20 Mhz want in inSSIDer zijn mijn netwerk lijntjes soms ineens twee keer zo breed. Als op de Mikrotiks iets geks doen

Breed
Afbeeldingslocatie: http://files.raqxs.nl/mikrotik/inSSIDer_Overview2.PNG


Smal
Afbeeldingslocatie: http://files.raqxs.nl/mikrotik/inSSIDer_Overview3.PNG

[ Voor 19% gewijzigd door raymonvdm op 27-01-2016 23:35 ]


  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 12-06 14:23
Ik heb nu specifiek voor alle sub interface de bandwith opgegeven en dat extension channel op disabled gezet en dat geeft het volgende resultaat

Afbeeldingslocatie: http://files.raqxs.nl/mikrotik/Mikrotik_CAPS.PNG

Afbeeldingslocatie: http://files.raqxs.nl/mikrotik/inSSIDer_Overview4.PNG

Misschien blijft hij nu stabieler en wordt de volgende toch weer een Mikrotik _/-\o_

[ Voor 39% gewijzigd door raymonvdm op 27-01-2016 23:45 ]


  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
rohaantje schreef op dinsdag 02 februari 2016 @ 16:18:
[...]


De RB2011 staat er inderdaad bekend om, om gebruikt te worden met de KPN glasvezel lijn. De 500/500 is altijd spannend geweest. Maar sinds release 6.29 is fasttrack geïntroduceerd.
Volgens de mikrotik site zou daarmee tot 800Mbit moeten kunnen(als ik mij dat goed herinner. Ik kan het niet terug vinden)
Direct even getest:

Zonder fasttrack: Afbeeldingslocatie: http://www.speedtest.net/result/5051308746.png

met fasttrack: Afbeeldingslocatie: http://www.speedtest.net/result/5051324996.png

  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
Een tip welke ik gekregen heb van een kennis is het overclocken van de cpu om te kijken of dit veel impact heeft,

Ik heb om te testen, de mikrotik overgeklockt van 600 Mhz naar 700 Mhz. Zie hier het resultaat;

600 Mhz:
Afbeeldingslocatie: http://www.speedtest.net/result/5053407853.png

700Mhz:
Afbeeldingslocatie: http://www.speedtest.net/result/5053424763.png

Bij de 600Mhz test valt op dat de mikrotik echt op 100% cpu zit en bij de 700Mhz test zit hij rond de 80-90%

Ik heb thuis nog een kleine fan liggen, maar eens kijken of ik die komend weekend in de mikrotik kan bouwen zodat het geheel niet smelt..

  • chaoscontrol
  • Registratie: Juli 2005
  • Laatst online: 18:01
Hmmbob schreef op donderdag 04 februari 2016 @ 05:10:
Kan zomaar de meetnauwkeurigheid (of onnauwkeurigheid) van die tests zijn, kan me niet voorstellen dat die op een upload van 500 zijn ingesteld
De tests geven nog steeds hetzelfde aan. Kan iemand anders ook even fasttrack proberen op een 500 lijn en een rb2011? Uploaden naar de ftp van mijn werk gaat met 52 MB/s, dat is toch wel zon 470 Mbit.

Komt overeen met de speedtest nu:
Afbeeldingslocatie: http://www.speedtest.net/result/5056805990.png
rohaantje schreef op donderdag 04 februari 2016 @ 09:12:
[...]


Ik vindt t nog steeds jammer dat ik niet mee kan praten over glas aansluitingen en ziggo e.d.
Ik zit hier op t moment achter een draadloos mikrotik netwerk. Platteland ergens in friesland.
Het netwerk is een 500/500 aansluiting bij upc.
Dit wordt gerouteerd door een CCR1036.
Met meerdere dynadisch 5 devices wordt de backbone gevormd.
Lokaal boven de dorpen wordt met omnitiks en sxt devices gewerkt.
Zelf hebben we hier een sextant op 15m hoogte hangen.
Ik kan hier prima 20/20 overheen trekken.. Maar verder is ons abbo niet.
Jouw tijd komt nog wel. :+ Ik wist trouwens niet dat we Mtik ISP's hadden in NL! Welke club doet dit daar? Wat is je latency naar het internet?

Inventaris - Koop mijn meuk!


  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09-2025
chaoscontrol schreef op donderdag 04 februari 2016 @ 11:33:
[...]

Jouw tijd komt nog wel. :+ Ik wist trouwens niet dat we Mtik ISP's hadden in NL! Welke club doet dit daar? Wat is je latency naar het internet?
Dat zeker.. 2100 ofzo XD
We hebben een Mtik ISP in Nederland. Zo ben ik er ook bij gekomen trouwens.
Northnets zit daar achter. T zijn in theorie allemaal kleine stichtingen die het regelen.
Maar 1 bedrijf zit daar achter: https://www.arobantennebo...ternet-op-het-platteland/
Over de services hebben we t maar niet. Maar na lang schoppen en zeuren hebben we een prima verbinding.

Afbeeldingslocatie: http://www.speedtest.net/result/5056826806.png
Er wordt op t moment hier gewerkt met RDP e.d. door een aantal mensen. Dus vandaar de lagere bandbreedte.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
He wat vreemd, ik vind net online een sheet met de 3011 desktop versie online.. deze zou eigenlijk in q4 2015 uitkomen maar kan hem nog steeds nergens vinden..

Pagina 25 op:
http://www.slideshare.net...k-product-catalog-2015-q4

rb3011

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 15:35
MvZeeland schreef op dinsdag 16 februari 2016 @ 16:08:
[...]


6.34.1 is de nieuwste verdie van RB
Dat is niet wat hij bedoelt - je hebt firmware voor het routerboard en het OS wat daar bovenop draait:

Afbeeldingslocatie: http://i63.tinypic.com/346kpe9.png

Beiden te vinden in het "system" menu, de ene heet "packages", de andere letterlijk "routerboard".

[ Voor 13% gewijzigd door Hmmbob op 16-02-2016 16:18 ]

Sometimes you need to plan for coincidence


  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
Vreemd, ik begin te twijfelen aan het test systeem.. Deze zit met een CAT6 FTP kabel van 2 meter aan Ether3 van de RB3011. Hier heb ik even een VM opBij een /tool bandwidth-test krijg ik maar de volgende resultaten:

rb3011 vs x86 2

Vreemd, zou dit niet gewoon gigabit moeten zijn?

  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
Stephanoid schreef op woensdag 17 februari 2016 @ 11:05:
[...]


Het lijkt me sterk dat de cpu van de rb3011 snel genoeg is om 1gbit aan packets te genereren. Je kunt ff in de resources kijken wat de cpus doen van zowel je VM als de rb3011. Als er eentje op 100% staat, dan zal het niet sneller worden dan dit.

Je kunt ook testen door vanaf je vm, door de RB3011 heen naar een andere PC (waar je dan btest.exe op draait) te testen wat je haalt. Als je PCs snel genoeg zijn, dan moet je wel 1gbit halen.
Je kunt ook gewoon een bestand van de ene pc naar de andere kopieren, als die allebei een SSD hebben, dan zou je ook 1gbit moeten halen.

Edit: ik heb net met een PC naar een RB2011 getest, ik krijg 950mb als de RB2011 naar de pc zend en 700mb als de pc naar de RB2011 zend. In beide gevallen gaat de CPU van de RB2011 naar 100%
Ik verwacht dat een RB3011 dat dan toch zeker ook zou moeten kunnen... valt me weer mee :)
Je hebt gelijk, de VM wordt meteen getrokken naar 100%
Afbeeldingslocatie: http://tweakers.net/ext/f/D0mv8ora36cGWAoV6lrT2VtE/full.png

Terwijl de RB3011 nog maar half werk levert..
Afbeeldingslocatie: http://tweakers.net/ext/f/xg1LoNPhb6UB9uyk3VSYurXU/full.png

  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
VM geupgrade met 4 cores, scheelt wel wat. Zal later nog wat meer testen doen met m'n eigen pc..

Afbeeldingslocatie: http://tweakers.net/ext/f/28OpbITSXzIfCuW8foRrKqFl/full.png

  • enterz
  • Registratie: Februari 2010
  • Laatst online: 03-12-2025
Stephanoid schreef op woensdag 24 februari 2016 @ 11:34:
[...]


Heb je dit toegevoegd aan je firewall (zo hoog mogelijk in de lijst)?

/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related
Staat zoals hier een screendump van winbox. De rule staat er, hij zegt in tcp settings ook enabled.
Maar volgens het mikrotikforum is de 800 wel supported, maar 850gx2 staat er niet expliciet tussen. Dus daar zou het best door kunnen komen lijkt me?

Afbeeldingslocatie: http://home.enterz.nl/tmp/mikrotik.png

  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
Whoops..

Sinds enkele uren valt me het volgende op,

Afbeeldingslocatie: http://tweakers.net/ext/f/v1OzN7nP4i2PZXreG6tvgoLa/full.png

Heeft iemand hier enige verklaring voor?

  • hendymen
  • Registratie: April 2012
  • Laatst online: 08-06 14:37
Stephanoid schreef op zaterdag 27 februari 2016 @ 16:57:
[...]


Misschien moet je deze screenshot en een supout file naar support@mikrotik.com sturen, ik denk dat ze dit ook wel interessant vinden :)
Gedaan, inmiddels is dit de mailwisseling voor wie het intressant vindt..
Dear Mikrotik,

Recently i've upgraded from an RB2011 to an RB3011 because i upgraded from an 100/100 to a 500/500 Mbit FTTH line. Because of the throughput. But now on the RB3011, i'm not getting any higher throughput than before with the RB2011.

My question is regarding fasttrack and PPPOE. I've noticed that the RB2011 has now support on PPPOE and fasttrack with 6.35rc12. However the RB3011 has not got this support yet.

When is this planned for the RB3011?

Thanks in advance,
Hello,

not true, RB3011 have full fastpath support so pppoe-client fastpath also works there.
Please, send supout.rif file, so we can check why your fastpath is not working.

Regards,
Janis M.
Dear Mikrotik,

I'm having this strange thing right now, this just catched my glimps.
Afbeeldingslocatie: http://tweakers.net/ext/f/v1OzN7nP4i2PZXreG6tvgoLa/full.png

Kind regards,
Hello,

Please, check these:
feb/22 18:36:37 interface,warning ether2 excessive or late collision, link duplex
mismatch?
feb/22 18:36:37 interface,warning ether2 excessive broadcasts/multicasts, probably a
loop
feb/22 18:38:07 interface,warning ether7 excessive broadcasts/multicasts, probably a
loop

As far as i can see interface Fastpath counters are working fine.

Last screenshot looks like result of the crash, sent new supout.rif file.

Also next RC version is available, use it.

Regards,
Janis M.
Dear Janis,

Thanks again!

Ok, i've fixed the crash. It was the Ether2 and a Rasberry PI giving issues. I've unplugged it now and installed the newest rc version but the speed hasn't increased.

Please see supout.rif attached.

Kind regards,
Hello,

as far as i can see all is in order:
ipv4-fasttrack-active: yes
ipv4-fasttrack-packets: 541525
ipv4-fasttrack-bytes: 39456066

Please, describe your testing method.

Regards,
Janis M.
Janis,

Thanks again for the fast reply!

I'm testing it by downloading regular 1gb.bin files from several ISP's here in The Netherlands via TCP HTTP.

Is there an possibility to do an /bandwidth-test with an external mikrotik server? Also i've plugged the original router which was provided by the ISP in and it's giving me full bandwidth, 500/500.

I've managed to get my hands on an RB2011 again, i'll try the RB3011 config on the RB2011 and will compare them.

Kind regards,
Update 03-03-2016 19:00
Dear Janis,

Did some testing again and didn't manage to get higher speeds than 250/300Mbit on the rb2011 with the same config. However I also didn't manage to get higher speeds on the ISP router. So i've called the ISP and they did some line-testing and didn't get any higher speeds either. So they are sending an mechanic tomorrow to have an look. I'll keep you updated!

Thanks for the effort.

Kind regards,
Ik zal de mailwisseling bij blijven werken.

[ Voor 28% gewijzigd door hendymen op 03-03-2016 19:11 ]


  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 10:57
Sinds de laatste RouterOS versie 6.35 valt het mij op dat het traffic om de 2 a 3 seconden terugvalt naar 0kb/s, op alle interfaces behalve de bridge:

Afbeeldingslocatie: https://arc.int32.nl/index.php/s/PUpSpJPTdW97R3T/download

Mogelijk dat dit ook al eerder zo was maar ik het toen niet gezien heb.... het ziet er in ieder geval niet heel normaal uit... weet iemand waar dit door kan komen?

Zo normaal:
Afbeeldingslocatie: https://arc.int32.nl/index.php/s/WUqbOhirYAtf9ux/download

en zo om de 3 sec.:
Afbeeldingslocatie: https://arc.int32.nl/index.php/s/UIWnUG8G3md35WY/download

[ Voor 20% gewijzigd door Aesculapius op 16-05-2016 15:13 . Reden: extra plaatjes ]

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker


  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 10:57
Het gold voor elk verkeer dat er overheen ging, van ftp, http tot gewoon rdp verkeer. Maar zojuist zag ik dat er een routerboard firmware upgrade was dus die gedaan (3.33) en RouterOS naar 6.35.2 en waarempel loopt alles nu weer in de pas zoals verwacht.

Afbeeldingslocatie: https://arc.int32.nl/index.php/s/72Pms5cOihniHLv/download

Alleen nu nog een bandwidth issue op de WAN interface, maar daar sleutel ik eerst wel eens wat aan.

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker


Verwijderd

Thralas schreef op maandag 16 mei 2016 @ 20:21:
[...]


Zie de laatste paar posts, dat probeerden we net te verhelpen dmv. Quickset & AP defaults ;)
Effe opnieuw proberen:

Afbeeldingslocatie: https://www.mupload.nl/img/vq1epoxlgi3nx.jpg

Verwijderd

Thralas schreef op maandag 16 mei 2016 @ 20:59:
[...]


Je WiFi-wachtwoord is nog niet helemaal weggepoetst..

Die 'dual band AP' Quickset-optie doet ook niet helemaal wat ik verwachtte. Blijkbaar verwacht hij toch een echt apart 'upstream' netwerk, terwijl jij 1 groot netwerk wil. Lijkt me desalniettemin het handigste startpunt.

Tenzij je in die port dropdown voor 'none' kunt kiezen...

De handigste route is dan, voor nu:
  1. Vul onder 'Local Network' de juiste IP-reeks van je LAN in, geef je routerboard het liefst een adres dat niet wordt uitgedeeld door de DHCP server op je router..
  2. 'DHCP Server' en NAT uitvinken
  3. Prik het kabeltje richting je router in eth2
Als het goed is heb je dan in ieder geval een werkend access point, dan kun je daarna in alle rust eth1 aanpassen (en er een LAN-poort van maken ipv. WAN, hoe dat moet beschreef ik in m'n eerdere post).

Bonustip: als je in Winbox (versie 3!) even op het tabblad 'neighbours' klikt kun je verbinding maken op laag 2 (dubbelklikken op de entry van je router, zodat het MAC-adres in het 'Connect to' veld verschijnt). Dat heeft als voordeel dat je verbinding er niet uitvliegt als je het IP van de router wijzigt (bijvoorbeeld als je met Quickset in de weer bent).
Ik vrees dat ik een beginners guide nodig ben, om de instellingen te veranderen. Ben op het moment buitengesloten en kom niet meer in de hAP AC. Kan ik hem resetten tot factory defaults en opnieuw beginnen?
Ik wil gewoon een kabel van router naar eth1 ivm POE. En dan via de hAP AC met laptop, telefoon en Ipad op internet en NAS op thuisnetwerk kunnen.
Moet ik dan de DHCP server van de router anders instellen en DHCP en NAT op de hAP AC uitschakelen? De hAP AC een vast IP adres geven?
Moet ik onder Local network op hAP AC nog een IP adres instellen als DHCP en NAT hierop uitgeschakeld zijn?
Krijgen apparaten die via de hAP AC toegang krijgen tot mijn thuisnetwerk een ip addres van de DHCP server op de router?

Wat is de juiste volgorde van instellen om te voorkomen dat ik weer buiten gesloten raak?

Ik heb ook de instelling onder de buttons aan de zijkant van het scherm bekijken en raakte hierdoor een beetje overdondert/

Sorry hoor! Alvast bedankt voor alle hulp! Ik ga dit nog wel leuk vinden als ik het een beetje ga snappen.

En dan wil ik later ook nog een MT router. Hebben jullie suggesties? RB3011 1100AHX2? CRR of CRS series?

Resetten van de hAP AC is gelukt!

Winbox liet de volgende default config van de hAP AC zien

Afbeeldingslocatie: https://www.mupload.nl/img/ow2nmhywndodk.%20conf..jpg

[ Voor 3% gewijzigd door Verwijderd op 17-05-2016 12:21 ]


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Kijk even naar de bonustip van Thralas.. misschien met een plaatje iets duidelijker:

Afbeeldingslocatie: http://wiki.mikrotik.com/images/4/4c/Wb-man-1.PNG

Als je onder neighbors in de kolom MAC Address op een entry dubbelklikt zal dit adres in 'Connect To' verschijnen. Hiermee kun je zonder ip (bekabeld) op iedere poort connecten in een empty config. In de default config alleen op ether2-5.

Het is wel belangrijk dat je in de eerste kolom dubbelklikt, anders zal hij alsnog het ip-adres gebruiken.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Verwijderd schreef op woensdag 18 mei 2016 @ 12:29:
[...]

Ik krijg al een gevoel waar het fout gaat. Ik begrijp wat die commandos' betekenen, maar waar vind ik al die instellingen. Ik bedoel firewall rules clearen (filter + nat), DHCP-server verwijderen, DHCP-client verplaatsen van ether1 naar ether2-master, Switch > switch all ports inschakelen en ether1 op master-port=ether2-master zetten. Moet ik alle firewall rules clearen, of alleen die voor eth1?
Firewall rules clearen (filter + nat)
Ga naar IP, Firewall en verwijder daar alle regels onder de 1e twee tabbladen (filter en nat).
Waarom? Omdat je AP al in het interne netwerk zit, hoef je verder niet veel aan firewalling te doen. Uiteraard niet het meest veilige advies maar ik denk voor jou nu wel het meest effectief/het handigst.
Afbeeldingslocatie: http://2.bp.blogspot.com/-QIfRASSlmUA/VRoz_ZR4TGI/AAAAAAAABrA/M6yTxFtlwMs/s1600/1.png

DHCP-server verwijderen
Ga naar IP, DHCP Server en verwijder daar de entry onder het 1e tabblad (DHCP), waarschijnlijk heet deze 'default'.

DHCP-client verplaatsen van ether1 naar ether2-master
Ga naar IP, DHCP Client, dubbelklik de eerste (en enige) entry en wijzig de interface van ether1 in ether2-master.

ether1 op master-port=ether2-master zetten
Ga naar Interfaces, dubbelklik ether1 en zet 'master port' op ether2-master.
Wat houdt die master eigenlijk in? En de LAN poorten zitten intern toch op dezelfde switch? En wat maakt van eth1 een WAN ipv een LAN poort?
Wat de MT zo flexibel maakt is dat er juist geen vaste WAN/LAN-interface bestaat. Om hierin tegemoet te komen heeft men wel een default config toegevoegd geschikt voor een WAN/LAN-situatie.
Er zit weliswaar een switch-chip op maar de daadwerkelijke switch-functionaliteit wordt pas geactiveerd als je de te switchen poorten aan elkaar koppelt via een master/slave-combinatie. In de default config wordt dit alleen voor het LAN-gedeelte gedaan (ether2-5). Ether1 heeft geen master-port, is daarmee een losstaande interface en maakt geen onderdeel uit van je switch. Door de master-port in te stellen op ether2-master zal hij wel onderdeel uit gaan maken van je switch.

E.e.a. staat verder beschreven in de wiki: Port Switching
Verwijderd schreef op woensdag 18 mei 2016 @ 12:29:
[...]

Ik heb de bovenstaande commandos uitgevoerd en na het laatste commando ether1 op master-port=ether2-master zetten verandert de default configuratie in een WISP AP in bridge mode en heb ik nog maar een 5 GHz wlan ipv 2. Het 2.4 GHz wlan is verdwenen. Is dat wel de bedoeling?
De 'default configuratie' resp. 'Quick Set'-configuratie is bedoeld voor het snel / eenvoudig opzetten van je initiële configuratie. Hierna zou je eigenlijk niet meer naar dit scherm moeten kijken. Het kan je configuratie behoorlijk door elkaar gooien. Het standaard tonen van de quickset in de webinterface (na initiele config) wordt door de gebruikers ook als onlogisch ervaren.

[ Voor 15% gewijzigd door nescafe op 18-05-2016 13:00 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

Thralas schreef op maandag 13 juni 2016 @ 18:20:
Volgens mij bevat de default firewall ruleset een regel om dstnat'ed traffic op de FORWARD chain toe te staan, maar check ook daar of je pakketjes niet sneuvelen. Maak waar nodig gebruik van LOG regels om je firewall te debuggen.

Een andere mogelijke catch is afhankelijk van hoe je de NAS denkt te kunnen benaderen, of dat momenteel probeert. Moet het ook vanaf je LAN werken als je het (externe) IP-adres gebruikt? Dan moet je een 'hairpin NAT'-regel toevoegen - zie de MikroTik-wiki.

Als je er nog niet uitkomt, post dan even je config, dan kunnen we meekijken.
Bedankt voor je reactie :)

Er zit (volgens mij) idd een standaard regel om dstnat'ed traffic op de FORWARD chain toe te staan.
Ik heb de logging op mijn custom firewall rule ingeschakeld, met het volgende resultaat:
Afbeeldingslocatie: http://i.imgur.com/hGIN4Xd.png
Hij ziet hem/het request dus wel binnenkomen..

Hieronder mijn config, is dit zo voldoende?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
[admin@MikroTik] > /ip address print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Mikrotik LAN
     address=192.168.88.1/24 network=192.168.88.0 interface=ether2-master 
     actual-interface=bridge 

 1   ;;; Ziggo WAN
     address=192.168.0.200/24 network=192.168.0.0 interface=ether1 
     actual-interface=ether1 




[admin@MikroTik] > /ip route print detail 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 A S  dst-address=0.0.0.0/0 gateway=192.168.0.1 
        gateway-status=192.168.0.1 reachable via  ether1 distance=1 scope=30 
        target-scope=10 

 1 ADC  dst-address=192.168.0.0/24 pref-src=192.168.0.200 gateway=ether1 
        gateway-status=ether1 reachable distance=0 scope=10 

 2 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge 
        gateway-status=bridge reachable distance=0 scope=10 




[admin@MikroTik] > /ip firewall export 
# jun/14/2016 00:05:44 by RouterOS 6.35.2
# software id = X1KZ-JYM0
#
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept establieshed,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1
add action=dst-nat chain=dstnat dst-port=1-65535 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.123 to-ports=1-65535


De wiki van de hairpin is me nog niet helemaal duidelijk, die zal ik morgen nogmaals opnieuw lezen. Momenteel probeer ik via 4G, dus niet via mijn eigen WiFi netwerk, mijn NAS te bereiken.

Hartelijk dank!

Never gonna let you down


  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

Thralas schreef op woensdag 15 juni 2016 @ 18:58:
[...]


Nee, sorry, ik geloof dat ik 'm snap. In je config export zie ik de log-actie niet terug, daardoor was ik even in de war. Als ik het goed begrijp heb je de log-actie op de daadwerkelijk NAT-rule toegevoegd?

Als die rule gehit wordt zit het daar goed, en dan zou ik evenwel wat logregels toevoegen in de firewall (filter table) op de forward chain, tot je daar je TCP SYN met herschreven adres ziet langskomen.

Aan je firewall zou het niet moeten liggen als ik je config mag geloven, maar dat betekent wel dat je de SYN zou moeten zien met een logregel die helemaal achteraan staat (omdat je nu nog een 'default accept' policy hebt).

Die Ziggo-router zou ik laten bridgen als je er verder geen WiFi van gebruikt, dan ben je van die dubbele NAT af en is je hAP de enige router. Zou voor deze kwestie verder niet uit moeten maken..
Bedankt voor je reactie.

Ik heb de logging aangezet op alle firewall rules met 'forward' erin en op mn NAT rule. Dat ziet er dan zo uit als ik via 4G op mn telefoon mijn NAS Webinterface probeer aan te roepen:

Afbeeldingslocatie: https://i.imgur.com/DIxBSHh.png

Er zit een beetje vervuiling tussen denk ik, aangezien ik maar 1 logregel zie die echt over mn request naar mn synology gaat. Ik zie idd de TCP SYN regel, maar aankomen doet ie niet :-(

Er zou geen sprake mogen zijn van een dubbele NAT omdat ik in de Ziggo router een DMZ heb opgezet naar het adres van mijn Mikrotik, maar ik kan hem ter test wel in Bridge zetten. Continue in bridge kan niet, ik heb met kabel nog direct wat apparaten op de Ziggo router hangen (o.a. m'n Playstation) en de Mikrotik staat in een andere kamer dan de Ziggo router waardoor ik die dus niet direct erop in kan pluggen.

Never gonna let you down


  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

Thralas schreef op woensdag 15 juni 2016 @ 22:34:
Ik zie daar geen log hit voor de inkomende TCP SYN op je filter chain.
Ik heb mijn Ziggo modem in bridge modus gezet maar helaas, de rule werkt nog steeds niet.
Afbeeldingslocatie: https://i.imgur.com/tVvmmxz.png
Ik ben aan het eind van mijn latijn, wat nu ;(

Never gonna let you down


  • mbenjamins
  • Registratie: December 2012
  • Laatst online: 01:19
Als ik mijn nieuwe router aansluit op de modem dan verliest de modem steeds de dsl verbinding.

Hieronder een printscreen van de Quick Set
MikroTik Quick_Set
Wij hebben een THOMSON ST546 modem als ik het goed heb.

  • mbenjamins
  • Registratie: December 2012
  • Laatst online: 01:19
Hieronder het schema. Heb het even snel gemaakt.
Afbeeldingslocatie: https://tweakers.net/ext/f/VEjcPRI0JRYX5CnLTRsg61Br/thumb.png

Als de Mkrotik router goed werkt dan vervangt die nu op 192.168.1.* netwerk staat.

  • mbenjamins
  • Registratie: December 2012
  • Laatst online: 01:19
Thralas schreef op vrijdag 01 juli 2016 @ 15:01:
[...]


Lees nog even de overige reacties, die terecht de vraag stellen waarom je drie keer NAT doet binnen je netwerk. Heeft niet zo heel veel met dit probleem te maken als het goed is, maar dat oplossen voorkomt wel andere netwerkellende.

Verduidelijk daarna eens hoe je constateert dat je modem zijn verbinding verliest (hoe constateer je dat? screenshots?).

Hoewel je netwerksetup niet ideaal is, is er in die opstelling geen enkele reden waarom je modem z'n verbinding (!?) zou kunnen verliezen. Tenzij 'ie bang is voor NDP of IP-pakketjes. :+
Hieronder een screenshot van de modem wat laat zien dat de modem de verbinding verliest. Dat gebeurt alleen als die router er aan zit.
Afbeeldingslocatie: https://tweakers.net/ext/f/WKAZsNP5BJ5kDL3Fy9bQHsV1/thumb.png

En dat van het NAT dat weet ik zelf ook wel maar wil eerst dit goed voor elkaar hebben en ga daarna met NAT bezig.

  • chaoscontrol
  • Registratie: Juli 2005
  • Laatst online: 18:01
allure schreef op donderdag 15 september 2016 @ 18:35:
Vraagje, ik heb mijn abbonement bij Ziggo omgezet naar 300/30 nu loop ik met de Rb2011 tegen de 200Mbit limiet aan met mijn config.
Heeft iemand hier de RB2011 boven de 200Mbit WAN-snelheid?

Zoniet, dan zal ik moeten kijken naar een snellere router.
http://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

Is geen probleem. ;)

Afbeeldingslocatie: https://www.speedtest.net/result/5634250393.png

[ Voor 10% gewijzigd door chaoscontrol op 15-09-2016 19:44 ]

Inventaris - Koop mijn meuk!


  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 25-06 18:08
Interessante talk, jammer dat Windows de presentator niet gunstig gezind is :D

Afbeeldingslocatie: https://i.imgur.com/4juPKq0l.jpg

Somewhere in Texas there's a village missing its idiot.


  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

De 2011 kan meerdere poorten bonden.
Afbeeldingslocatie: http://i66.tinypic.com/fwiwy0.png

  • SpikeHome
  • Registratie: Oktober 2001
  • Laatst online: 18:06
Heren ben al een paar dagen aan het stoelen met vlans.
krijg het niet goed eigenlijk.
zal wel iets verkeerds doen.
hier mijn situatie:
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/netwerk-home.jpg

Momenteel werkt het zonder vlans en zonder het guest wifi (die is uitgezet).
Ook alle poorten staan nog op 1 netwerk.

wat zijn de juiste stappen om te doen?
TNX

  • WeaZuL
  • Registratie: Oktober 2001
  • Laatst online: 18-06 15:23

WeaZuL

Try embedded, choose ARM!

Ik ben op zoek naar een manier om mijn CRS125 tegen de muur te schroeven. Nu kom ik twee montage methodes tegen:

Afbeeldingslocatie: https://shop.duxtel.com.au/images/RMK-CCR-CRS-Rack-Mount-Kit-Ears_lg.jpg

en / of

Afbeeldingslocatie: https://cdn.thingiverse.com/renders/4e/73/81/dd/5d/e2191c643bfcc3cf01dc7b02cabe2414_preview_featured.JPG

Iemand er ervaring mee en/of enig idee waar ik iets dergelijks kan scoren?

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 18:20

The Executer

Lekker belangrijk!

Hoe kijken jullie tegen onderstaande firewalling aan? Ik heb het in gebruik met address lists (Allow list/Blocked list).

Mikrotik_Firewall

- Traffic komt binnen, bijvoorbeeld poort 3389
- Source IP op allow list? Verkeer mag door.
- Indien source IP adres =! Allow list treed regel (bijvoorbeeld) 10 of 11 in werking en wordt je IP aan de address list toegevoegd, in dit geval de Blocked list
- Vervolgens treed regel 12 in werking, oftewel: Alles wat op de blocklist staat, wordt gedropt.

Ik heb bewust bovenaan ook een drop staan, om te voorkomen dat verkeer wat reeds door regel 10/11 op de blocklist gezet is en bij 12 gedropt wordt, nogmaals door de rules heen gaat en het opnieuw kan proberen.

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • WeaZuL
  • Registratie: Oktober 2001
  • Laatst online: 18-06 15:23

WeaZuL

Try embedded, choose ARM!

WeaZuL schreef op zaterdag 7 oktober 2017 @ 22:19:
[...]


Ja er zitten wel schroefgaten aan de zijkant. Klopt, met een alu strip kom je ook een eind. Ik heb net een 3dhub in de buurt aangeschreven, voor die beugels, ik ben benieuwd. Voor mij de eerste keer dat ik een aangeleverd model laat printen :X
Mijn CRS125 ge3d printe muurmontagebeugels zijn binnen, ben er erg content mee. Enkel zit de aardingspin aan de achterzijde in de weg, zijn er mensen die die aardingspin in gebruik hebben?

Mocht iemand interesse hebben in een 3d print job, kunnen ze middels deze code extra printegoed scoren.

Afbeeldingslocatie: https://s1.postimg.org/941r0908a7/photo5976644668710038386.jpg

[ Voor 4% gewijzigd door WeaZuL op 11-10-2017 16:17 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • WeaZuL
  • Registratie: Oktober 2001
  • Laatst online: 18-06 15:23

WeaZuL

Try embedded, choose ARM!

DJSmiley schreef op dinsdag 17 oktober 2017 @ 14:53:
[...]


Juiste SFP gebruikt? Als je SFP DDM heeft: Zijn je powerlevels goed?
Niet toevallig een 1Gbase-BX optic op een 100Base-BX lijn? de NTU's zijn vaak 100/1000Mbit
Goede vraag, ik heb de volgende SFP module van deglasvezelshop.nl die ondertussen niet meer bestaat |:(

[admin@MikroTik] > /interface ethernet monitor sfp1-gateway 
                    name: sfp1-gateway
                  status: link-ok
        auto-negotiation: disabled
                    rate: 1Gbps
             full-duplex: yes
         tx-flow-control: yes
         rx-flow-control: yes
      sfp-module-present: yes
             sfp-rx-loss: no
                sfp-type: SFP-or-SFP+
      sfp-connector-type: SC
     sfp-link-length-9um: 20000m
    sfp-link-length-50um: 550m
    sfp-link-length-62um: 550m
         sfp-vendor-name: CISCO-FINISAR
  sfp-vendor-part-number: GLC-BX-U
     sfp-vendor-revision: 1.0
       sfp-vendor-serial: 15080500304
  sfp-manufacturing-date: 15-08-05
          sfp-wavelength: 1310nm
         eeprom-checksum: good
                  eeprom: 0000: 03 04 01 00 00 00 00 12  00 0d 01 01 0d 00 14 >
                          0010: 37 37 00 00 43 49 53 43  4f 2d 46 49 4e 49 53 >
                          0020: 52 20 20 20 00 00 1d 77  47 4c 43 2d 42 58 2d >
                          0030: 20 20 20 20 20 20 20 20  31 2e 30 20 05 1e 00 >
                          0040: 00 1a 00 00 31 35 30 38  30 35 30 30 33 30 34 >
                          0050: 20 20 20 20 31 35 30 38  30 35 20 20 00 00 00 >
                          0060: 2d 00 11 dd 31 9a 4e 27  bb 0c 12 bf 1b ab 24 >
                          0070: 8b 76 a7 a8 83 00 00 00  00 00 3a f7 4f bb 83 >
                          0080: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          0090: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00a0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00b0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00c0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00d0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00e0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >
                          00f0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 >


Als ik vervolgens kijk in webmin bij interfaces -> SFP1 dan zijn de volgende DDM waarden leeg. Op basis daarvan kan ik dan concluderen dat deze SFP geen DDM ondersteund? Want hierboven geeft hij wel aan dat hij link heeft.

Temperature		 
Supply Voltage		 
Tx Bias Current		 
Tx Power		 
Rx Power		 
MAC Address	


Ik ben er nu wel klaar mee, dat wil zeggen van mij mag het wel ens gaan werken na twee jaar :X Ik heb ondertussen in vlan4 en 6 de interface weer terug gezet naar ether1-gateway en de NTU terug geklikt en de pppoe sessie werd direct weer established door de CRS125.

Hoe kom ik erachter of ik een 100mbit of een of een 1GBit glas aansluiting heb? Welke SFP moet ik hebben waar DDM wel en dus hopelijk ook de verbinding met XS4all FTTH werkt?

Alle drie de ledjes op de NTU branden groen, betekend dat niet 1Gbit?
Afbeeldingslocatie: https://mijnglasvezelverbinding.nl/wp-content/uploads/2015/06/NT.jpg

Ter controle mijn huidige config:

[admin@MikroTik] > /export compact
# oct/17/2017 16:31:01 by RouterOS 6.40.4
# software id = IBJL-6CBP
#
# model = CRS125-24G-1S
/interface bridge
add arp=proxy-arp name=IPtv-proxy
add name=bridge-IPTV
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp l2mtu=1598 name=ether1-gateway speed=1Gbps
set [ find default-name=ether2 ] speed=1Gbps
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=sfp1 ] advertise=100M-full,1000M-full arp=proxy-arp auto-negotiation=no l2mtu=1598 \
    name=sfp1-gateway rx-flow-control=on tx-flow-control=on
/ip neighbor discovery
set sfp1-gateway discover=no
/interface vlan
add arp=proxy-arp comment="XS4ALL IPTV" interface=ether1-gateway name=VLAN4 vlan-id=4
add interface=ether1-gateway name=VLAN6 vlan-id=6
add interface=DB name=vlan1 vlan-id=1
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 comment="pppoe XS4ALL-internet" default-route-distance=1 \
    disabled=no interface=VLAN6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 mrru=1600 name=pppoe-xs4all \
    password=kpn use-peer-dns=yes user=FB7490@xs4all.nl
/ip neighbor discovery
set VLAN4 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=IPTV value="'IPTV_RG'"
add code=28 name=IPTV_BROADCAST value="'192.168.3.255'"
/ip dhcp-server option sets
add name=IPTV options=IPTV,IPTV_BROADCAST
/ip pool
add name=192.168.3 ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=192.168.3 disabled=no interface=bridge-IPTV name=IPTV
/routing bgp instance
set default disabled=yes
add bridge=bridge-IPTV comment=defconf interface=ether17
add bridge=IPtv-proxy interface=VLAN4
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether10,switch1-cpu vlan-id=5
/interface ethernet switch egress-vlan-translation
add customer-vid=5 new-customer-vid=0 ports=ether10
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=5 ports=ether10
/interface ethernet switch vlan
add ports=ether10,switch1-cpu vlan-id=5
/ip address
add address=192.168.3.1/24 comment=IPTV interface=bridge-IPTV network=192.168.3.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 dhcp-options=\
    option60-vendorclass,clientid,hostname disabled=no interface=IPtv-proxy use-peer-dns=no use-peer-ntp=\
    no
add dhcp-options=hostname,clientid interface=VLAN6
add dhcp-options=hostname,clientid interface=sfp1-gateway
/ip dhcp-server network
add address=192.168.3.0/24 comment=IPTV dhcp-option-set=IPTV gateway=192.168.3.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=input in-interface=pppoe-xs4all protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=\
    established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related
add chain=input comment="defconf: accept established,related" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface=VLAN6
add action=drop chain=input in-interface=VLAN6
add action=drop chain=input in-interface=pppoe-xs4all
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-xs4all
add action=masquerade chain=srcnat comment=Internet out-interface=VLAN6
add action=masquerade chain=srcnat comment=IPTV dst-address=10.241.192.0/18 out-interface=IPtv-proxy
add action=masquerade chain=srcnat comment=IPTV2 dst-address=213.75.112.0/21 out-interface=IPtv-proxy
add action=masquerade chain=srcnat comment="NAT Loopback (IPTV)" out-interface=bridge-IPTV src-address=\
    192.168.3.0/24
/routing igmp-proxy interface
add alternative-subnets=10.241.192.0/18,213.75.0.0/16 interface=IPtv-proxy upstream=yes
add interface=bridge-IPTV
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add disabled=yes topics=debug
add topics=pppoe
add topics=interface
/system ntp client
set enabled=yes server-dns-names=0.nl.pool.ntp.org,1.nl.pool.ntp.org,2.nl.pool.ntp.org,3.nl.pool.ntp.org


Tevens lees ik hier dat de golflengte 1490nm RX moet zijn en mijn SFP is 1550nm RX, is dat de wellicht de reden?

[ Voor 96% gewijzigd door WeaZuL op 17-10-2017 17:30 ]

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict


  • allure
  • Registratie: Mei 2001
  • Laatst online: 08:20

allure

Titaan fase 2/3

De adviesprijs is ook hoger op de site van Mikrotik, anyway, de RB1100AHx4 is besteld :D
Afbeeldingslocatie: http://i63.tinypic.com/2s0e9tf.png

  • SpikeHome
  • Registratie: Oktober 2001
  • Laatst online: 18:06
ja dat moet ook, die gaat naar een andere router met vlan 20 en 30 dus eth2 is de uplink naar de andere 2011

Beetje zoals dit schema:
Alleen zijn de ap's in de 2011 natuurlijk en vlan10 op het plaatje is vlan20 in de config.
20 is dus private en 30 public
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/netwerk-home.jpg

[ Voor 21% gewijzigd door SpikeHome op 19-10-2017 15:21 ]


  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 15:35
Het is uiteindelijk een hAp mini geworden. Die doet zijn naam eer aan!

hAP mini

Sometimes you need to plan for coincidence


  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 18:20

The Executer

Lekker belangrijk!

nescafe schreef op dinsdag 9 januari 2018 @ 14:46:
V.w.b. WOL, net getest op 6.41 met packet capture aan op de doelinterface. Werkt hier goed. Wat zie jij?

code:
1
/tool wol mac=6c:62:6d:7e:54:e4 interface=bridge-lan


Wireshark dissect:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Frame 167: 116 bytes on wire (928 bits), 116 bytes captured (928 bits)
Ethernet II, Src: Routerbo_xx:xx:xx (64:d1:54:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Wake On LAN, MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
    Sync stream: ffffffffffff
    MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
        MAC: Micro-St_7e:54:e4 (6c:62:6d:7e:54:e4)
Heb hier net ook even Wireshark gedownload en geïnstalleerd. Vervolgens van zowel mijn telefoon als de Mikrotik een WOL verstuurd, zowel vanuit het script als vanaf de command line. Ook nog geprobeerd op interface=bridge en interface=ether3 (waar de betreffende pc op hangt). Alles van de Mikrotik komt niet aan, alle WOL pakketjes van de telefoon wel:

Afbeeldingslocatie: https://tweakers.net/ext/f/nWidVKiR8i0j7ahqiog7MRD9/full.png

offtopic:
Zie wel dat mijn TV lekker over het netwerk staat te roeptoeteren. Binnenkort toch maar even plat leggen, in een uurtje tijd werd er meer als 8 mb aan pakketjes verstuurd, bijna allemaal richting Samsung & RTL :o . Altijd fijn, een smart TV!


EDIT: Zonet nog even de packetsniffer op de router gebruikt. Wat blijkt:

Afbeeldingslocatie: https://tweakers.net/ext/f/eqHzKKItz0fp71cq4z6uF8bf/full.png

Ik denk dat hier al zichtbaar is wat er mis gaat. De WOL pakketjes vanaf de router komen vanaf het WAN IP op Ether1 met als destination 255.255.255.255 ipv het interne broadcast adres. Hoe dit nu ontstaan is... Bug?

@nescafe Ik zie dat jouw src MAC ook eindigt op E4, zo te zien ook ether1. Wat is het source IP?

[ Voor 11% gewijzigd door The Executer op 09-01-2018 21:55 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Hier is het als volgt:


1.
code:
1
/tool wol mac=8c:62:6d:7e:54:e4 interface=bridge-lan

resulteert in een ether-wake (Ethertype 0x0842), dus geen UDP-pakket:
Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/5d8cf299-5537-4335-9389-5136460cd8ba/01.09.2018-22.35.png

2.
code:
1
/tool wol mac=8c:62:6d:7e:54:e4

resulteert in een UDP encapsulated WOL op de WAN-interface (obv default gw):
Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/ff0b051c-7645-49c9-9d29-e4a9d1c67a04/01.09.2018-22.38.png

3.
code:
1
/tool wol mac=8c:62:6d:7e:54:e4 interface=ether1-wan

resulteert in een ether-wake op de WAN-interface (geen UDP).

Dit lijkt dus afhankelijk van het wel of niet opgeven van interface (wel = direct, niet = over udp). Ben benieuwd of dit is gewijzigd sinds voorgaande versies.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Mattie112
  • Registratie: Januari 2007
  • Laatst online: 03-07 23:11
Voor de mensen die nog geinteresseerd zijn in de performance van Mikrotik (CRS109-8G-1S-2HnD)

Afbeeldingslocatie: https://upload.mattie-systems.nl/uploads/59228-capture.png

Speedtest blijft achter maar via steam hem ik hem mooi vol kunnen trekken! En stabiel? Prima tijdens deze belasting keurig nog 3ms ping naar 8.8.8.8

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)


  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 18:20

The Executer

Lekker belangrijk!

Thralas schreef op woensdag 17 januari 2018 @ 08:57:
[...]


Je bent wat onduidelijk. 'Geen HTTP-verkeer mogelijk' is nietszeggend. Wat gaat er mis? Krijg je wel een TCP-verbinding, maar gaat er geen verkeer overheen? Wat zie je met tcpdump (of de packet sniffer van MikroTik)?


[...]


Een routing issue lijkt me onwaarschijnlijk als je zegt wel te kunnen pingen. En de firewall had je zelf al aangepast; dat kun je verder uitsluiten door een log-actie op alle DROPs te zetten.

Enige dat er dan nog overblijft is wmb. MTU. Je zou die op 1400 kunnen zetten aan beide kanten, maar L2TP zou volgens mij moeten fragmenteren...
Allereerst bedankt voor je reactie (net als @Hmmbob overigens!).

Wat ik wil bereiken, is dat ik vanaf mijn telefoon (Galaxy S6, 4G verbinding Vodafone) via VPN bij bijvoorbeeld de webinterface van SabNZBD, webinterface van de printer of fileshares kan komen. Zowel de printer als SabNZBD draaien beide een interface op poort 80.

Het probleem is ontstaan toen ik de upgrade naar 6.41 heb uitgevoerd. Omdat ik destijds flink in de config had zitten rommelen en enkele zaken na de upgrade niet zo stonden als verwacht heb ik een reset van de configuratie gedaan. Vervolgens L2TP server ingeschakeld, profiel aangepast (local address=ip van de router, remote address=dhcp), secret aangemaakt en de firewall regels ingesteld.

Zoals aangegeven kan ik op het moment dat ik een VPN connectie heb de hosts achter de router pingen (bijvoorbeeld de printer, of pc waarop SabNZBD draait), maar bij een poging de pagina's te bereiken via Chrome krijg ik een melding "ERR_NETWORK_CHANGED". Wat ik gelezen heb omtrent de MTU is dat deze zo in principe goed zou staan, want deze is lager dan de MTU van het netwerk (MTU VPN = 1460, LAN/WLAN=1500

Bij de packetsniffer zie ik wel pakketten van de VPN richting printer gaan, maar ik zie geen verkeer terug, wel een hoop ARP requests.:

Afbeeldingslocatie: https://tweakers.net/ext/f/HqalNf5uifXp0Zo17lIBF5yQ/full.png

Dit herhaalt zichzelf totdat de verbinding afgebroken wordt. Bij een ping zie ik ICMP verkeer van en naar gaan:

Afbeeldingslocatie: https://tweakers.net/ext/f/vEGNODtk2WjNuNnX87nZ07nC/full.png

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
Config:
# jan/17/2018 23:35:45 by RouterOS 6.41
# software id = HG2U-LNUA
#
# model = 951G-2HnD
# serial number = 46********
/interface bridge
add admin-mac=4C:5E:0C:XX:XX:XX arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=wifissid wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=wifikey wpa2-pre-shared-key=wifikey
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=gastwifikey wpa2-pre-shared-key=gastwifikey
/interface wireless
add disabled=no mac-address=4E:5E:0C:XX:XX:XX master-interface=wlan1 name=wlan2 security-profile=profile ssid="wifissid"
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.88.1 remote-address=dhcp
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=ipsecsecret use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:34:23:87:XX:XX:XX mac-address=34:23:87:XX:XX:XX server=defconf
add address=192.168.88.182 client-id=1:14:da:XX:XX:XX mac-address=14:DA:E9:XX:XX:XX server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=62.X.X.X/16 list=allow
add address=185.X.X.X list=allow
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input port=1701,500,4500 protocol=udp src-address-list=allow
add action=accept chain=input protocol=ipsec-esp src-address-list=allow
add action=accept chain=input dst-port=1723 protocol=tcp src-address-list=allow
add action=accept chain=input protocol=gre src-address-list=allow
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=wanip dst-port=3389 protocol=tcp to-addresses=192.168.88.180 to-ports=3389
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=secret password=secret profile=default-encryption
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • SpikeHome
  • Registratie: Oktober 2001
  • Laatst online: 18:06
@Rick Astley Ja ik heb het gedaan aan de hand van youtube van TKSJa en daarna net zolang geprutst tot ik snapte hoe het in elkaar zat.
Moet ik wel zeggen dat ik een 2e 2011 op marktplaats had gekocht om te experimenteren.
Bij mij gaat de vlan ook met een uplink naar een 2e mikrotik met ook nog een gast wifi en ethernet.
Ik heb dat thuis zo gemaakt en bij mijn vrouw op het werk.
Daarvan hier wat plaatjes:
Router 1 met WAN
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-adressen.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-bridge.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-dhcp.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-firewall.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-interfaces.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-networks.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-ports.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router1-vlan.jpg

Router 2 met uplink naar Router1
Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-adressen.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-bridge.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-interfaces.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-ports.jpg

Afbeeldingslocatie: http://www.famspijkers.nl/forum-pics/tweakers/mikrotik/vlan/router2-vlan.jpg

[ Voor 13% gewijzigd door SpikeHome op 24-01-2018 09:02 ]


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Je hebt het over /ip firewall nat dus waarschijnlijk ben je via SSH ingelogd; je kunt met beperkte kennis beter Winbox (via) gebruiken daarmee is bovenstaande zo geregeld:

Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/4842da3f-51ae-48bd-a3be-2f842349cae3/02.01.2018-13.08.png

Je kunt via Bridge > Ports de poort uit je bridge gooien, dan wordt het een zelfstandige interface (geen "slave" meer). Het is daarnaast altijd aan te raden om "Safe Mode" in te schakelen. Mocht je de verbinding met de router verliezen dan worden alle wijzigingen die je gedurende safe mode hebt toegepast, teruggedraaid.

Hierna kun je relevante stukken uit de default config pakken om een tweede segment aan te maken, bijv.
code:
1
2
3
4
5
/ip pool add name="lan2" ranges=192.168.89.10-192.168.89.254
/ip dhcp-server add name=defconf address-pool="lan2" interface=ether5 disabled=no
/ip dhcp-server network add address=192.168.89.0/24 gateway=192.168.89.1
/ip address add address=192.168.89.1/24 interface=ether5
/interface list member add list=LAN interface=ether5

[ Voor 22% gewijzigd door nescafe op 01-02-2018 13:29 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Raymond P
  • Registratie: September 2006
  • Laatst online: 16:34
Lesilhouette schreef op donderdag 15 februari 2018 @ 09:52:
Iemand bekend met de makkelijkste/beste/snelste manier om VPN (bij voorkeur met radius) op een MikroTik in te stellen?

[...]
Ben bang dat je wel zal moeten kiezen. :)

Voor zover ik weet is de makkelijkste manier gewoon een vinkje zetten voor een automagische pptp en l2tp/ipsec setup.
RADIUS is gewoon mogelijk.

Afbeeldingslocatie: https://i.imgur.com/pEO8gP9.png

Zelf gebruik ik ipsec (ike). Je auth/verificatie kan je dan ook via radius doen.

Openvpn ben ik verder niet bekend mee.

- knip -


  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

SpikeHome schreef op woensdag 24 januari 2018 @ 08:47:
@Rick Astley Ja ik heb het gedaan aan de hand van youtube van TKSJa en daarna net zolang geprutst tot ik snapte hoe het in elkaar zat.
Moet ik wel zeggen dat ik een 2e 2011 op marktplaats had gekocht om te experimenteren.
Bij mij gaat de vlan ook met een uplink naar een 2e mikrotik met ook nog een gast wifi en ethernet.
Ik heb dat thuis zo gemaakt en bij mijn vrouw op het werk.
Daarvan hier wat plaatjes:
Blast from the past maar ik ben hier (nog steeds) mee bezig. Ik ben inderdaad tot de conclusie gekomen dat een VLAN overkill is voor wat ik probeer te bereiken. Mijn doel is namelijk heel simpel: Voorkomen dat IoT devices als entrypoint kunnen dienen voor de rest van mijn netwerk indien ze gehackt worden. Dit wil ik bereiken door te voorkomen dat deze devices toegang hebben tot de rest van mijn netwerk en alleen mogen communiceren met internet.

Ik heb geprobeerd dit via de volgende Firewall Rule:

Afbeeldingslocatie: https://i.imgur.com/UVxFbH9.png

Echter, deze firewall rule triggert/werkt niet; Er wordt niks gedropped. Nu lees ik dat dit komt doordat de data niet via de Bridge verloopt omdat het intern is. Het aanzetten van de 'IP Firewall' functie op de bridge zou dit moeten oplossen maar helaas; ook dit werkt niet.

Wat doe ik fout/wat gaat er mis?

Vriendelijk bedankt!

Never gonna let you down


  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
Het is mij gelukt T-Mobile Glasvezel (het oude Vodafone Thuis) werkend te krijgen met een Mikrotik hEX POE, RouterOS 6.41.3. Helaas lukt het niet om TV werkend te krijgen.

Dit zijn oude instructies obv een oudere versie van RouterOS.
Mattie112 in "Vodafone Thuis via Glasvezel"

Dit is wat ik heb gedaan (na een reset) om internet werkend te krijgen:
  1. Interface SFP1 auto negotation uitgezet, handmatig op 1gbit gezet.
  2. Nieuwe vlan aangemaakt: vlan-internet met interface sfp1.
  3. IP/DHCP client ingesteld op vlan-internet.
  4. De default bridge, die heet "bridge", gewijzigd om voortaan vlan-internet te gebruiken.
  5. Vervolgens via console: /ip firewall nat
  6. add action=masquerade chain=srcnat out-interface=vlan-internet
Dit is wat ik heb gedaan om tv werkend te krijgen:
  1. [i] TV box zal worden aangesloten op ether1.
  2. Onder IP/Addresses staat by default(!) de interface op ether1. Ik heb alle opties probeerd (sfp1, vlan-internet en bridge), alleen bridge werkt want in alle andere gevallen moest ik resetten, mijn laptop (op ether3 aangesloten) raakte namelijk direct de verbinding kwijt, ook via Winbox..
  3. Vervolgens voeg ik bij Interfaces/VLAN een nieuwe toe: "vlan-tv".
  4. Vervolgens voeg ik bij Bridge een 2e bridge toe: "bridge-tv".
  5. Vervolgens in het Bridge/Ports scherm voeg ik een nieuwe poort toe toe: daarbij kies ik vlan-tv als interface, "bridge-tv" als bridge.
  6. Vervolgens wijzig ik port ether1, bridge wordt nu bridge-tv
Nu verwacht ik TV. Maar helaas. Zo ziet het eruit:

Afbeeldingslocatie: https://preview.ibb.co/nG50Rn/2018_04_12_19_31_13.png

Dit is wat ik niet begrijp:
Dat het TV boxje geen IP krijgt, is ergens logisch, want onder Addresses heb ik nu "bridge" staan, dus "bridge-tv" valt daar buiten. Maar wat moet ik dan instellen om wél een IP te krijgen voor allebei de bridges? Bij T-Mobiles eigen apparatuur krijgt het TV kastje gewoon een IP adres binnen de range van mijn gewone LAN.

Ik zit vast, in het T-Mobile forum kan helaas niemand helpen.

  • TF0
  • Registratie: December 2009
  • Laatst online: 08:39

TF0

@Thralas bedankt voor je reactie, blijkbaar ben ik niet duidelijk genoeg geweest. Dan probeer ik het nog een keer :).

Wat ik wil is volgens mij vrij simpel: ik wil vanaf mijn netwerk de NAS op de tweede locatie kunnen benaderen.

Ik ben vandaag eens bezig geweest om het relevante deel van het netwerk in kaart te brengen (klikbaar).
Afbeeldingslocatie: https://image.ibb.co/fG05rT/Netwerk_Mobile.png

Dus in het kort wil ik vanaf mijn .10 netwerk op het netwerk van de .11 en vice versa.

Extra informatie:
- Pi-hole is de DNS server.
- De Mikrotik is mijn DHCP server wegens DNS server per gebruiker wens.
- Ubiquiti draadloos netwerk met controller op 10.21 (AP op 10.2.en 10.3) maar lijkt me niet echt relevant. Potentieel (lijkt me niet) relevant zou kunnen zijn dat ik geen directe verbinding met de Mikrotik Switch heb.
- Mikrotik wil ik ook als IPSEC vpn server gebruiken wegens de goede snelheid die dit apparaat kan halen, vandaar een van de MASQUERADE regels. Dat heeft op dit moment lagere prioriteit dus die kunnen allemaal wel uit.

Ik heb geen laptop verbinding met de andere locatie, alleen via de iPad, vandaar dat de exports van de andere kant lastig zijn. Maar het zou 'symmetrisch' moeten zijn, toch?

Ik wil dus een tunnel tussen de Mikrotiks hebben.
De Synology Router heeft een verwijzing dat elk 192.168.11.x verzoek via de Mikrotik moet gaan.
Vervolgens heb ik een ip route in de Mikrotik gezet die het over de tunnel moet gooien.

De Windows tracert vanaf mijn laptop (10.100) uit mijn vorige post laat zien dat het verzoek inderdaad via de Mikrotik gaat en daar stopt het.

De tunnel werkt aangezien ik vanaf mijn Mikrotik de 192.168.11.11 Mikrotik kan pingen.

Wat betreft de Wireshark optie: ik heb het aangezet en gelogd, maar volgens mij gaat dat toch niet werken? Of wil je dat ik de de GRE tunnel spiegel naar een ethernet poort die ik uitlees op mijn laptop? Ik kon er in ieder geval niets mee.

Ik ben van begin af aan begonnen (alle andere regels uitgeschakeld of verwijderd.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
/ip route
add distance=1 gateway=192.168.10.1
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.10.1
add distance=1 dst-address=192.168.11.0/24 gateway=172.16.1.2

/ip firewall filter
add action=accept chain=forward dst-address=192.168.11.0/24 in-interface=bridgeLocal out-interface=\
    gre-tunnel1
add action=accept chain=forward dst-address=192.168.10.0/24 in-interface=gre-tunnel1 out-interface=\
    bridgeLocal

/ip firewall nat
add action=accept chain=dstnat comment="iPhone Google DNS UDP" dst-address=8.8.8.8 dst-port=53 \
    protocol=udp src-address=192.168.10.105 src-port=53
add action=accept chain=dstnat comment="iPhone Google DNS TCP" dst-address=8.8.8.8 dst-port=53 \
    protocol=tcp src-address=192.168.10.105 src-port=53


Ik ben een beetje kwijt of ik nu forward of pass through moet gebruiken en hoe specifiek; uit de handleiding van Mikrotik begrijp ik dat ik forward regels moet gebruiken.

Resultaat van dit: ik kan vanaf de ene Mikrotik alleen de andere Mikrotik kan pingen (beide richtingen).

Zit er een cruciale fout in mijn redenering of zit het hem ergens in de details?

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
CaptJackSparrow schreef op zaterdag 30 juni 2018 @ 18:49:

[admin@MikroTik] > system script print
Flags: I - invalid
0 name="adblock_apply" owner="admin"
policy=read,write,policy,test,sniff,romon
last-started=jun/30/2018 16:56:58 run-count=8
source=
:log info "Adblock: apply start"
/ import file-name=adblock.rsc
:log info "Adblock: apply finished"
[admin@MikroTik] >

Invalid?
Er staat: Flags: I - Invalid. Dit betekent dat indien er een I achter het nummer staat, deze niet geldig is.

Documentatie:
Many of the command levels operate with arrays of items: interfaces, routes, users etc. Such arrays are displayed in similarly looking lists. All items in the list have an item number followed by flags and parameter values.
In dit geval is hij dus niet invalid, omdat er geen I achter de 0 staat.
Dat geüploade script staat er ook niet bij. Er wordt nergens duidelijk gemaakt of dat script ergens specifiek in een directory moet staan of hoe dat werkt. Moet er soms een padnaam bij? Moet ik een bepaalde codetabel gebruiken voor dat script? Het on-line manual blinkt ook niet bepaald uit door overzichtelijkheid en duidelijkheid. Over import:

"import
Import command is available from root menu and is used to import configuration from files created by export command or written manually by hand."

https://wiki.mikrotik.com/wiki/Manual:Scripting

Zó verhelderend.
Documentatie, via [google=mikrotik import]:
Command name: /import

The root level command /import [file_name] executes a script, stored in the specified file adds the configuration from the specified file to the existing setup. This file may contain any console comands, including scripts. is used to restore configuration or part of it after a /system reset event or anything that causes configuration data loss.

Command Description
  • file=[filename] - loads the exported configuration from a file to router
Duidelijk toch?
Ik weet ook niet waar dat adblock_apply script nou is weggeschreven. Moet ik dat andere script daar ook naartoe verplaatsen? Ik ben er achter dat dat geüploade script blijkbaar in RAM staat. Na een reboot was het weg.
Documentatie:
Warning: If device has a directory named "flash" in its file list, then files which you want to be kept after system reboot/power cycle must be stored within it. As anything outside of it is kept within a RAM disk and will be lost upon reboot.
Ook raar dat er in die beschrijving totaal geen aandacht geschonken wordt aan dat aspect maar dat ie wel een scheduler regeltje geeft om bij een reboot gebruikt te worden. Slaat toch nergens op?
Het script ( https://www.micu.eu/adblock-script/ ) is niet aangeboden of onderhouden door MikroTik-staff; ik denk dat de maker met zijn beste bedoelingen zijn proof-of-concept heeft gedeeld maar ik denk dat het irreëel is om te verwachten dat 'ie er een halve MikroTik-cursus bij gaat geven.

Daarnaast, het script downloadt de file adblock steeds opnieuw, dus het is geen probleem dat de file wordt opgeslagen op een non-persistent disk.

Heb de stoute schoenen aangetrokken en het script ook eens gedraaid; werkt perfect, dus vraag me af wat er bij jou dan misgaat?

Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/379a534d-71f8-4bc2-aad6-912a42c6f6bd/06.30.2018-22.19.png

(De router gaat wel onderuit met deze lijst, maar dat komt doordat dit model te weinig geheugen heeft..)

Voor de volledigheid de inhoud van het script adblock:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
:log warning "starting adblock update";
:delay 20;
:log warning "downloading adblock";

:local hostScriptUrl "https://www.micu.eu/adblock/adblock.php";
:local scriptName "adblock";

do {
  /tool fetch mode=http url=$hostScriptUrl dst-path=("./".$scriptName);
  :delay 20;
  :if ([:len [/file find name=$scriptName]] > 0) do={
    :log warning "removing old adblock list";
    /ip dns static remove [/ip dns static find address=127.0.0.1];
    :log warning "importing new adblock list";
    /import file-name=$scriptName;
    /file remove $scriptName;
    :log warning "adblock list imported";
  } else={
    :log warning "adblock list not downloaded, script stopped";
  }
} on-error={
  :log warning "adblock list download FAILED";
};


.. en van de file adblock, want volgens mij verwar je e.e.a. met elkaar.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
## Script generated 06/30/2018 at 23:19:21 (20607 entries) for 5.607 sec.
##
## Hosts list sources:
## > https://cdn.rawgit.com/tarampampam/static/master/hosts/block_shit.txt
## > https://adaway.org/hosts.txt
## > http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
## > http://someonewhocares.org/hosts/hosts
## > http://getadhell.com/standard-package.txt
## > https://www.micu.eu/adblock/youtube_complete.txt
## > https://www.micu.eu/adblock/ad_list.txt
##
## mikrotik script location: https://www.micu.eu/adblock/adblock_script.txt
## other mikrotik stuff: https://www.micu.eu/category/mikrotik/
##
## email: contact@micu.eu
##
## Exception hosts:
## > analytics.google.com
## > s.youtube.com
## > localhost

/ip dns static
add address=127.0.0.1 name=localhost
add address=127.0.0.1 name=s1.2mdn.net
add address=127.0.0.1 name=s0.2mdn.net
## [knip]
add address=127.0.0.1 name=profitsmart.ro
add address=127.0.0.1 name=profitshare.ro


Je zit, tijdens je zoektocht en waarschijnlijk enigszins geïrriteerd, nogal af te geven op de documentatie van MikroTik, terwijl zoals getoond alles wat je zoekt er instaat. Dit is het systeem, dit is hoe het is opgezet en hoe het werkt voor vele users. Het is niet perfect maar werkt goed genoeg en heeft zich inmiddels wel bewezen. Er tegenaan schoppen zal in ieder geval niet helpen.

Indien je hiaten ziet, beschrijf deze dan goed (hetgeen je constateert, hetgeen je verwacht) en mail dit naar support@mikrotik.com. MikroTik reageert snel, bondig en behoorlijk adequaat op inhoudelijke vragen zodat we het systeem langzaam stukje bij beter kunnen verbeteren. Dit is een mentaliteit die die je bij de concurrent niet snel ziet.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Ah.. dat had ik inderdaad gemist. Met dit script heb je iets meer controle over wat je doet. Resultaat:

Afbeeldingslocatie: https://content.screencast.com/users/nescafe2002/folders/Snagit/media/eb15c38f-417f-4a05-b4d9-c0c2e6f1762f/07.01.2018-10.02.png

Afgezien van wat quotejes die rechtgebogen moeten worden, werkt het prima volgens de stappen die zijn beschreven. Ik ben met je eens dat de scheduler-entry overbodig is, om meerdere redenen:
  • De file adblock.rsc moet handmatig worden geupload; dan importeer je toch ook handmatig ipv te wachten op een automatisch import
  • De file verdwijnt bij reboot op devices zonder persistent storage (ook het geval bij de RB750Gr3)
  • De scheduler lacks een flush dus verdwenen entries worden niet verwijderd (op te lossen door /ip dns static remove [/ip dns static find address=127.0.0.1] bovenin het script te plaatsen)
Ik moest in dit geval wel script runnen in de terminal om de syntax error te zien. "Run script" doet dat niet.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • TF0
  • Registratie: December 2009
  • Laatst online: 08:39

TF0

@Thralas & @nescafe
Bedankt voor de snelle reacties.

Ik vond in mijn oude post nog een plaatje van mijn setup:
Afbeeldingslocatie: https://image.ibb.co/fG05rT/Netwerk_Mobile.png

De Synology router maakt wel gebruik van IPSEC (https://www.synology.com/.../vpnplus_server_site2site), ik neem aan dat dat niet uitmaakt in dit geval?

Ik heb SYN-SENT inderdaad gevonden (https://en.wikipedia.org/wiki/Transmission_Control_Protocol) met een beknopte uitleg :):
"(client) represents waiting for a matching connection request after having sent a connection request."
Er komen pakketjes blijkbaar niet aan, maar je weet nog niet waar het mis gaat.

De entries die ik heb laten zien komen inderdaad van de 192.168.11.11.

Dit zijn de services instellingen van de 192.168.11.11 (ip service print), die heb ik even geüpdatet :) :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Flags: X - disabled, I - invalid
 #   NAME                            PORT ADDRESS                                                              CERTIFICATE
 0   telnet                            23
 1   ftp                               21
 2   www                               80 192.168.10.0/24
                                          192.168.11.0/24
                                          10.11.0.0/24
 3   ssh                               22
 4 XI www-ssl                          443                                                                      none
 5   api                             8728
 6   winbox                          8291 192.168.10.0/24
                                          192.168.11.0/24
                                          10.11.0.0/24
 7   api-ssl                         8729                                                                      none


192.168.11.11 ip route print:
code:
1
2
3
4
5
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          192.168.11.1              1
 2 ADC  192.168.11.0/24    192.168.11.11   bridge1                   0


192.168.11.11 ip firewall filter print:
code:
1
2
3
4
5
6
7
8
9
10
11
12
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    chain=input action=accept src-address=192.168.10.0/24 dst-address=192.168.11.0/24 in-interface=bridge1 log=no log-prefix=""

 2    ;;; ipsec-ike-natt
      chain=input protocol=udp in-interface=all-ethernet dst-port=4500

 3    ;;; vpn01
      chain=forward action=accept src-address=192.168.10.0/24 dst-address=192.168.11.0/24 in-interface=all-ethernet log=no log-prefix=""
      ipsec-policy=in,ipsec


Even voor de duidelijkheid: ik heb wel een IPSEC vpn server ingesteld op de MikroTik, want dat ding is gewoon bliksemsnel, vandaar. Dat is voor als ik op zakenreis of vakantie ben.

Tenslotte nog ip firewall connection print:
code:
1
2
3
4
5
6
7
8
9
10
Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F - fasttrack, s - srcnat, d - dstnat
 #          PR.. SRC-ADDRESS           DST-ADDRESS           TCP-STATE   TIMEOUT     ORIG-RATE REPL-RATE ORIG-PACKETS REPL-PACKETS      ORIG-BYTES
 0    C     tcp  192.168.11.11:80      10.11.0.6:12732       established 23h39m22s        0bps      0bps            1            0              40
 1  SAC     tcp  10.11.0.6:13682       192.168.11.11:8291    established 23h59m59s      640bps  14.4kbps        1 466        1 466          78 176
 2    C     tcp  192.168.11.11:80      10.11.0.6:12726       established 23h39m22s        0bps      0bps            1            0              40
 3  SAC     tcp  10.11.0.6:13397       192.168.11.11:22      established 23h59m58s     2.6kbps  23.6kbps          264          246          17 824
 4    C     tcp  192.168.11.11:80      10.11.0.6:12724       established 23h39m22s        0bps      0bps            1            0              40
 5    C     tcp  192.168.11.11:80      10.11.0.6:12734       established 23h39m22s        0bps      0bps            1            0              40
 6    C     tcp  192.168.11.11:80      10.11.0.6:12733       established 23h39m22s        0bps      0bps            1            0              40
 7    C     tcp  192.168.10.101:49997  192.168.11.11:80      syn-sent    2s               0bps      0bps            7            0             448


Hierin zie ik de laptop op 10.11.0.6 via Winbox en onderaan de iPad.

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
nescafe schreef op zaterdag 3 november 2018 @ 15:24:
Er zijn meer problemen met de UAP-IW:

https://community.ubnt.co...ns-UAP-IW-US/td-p/1410313

Hieruit zou blijken dat alleen Mode A werkt en MikroTik output mode B.


[...]


Hoewel latere posts beweren dat dit probleem beperkt is tot de eerste generatie UAP-IW's.


[...]


Met de 24V-adapter krijg je alleen passive POE, een 48V-adapter is sowieso benodigd, eventueel met setting "force on".
48V 2A (96W) adapter ontvangen, ik moest nog wel POE op forced on zetten maar vervolgens werkte het direct!

Het is wel een enorm ingewikkelde interface zeg. Maar ik snap dat dat het ook net zo enorm veelzijdig maakt.

Ik heb nog een paar vragen waar ik maar deels zelf uit kom. Internet komt binnen via de SFP poort en wordt geleverd via een vlan "vlan-internet". De 5 netwerkpoorten ether1-ether5 zijn dus bedoeld voor allerlei clients.
Bij Address List staat dit nog default, hoort hier wel ether1 ingesteld te staan of moet dit de bridge worden?: Afbeeldingslocatie: https://i.imgur.com/eI6osw6.png


2. Ik wil graag dat het eerste apparaat dat wired is verbonden gewoon het eerste adres in de reeks krijgt (192.168.88.1), nu is dat juist andersom (krijgt 192.168.88.254).
Zo staat het nu ingesteld:
IP Pool: 1 regel, DHCP. Hierin staat: 192.168.88.10-192.168.88.254
Ook als ik dit omdraai, 192.168.88.254-192.168.88.10 verandert er niks.

3. In hoeverre is dit artikel actueel genoeg om als voldoende firewall te dienen voor een normale consument?
https://wiki.mikrotik.com...universal_firewall_script

Ik zal een paar portforwards instellen (3 of 4), dat lukt me zelf wel. En ik wil dat binnen mijn gehele LAN (ook clients die wireless connected zijn met de wired Ubiquiti APs) UPNP en DLNA werken. Ik zie geen regels in dit artikel die dat zouden blokkeren dus volgens mij zit het goed.

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
nescafe schreef op vrijdag 9 november 2018 @ 15:23:
Eh, wat? bridge is je LAN, vlan-internet is je WAN. Heb je die via bridge aan elkaar geknoopt?
Excuus voor de verwarring, die stap heb ik niet uitgevoerd. Ik hoefde niet met de bridge te klooien dankzij de default config.
nescafe schreef op vrijdag 9 november 2018 @ 15:23:
Nee, dat gaat niet goed. Je hebt een nieuwe WAN-interface aangemaakt en je hebt een recente default config. Dan moet je ook je nieuwe interface toevoegen aan de WAN interface list. De srcnat-rule heb je dan niet meer nodig.
Volgens mij staat dat al goed:
Afbeeldingslocatie: https://i.imgur.com/r5lvr7M.png
Afbeeldingslocatie: https://i.imgur.com/b4wDaCZ.png

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
Oei ok dat is helemaal niet goed.
nescafe schreef op vrijdag 9 november 2018 @ 16:09:
Ik zou sfp1 wel laten staan, maar vlan-internet toevoegen aan WAN. Dan treedt automatisch srcnat in werking, dus kan die (aparte) regel weer komen te vervallen.

Zie tevens mijn edit over de gebruikte versie (van voor 23 april 2018).
Zo dus?
Afbeeldingslocatie: https://i.imgur.com/3xaiDv7.png

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
Ik zit te stoeien met een apparaat dat maar geen Gbit verbinding maakt, alleen 100mbit.
In RouterOS cable test gedaan en flink gegoogled wat de resultaten betekenen, maar ik kom er niet uit. Heb reeds het stekkertje aan het uiteinde van de +/- 20m kabel vervangen. Als ik auto-negotiation uitzet en 1Gbit forceer, krijg ik dit:


Afbeeldingslocatie: https://i.imgur.com/ffDJaMX.png
en als ik de stekker uit het apparaat haal:
Afbeeldingslocatie: https://i.imgur.com/i9rPOXI.png

Wat houd pair 3 shorted precies in? Ik vermoed dat pair 3 de groene/witgroene paar is.
Maar hoe kan het dat de afstand hier groter is dan bij de overige pairs, ook wanneer er verbinding is?
SpikeHome schreef op dinsdag 13 november 2018 @ 09:53:
op je sfp je wan zetten gaat niet goed.
ben ik ook tijdje mee aan het stoeien geweest.
de wan heb ik nu op ether1 gewoon
en als je er 2 wilt pak dan ether2 erbij

zie dit topic
https://forum.mikrotik.co...ic.php?f=13&t=126074&view
Huh, het werkt hier anders prima. Wat zou er niet goed gaan?
Alle overige poorten zijn bezet. Op SFP zit gewoon de glasvezel kabel van de ISP dus niet logisch om een lokaal apparaat dat op ether1 zit ineens in de WAN te zetten.

  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

Gisterenavond maar eens in m'n Mikrotik configuratie gedoken. Ik ben totaal geen expert, maar ik heb het idee dat hij niet helemaal goed staat ingesteld. Mijn Mikrotik heeft namelijk 20-25% CPU load tijdens een speedtest van Ookla met slechts 25Mbps (via WiFi). Nou weet ik niet of dat lineair schaalt, maar dat zou dus betekenen dat mijn CPU op 100% load zit als ik met 100Mbps+ zou gaan downloaden... en laat ik nou net een pakketupgrade naar 400Mbps bij Ziggo hebben aangevraagd. Ik maak me dus zorgen dat ik deze snelheid wellicht nooit ga halen met mijn Mikrotik. Ik weet echter niet wat zoveel CPU usage verstookt. Als ik met '/tool profile' kijk, zie ik aan het begin van de speedtest een spike van 40-45% van 'management' maar daarna blijft wireless op 10-15% hangen terwijl total 20-25% is. Ergens mist dus nog ergens 10% CPU usage.

Zelf heb ik een vermoeden, maar nogmaals ben geen expert :+ , dat het wellicht aan mijn fasttrack rule ligt. De een zegt namelijk dat ie helemaal bovenaan je firewall rules moet staan, de ander weer onder je drop rules... enfin, ik zie door het bomen het bos niet meer en weet dus niet meer wat nu wel of niet juist is.

Afbeeldingslocatie: https://i.imgur.com/PM9bskx.png

Mijn config is als volgt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
[freek@MikroTik] > export
# nov/22/2018 14:08:10 by RouterOS 6.43.4
# software id = X1KZ-JYM0
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = XXXXXXXXXXX
/interface bridge
add admin-mac=XXXXXXXXXXX auto-mac=no comment=defconf fast-forward=no name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors mode=ap-bridge ssid=XXXX wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=indoors mode=ap-bridge ssid=XXXXX wireless-protocol=802.11 \
    wps-mode=disabled
/interface list
add exclude=dynamic name=discover
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=XXXXXXX \
    wpa2-pre-shared-key=XXXXXXX
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge name=defconf
/queue simple
add disabled=yes dst=ether1 max-limit=1M/10M name=Synology target=192.168.88.123/32 time=5h30m-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add disabled=yes max-limit=1M/10M name=XXXXXXXX target=192.168.88.24/32
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/user group
add name=domoticz policy=ssh,read,api,!local,!telnet,!ftp,!reboot,!write,!policy,!test,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip firewall connection tracking
set enabled=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set rp-filter=strict secure-redirects=no send-redirects=no tcp-syncookies=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge list=LAN
/ip address
add address=192.168.88.1/24 comment="Mikrotik LAN" interface=ether2-master network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.222 gateway=192.168.88.1
/ip dns
set servers=192.168.88.222
/ip dns static
add address=192.168.88.1 name=router
/ip firewall address-list
add address=192.168.0.0/16 list=Bogon
add address=10.0.0.0/8 list=Bogon
add address=172.16.0.0/12 list=Bogon
add address=127.0.0.0/8 list=Bogon
add address=0.0.0.0/8 list=Bogon
add address=169.254.0.0/16 list=Bogon
add address=XXXXXXXXXXX.sn.mynetname.net list=WAN-IP
add address=192.168.88.100 list=IoT-Devices
add address=192.168.88.101 list=IoT-Devices
add address=192.168.88.102 list=IoT-Devices
add address=192.168.88.103 list=IoT-Devices
add address=192.168.88.104 list=IoT-Devices
add address=192.168.88.110 list=IoT-Devices
add address=192.168.88.111 list=IoT-Devices
add address=192.168.88.112 list=IoT-Devices
add address=192.168.88.113 list=IoT-Devices
/ip firewall filter
add action=drop chain=forward comment="Block Internet IoT-Devices" dst-address=!192.168.88.0/24 src-address-list=IoT-Devices
add action=drop chain=input comment="defconf: block ICMP (was eerst accept)" protocol=icmp
add action=accept chain=input comment="defconf: accept establieshed,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related log-prefix="FASTTRACK LOG"
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related log-prefix="ACCEPT EST LOG"
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix="DROP INVALID LOG"
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log-prefix=\
    "DROP WAN LOG"
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade (WAN NAT)" out-interface=ether1 src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment="Synology TCP Ports" dst-address-list=WAN-IP dst-address-type="" dst-port=6281,554,8443 protocol=tcp to-addresses=\
    192.168.88.123
add action=dst-nat chain=dstnat comment="TurboPolyp TCP Ports" dst-address-list=WAN-IP dst-address-type="" dst-port=1336,1337,80,443 protocol=tcp to-addresses=\
    192.168.88.222
add action=accept chain=dstnat comment="Accept DNS for Pihole" dst-port=53 log-prefix="DNS Pihole" protocol=udp src-address=192.168.88.222
add action=accept chain=dstnat comment="Accept DNS for Pihole" dst-port=53 log-prefix="DNS Pihole" protocol=tcp src-address=192.168.88.222
add action=dst-nat chain=dstnat comment="Redirect DNS requests to Pihole" dst-port=53 log-prefix="DNS Redirect" protocol=udp to-addresses=192.168.88.222 to-ports=53
add action=masquerade chain=srcnat comment="Masquerade redirected DNS requests" dst-address=192.168.88.222 dst-port=53 log-prefix="MASQ DNS" protocol=udp \
    src-address=192.168.88.0/24
/ip route
add disabled=yes distance=1 gateway=192.168.0.1
/ip service
set telnet address=192.168.88.0/24 disabled=yes
set ftp address=192.168.88.0/24 disabled=yes
set www address=192.168.88.0/24 disabled=yes
set ssh address=192.168.88.0/24
set api address=192.168.88.0/24 disabled=yes
set winbox address=192.168.88.0/24
set api-ssl address=192.168.88.0/24 disabled=yes
/ip smb shares
set [ find default=yes ] directory=/pub
/ip ssh
set strong-crypto=yes
/ip upnp interfaces
add disabled=yes interface=bridge type=internal
add disabled=yes interface=ether1 type=external
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
set 1 interface=wlan2
/system ntp client
set enabled=yes primary-ntp=192.168.88.222 secondary-ntp=192.168.88.222
/system routerboard settings
set silent-boot=no
/system scheduler
add interval=2d name="Check for software updates" on-event="/system script run \"Check for software updates\"" policy=read,write,policy,test start-date=oct/20/2017 \
    start-time=13:37:00
/system script
add dont-require-permissions=no name="Check for software updates" owner=admin policy=read,write,policy,test source=":local emailAddress \"mikrotik@XXXXXX.ws\"\r\
    \n \r\
    \n/system package update\r\
    \nset channel=current\r\
    \ncheck-for-updates\r\
    \n \r\
    \n:if ([get installed-version] != [get latest-version]) do={ \r\
    \n:log info \"A new software update is available. Sending email...\"\r\
    \n \r\
    \n/tool e-mail send to=\"\$emailAddress\" subject=\"[Mikrotik] Software Update Available\" body=\"A new update is available for your MikroTik device\"\r\
    \n}"
/tool bandwidth-server
set enabled=no
/tool graphing interface
add allow-address=192.168.88.0/24 interface=ether1
/tool graphing resource
add allow-address=192.168.88.0/24
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no
/tool sniffer
set streaming-server=192.168.88.1
[freek@MikroTik] >


Hebben jullie wellicht een idee wat er foutief staat ingesteld.... of is de CPU inderdaad de bottleneck van mijn Mikrotik? Ook andere tips, bijv. m.b.t security e.d., zijn van harte welkom :)

Bij voorbaat dank!

EDIT: Ik heb dezelfde speedtest nogmaals uitgevoerd via m'n bedraade netwerk en dan komt de CPU load niet boven de 5% uit. Ik zie dat HW offloading greyed out is bij de Bridge Ports die op de WLAN interfaces zitten. Klopt het dat HW offloading dus niet kan via WiFi en is dat dan ook meteen mijn bottleneck :) ?

Never gonna let you down


  • Rick Astley
  • Registratie: April 2009
  • Niet online

Rick Astley

Never gonna give you up

SpikeHome schreef op vrijdag 23 november 2018 @ 12:47:
even afwachten gewoon
Hoe vaak heb je nu super lang de volledige bandbreedte nodig!
anders deze aanschaffen https://mikrotik.com/product/rb4011igs_5hacq2hnd_in

test results van die van jou
https://mikrotik.com/prod...acT2HnT#fndtn-testresults
en die van mij
https://mikrotik.com/prod...acT2HnT#fndtn-testresults

die van jou is stukje sneller!
Mwoah, niet super vaak inderdaad, maar het is toch jammer als je die niet kan halen. Als het alleen WiFi is die niet de volle bandbreedte kan halen dan heb ik daar vrede mee, zolang ik bekabeld maar de lijn plat kan trekken ;)

PS. Beide linkjes linken naar dezelfde pagina?
pimlie schreef op vrijdag 23 november 2018 @ 13:02:
@Rick Astley, hw offloading (voor een bridge, bv ipsec hw offloading is wel een feature van de cpu) is een feature voor/van de switch chip. Als je naar het block diagram kijkt zie je dat de wlan porten niet met de switch chip verbonden zijn maar met de cpu: https://i.mt.lv/cdn/rb_files/RB962UiGS-160210082257.png

Gezien het blok diagram zou je nog kunnen kijken of er een verschil is tussen 2.4Ghz en 5Ghz.

--edit---
Waarom heb je al je interfaces op 100Mbit staan? De hAP AC heeft toch gigabit porten?
Ah, thanks, dat wist ik niet! Block Diagrams, dat ik daar nog niet eerder aan had gedacht. Heb wel in de brochure gekeken maar daar kon ik het zo gauw niet vinden.

Dat snap ik inderdaad ook niet. De hAP AC heeft Gigabit poorten en Winbox zegt dat ze ook in Gigabit draaien. Echter de export toont iets anders... :? Wat nu? Mijn kabels zijn CAT5.e of CAT6 dus daar ligt het niet aan.

Afbeeldingslocatie: https://i.imgur.com/v2MSzkC.png

Wat ik overigens ook nog steeds niet aan de praat heb gekregen, en heb er al meer dan 2 uur prutsen inzitten, is blokkeren dat een PC naar een andere lokale PC mag pingen of data uitwisselen.
Dus PC A <---> PC B mogen niet met elkaar praten in het LAN netwerk.
Dit en dit heb ik al geprobeerd zonder resultaat.
Thralas schreef op vrijdag 23 november 2018 @ 13:24:
[...]


Die rule staat daar prima. FastTrack gebruikt hardware (NAT) offloading van de SoC. Zodra je daar een verbinding mee matched ziet de CPU geen packets meer voor die verbinding.

Ofwel, je moet dus éérst droppen. Waar hij staat maakt alleen uit in de zin dat je niet een reguliere ACCEPT wilt doen voor hij de kans krijgt het te offloaden.

Bridge port hardware offloading is wéér iets ander; dat is een layer 2 feature en hierboven al haarfijn uitgelegd.


[...]


Gewoon afwachten. De hAP AC kan met gemak 100 Mbit/s+ over WiFi routeren; het spectrum en een gebrek aan spatial streams zijn eerder je probleem.
Thanks voor je reply! Okay, we gaan het zien :) Als het goed is komt vandaag het nieuwe modem binnen, dan kan ik vanavond eens gaan testen.

Overigens heb ik nog een vraag over mijn laatste firewall rule, namelijk:
code:
1
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Wat doet deze nou precies? Hij is nog nooit getriggered. Is die rule dus niet dubbelop?

Never gonna let you down


  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 03-07 22:39
Toch maar weer even een UPNP/portforwarding vraag. Ik heb UPNP maar ff met wat torrent clients getest:

uTorrent op mijn laptop (via wifi, Unifi Accesspoint verbonden met de Mikrotik router) zegt dat de poort netjes is geopend via UPNP, en hier zie ik spontaan 2 NAT regels verschijnen als ik uTorrent opstart: Afbeeldingslocatie: https://i.imgur.com/bcVMbqu.png

Transmission op een Raspberry (via Netgear switch verbonden met de Mikrotik router) zegt dat de poort gesloten is. Ik zie echter, als ik transmission opstart, dat de volgende 2 NAT regels verschijnen in RouterOS: Afbeeldingslocatie: https://i.imgur.com/gl07dEQ.png

Via IP/UPNP/Interfaces heb ik als external interface: vlan-internet ingevuld en als internal: bridge.

Mijn setup is simpel, glasvezel komt via SFP1 rechtstreeks in de Mikrotik router. Internet wordt door de provider via VLAN geleverd dus die is ingesteld. Het gekke is dus dat Transmission via UPNP zomaar SFP1 kiest terwijl uTorrent netjes vlan-internet kiest. Bij die laatste gaat het dus goed.

Vreemde situatie toch? Ligt dit aan de implementatie van UPNP van Transmission?

Als ik de upnp portforwards van transmission verwijder, vervolgens die van utorrent gewoon kopieer, IP en poort verander naar die van transmission, is het direct opgelost.

[ Voor 26% gewijzigd door Jazco2nd op 27-12-2018 20:58 ]


  • dreester
  • Registratie: Januari 2004
  • Niet online
SpikeHome schreef op vrijdag 18 januari 2019 @ 10:25:
@dreester gebruik je fasttrack?
Of zou ik teveel regels hebben?
En bij een speedtest wat gebruikt je cpu dan?
Dit zijn mijn firewall rules, ik heb het niet echt ingericht:
MTK_rulebase

Bij een speedtest gaat de CPU naar rond de 22% bij een downloadsnelheid van 208Mbit/s.

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 02-07 20:59
nescafe schreef op dinsdag 5 maart 2019 @ 18:42:
Probeer eens een udp speedtest naar een test server met verschillende packetgroottes (binnen 2 minuten ivm autoban).

Mocht dit het probleem zijn, dan kan een expliciete mtu-clamping rule helpen. MT heeft deze een tijd geleden standaard ingebouwd maar het werkt niet altijd lekker.

code:
1
2
3
4
5
/ip firewall mangle
add action=change-mss chain=forward in-interface=all-ppp new-mss=clamp-to-pmtu \
    passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=all-ppp \
    passthrough=yes protocol=tcp tcp-flags=syn
Had ondertussen voor IPv4 terug wat mss-clamping rules actief gezet zoals je hierboven aanhaalt, aan de counters te zien zijn er wel hits. Maar het "verschijnsel" is niet weg hoor. Ondertussen met de btest-servers getest en idd hij blijft gewoon "steken" en ik verwacht om sneller te kunnen...
Heb zowel wat UDP als TCP getest, dus tja.

Afbeeldingslocatie: https://www.vanham-franck.be/pics/SPEEDTEST1.png
Afbeeldingslocatie: https://www.vanham-franck.be/pics/SPEEDTEST2.png
Afbeeldingslocatie: https://www.vanham-franck.be/pics/SPEEDTEST3.png


Ik ga alsnog proberen om een PC aan de modem/router van de provider te hangen om de RB3011 effe te bypassen en zien wat dat doet...

** EDIT **
Net direct een andere PC rechtstreeks op de ISP modem/router gehangen en klassieke Speedtest gedaan ... verdorie ook maar 13Mbps upload ...
Dan moet het toch ergens ISP zijn. Nu ik weet dat de Vectoring/DLM dynamisch is en m'n lijn heeft er 4 uur uitgelegen na spanningswerking in de wijk ... mischien zit ik nog niet op het goede profiel ... ik ga even afwachten...

[ Voor 11% gewijzigd door jvanhambelgium op 05-03-2019 20:43 ]


  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 02-07 20:59
Thralas schreef op zaterdag 9 maart 2019 @ 00:27:
Heb je gecontroleerd of je provider niet gewoon RFC4638 ondersteunt? Dat werkt in Nederland (waarbij bijna iedereen met PPPoE (in)direct bij KPN zit) in ieder geval prima.

Kwestie van de MTU en MRU op 1500 zetten ipv. de default, dan heb je ook geen MSS clamping rules meer nodig.
Heb ondertussen de MTU/MRU gewoon op 1500 gefixed op m'n PPP-verbinding en de MSS-clamping rules op disabled gezet en alles blijft ook prima werken.
Mijn upload is sinds vandaag ook een stuk sneller geworden, maar dat kan evengoed te maken hebben met het aanpassen door het DLM (Dynamic Line Management) systeem dat onze provider Proximus/Skynet gebruikt.

Mijn problemen begonnen maandag na een (geplande) spanningsuitval in de wijk voor 4 uur. Vervolgens komt de xDSL sessie terug op maar krijg je terug een standaard provisioning-profiel, DLM doet evaluatie over verschillende dagen en "krikt" de snelheid op indien deze stabiel & goed blijft (qua headroom). Het zou wel eens hiermee te maken kunnen hebben...ik ga eens in de logs kijken of er tijdens de nacht disconnects hebben plaatsgevonden.

Download is altijd goed geweest eigenlijk.

Deze speedtest is gemaakt/hosted door de ISP zelf.


Sinds maandag na het rebooten van alles...
Afbeeldingslocatie: https://www.vanham-franck.be/pics/SPEEDOLD.png

Sinds vandaag (ook na aanpassing MRU/MTU fixed op 1500)
Afbeeldingslocatie: https://www.vanham-franck.be/pics/SPEEDNEW.png


Voorlopig fixed, zal het wat in het oog houden.
Thx voor de tip rond RFC4638

  • Vaenir
  • Registratie: Februari 2018
  • Laatst online: 06-10-2023
Als Tweaker weet ik dat een antwoord voorkauwen niet de bedoeling is. Maar ik heb nu zoveel geprobeerd vanuit dit topic en de Mikrotik wiki dat ik er gek van word.

Ik heb lokaal een Nextcloud server draaien welke ik nu via mijn eigen domein via https kan benaderen wanneer ik buiten huis ben. Maar wanneer ik op mijn eigen lan zit kom ik dus uit op mijn gateway adres. Nu begrijp ik dat ik dan een hairpin nat moet instellen. Ik krijg het echter totaal niet werkend. Ik heb een flowchart gemaakt hoe het nu werkt:

Afbeeldingslocatie: https://i.ibb.co/rGZrpZp/hairpin.png

Mijn domein verwijst nu dus via https (poort 443) naar mijn wan ip. De Mikrotik verwijst via een nat rule naar mijn lokale server ip adres waarbij de https poort wordt verwezen naar poort 5679 op mijn server. Dit is de https poort van mijn Nginx reverse proxy die in een docker container draait.

Ik wil graag mijn server benaderen via mijn eigen domein wanneer ik thuis ben.. Maar hoe?.. |:(

[ Voor 6% gewijzigd door Vaenir op 25-06-2019 23:06 ]


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:05
Geen Tx/Rx Power en geen temp? Dat is vreemd. Rx Bytes onder Traffic blijft dan ook op 0 staan zeker?

Ik heb zelf deze: https://www.fs.com/products/20184.html (1490nm-RX 20km)

Afbeeldingslocatie: https://lh3.googleusercontent.com/aorLY1D8vQUogY9y_Gefzp3x1RnHXBu_sK6iM4f3EUbXVu9_yLMt3EtaBVPcg1MX0djoe6l0lKjQSJFzIxnUOH4YEqEfLn0OpFMV-ooO2BhWonYNeDfrPelnalNJWEMv0I65Z8NpZiT1IPd1wAB9_JfJJM6pfXjgdPYLbcu9maneTygcq9iwpO87JmglJdg_xnY7okkpQldIQZDF6jR_FgPp_vqOpfam9BQ1ks5JeijI_47-ycqeCU3atNBBBP-ZPInCrNZbGLsq4-eb0V0vVmrEcksTXQI0TPJ--5dQkJk50fWEeNlrQbC06SGBLP9tCAUf8anxPwKnGQErX2JDaO8NEO1aPtL1FNUUUPvbhBCno9FSYjKRPrm2Jin3HIwfE0deFgleIplL94qNgGebdqSsYC5RUK5Qh43eLCcpcP3-OLbmjbFPn31jPOVeelZ0G7PsjEHpsexlDabkMCT4ViYevd-vQ_XSfF9UBLm0YDQ4YahvGU4kk-u67tgZ3Bi4Iyr4joZRkgAMKUPMCoIoo0bVgSsDXH9-LPd0qIzlwHAWY6yC3Vf78NiV5MydstLZxqDSmHU7cDFxHCaZ50KeEOpnbXf207Ma1XVapkdaOy0P-GF_BsjTiqaJV2GVDOAL_uk8XkwihlXhJjcZd5xkOC-frdeSf2bh3YcPY_YCFgSMtSrVzrumKwV74ysiIw3-TeIXGSKnis7N6JF1_1DX5Symn033gdD1HZV0OgrXkiGx1zgO2XhSUo2Yeolcqz2ZOUQX0BPnrE-Yi3s53RgkTJCppRt2uqOVP99hjYjN-wniexwfg4XXih4b=w609-h710-no
(RB4011, 6.46beta16)

Zou je eens een supout.rif willen draaien, naar MT support willen sturen en het ticketnr posten? Ik zal dan o.v.v. jouw ticketnummer ook een supout.rif sturen.

Volgens mij is 1490/1550nm om het even. Misschien dat 10km/20km wat uitmaakt. Maar dan begrijp ik alsnog niet waarom bij twee modules uit dezelfde productlijn, de ene wel temp+tx/rx power weergeeft en de andere niet.

Zelfs bij geen licht zou je temp+tx/rx power moeten zien:

Afbeeldingslocatie: https://lh3.googleusercontent.com/ox5jX1RuD6flZIgmuJMorsz6DDE7tcl03y1S7gY3izOnT7lrSfdlnqvui-rUkj3udN0bD99RtDdGXRwq4xAEh81mZwHbmR-l0ExP0Kn5WZWzPixfrb9DUhPLYh8a2M3Ir8A4pcCxE3pnxxABuu-9XRkGRGb34Kjj4MzAvMyJlHA3buZrn5tPSJH0ESqrtbZ0aE1Pbln3SMKdi9KHcQP2TLFnBuSnCX-OjppjualDx87pGsv4jDx2vCCZpg4tvqMeq6dhPGz5xEBDRW4SIqQ6_Q5XtKlidX0C6eizJ16U2Y_QZYTWB5hM35xBmbbUbaLbKP38Bn-cDKACM6j396uPbjB1FXzLF9htnh5FW-J1AZLpLBED17HeaRNGfX-qK5kKHhaYqhOWjqNX8tzvXcvowdsDFFfvzLvrMgri5FSJXd22kXg8OoVMcD33MFNlkevRxm0yQdj5ULTIsOYr-1DZ95LLQqc50k2GJXcyqyNtPy2L0Wx6TEE57TqwEwT0-0XvI8WOM9wl4aa3QucbqNtQ7uvOhrbJ2_GjSJCAww2xC2C5wECqSVjpXR1TpBGwkmcfl7xrERqDDKlt2PhlSNEnu5RXNO5P67TDYzaLdXe0VGMXe1xkFuX9nCRcPR8rdVAjuEmHFvcVpsj4SVtVvtYlllbtxDsC9L7r1Twn6sO-QUSnOkiUPD1oibKWbIMgAwYxPQcuw0GcXaQb2dGOjrIGpd_ky14EQOyr5zpBvAyntXdpO3B6jtOyoiqV4JDukvP8bQc3IFMZEpnLdqb0pyvrw5-S7comqE82bU4wlirrnYb6-3DXk_Zgi3aX=w609-h632-no
(RB3011, 6.45.1)

[ Voor 23% gewijzigd door nescafe op 05-08-2019 00:23 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 18:20

The Executer

Lekker belangrijk!

Probleem is dat de kanalen 1 / 6 / 11 allemaal reeds bezet zijn in de buurt. In totaal zijn er 25 28 Wi-Fi netwerken in mijn buurt:

Afbeeldingslocatie: https://tweakers.net/ext/f/8NmNIvUQeVMSKmhqsA5zSZXH/full.png

Antenna gain: Ik begrijp dat wanneer deze op 0 staat, ik in principe de hoogte output-power zou moeten krijgen. Op zich heb ik met het bereik zelf geen problemen, wat ook gestaafd wordt de lage dBM waardes.

Instellingen aangepast inclusief land, waarna ik verplicht ben minimaal 3dB gain in te stellen. Deze voor nu op 4 gezet, overeenkomstig de instellingen van @SpikeHome. Daarnaast ook op 20Mhz gezet. We gaan eens kijken wat dit gaat doen!

@lier 5Ghz vereist een nieuwe router. Voordat het zover is wil ik kijken of deze nog kan voldoen. Verder voldoet deze volledig aan mijn eisen (Gigabit, VPN, firewalling etc). Qua CPU belasting kom ik met de VPN (L2TP met IP/sec) toch niet aan de max aangezien mijn Ziggo lijn maar 50/5 doet en hier dus al snel tegen de limieten van de upload aanloop.




Update: Inmiddels kanaal 11 geselecteerd. 1 en 6 kwamen op/rond -77 binnen, kanaal 11 op -83.

[ Voor 28% gewijzigd door The Executer op 26-09-2019 16:26 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • Poecillia
  • Registratie: Januari 2002
  • Laatst online: 23-06 17:29
Ik heb recent een Microtik router/accesspoint gekocht: pricewatch: MikroTik Routerboard RB952Ui-5ac2nD hAP ac lite De microtik wordt aangesloten via een LAN kabel op het KPN modem/router. Ik wil de Microtik router nu eigenlijk alleen maar als switch en accesspoint gebruiken, maar het lukt me niet om deze als zodanig in te stellen. Ik heb Winbox gedownload, maar raak het spoor kwijt in de mogelijkheden. Daarom graag wat hulp.

Standaard staat de Microtik router ingesteld op Home AP Dual. Er zijn een 2,4 en 5 Ghz accesspoint beschikbaar en er is internet via het netwerk. Het probleem is dat de Microtik een subnetwerk opbouwt en zelf IP adressen uitdeelt die in het normale netwerk niet te zien zijn. In diverse tutorials zag ik dat ik DHCP uit moet zetten en de gateway op het IP adres van de KPN router moet instellen. Als ik dat doe worden echter geen IP adressen meer uitgedeeld en is internet niet meer beschikbaar. Ik zag verder dat ik een bridge moet instellen en geen switch. Die bridge is er, maar ik zie onder switch ook een entry die ik niet weg krijg. Hieronder een schermprint van de huidige status van Winbox (sorry voor de grootte, maar anders mis ik detail)

Afbeeldingslocatie: https://tweakers.net/ext/f/DeGpF8isg920ZkSb6s6GtXVn/full.jpg
Pagina: 1 2 3