:strip_exif()/i/1395224034.png?f=thumbmini)
Hallo Tweakers,
Ik loop nu ondertussen al een paar dagen te stoeien met de configuraties en instellingen van mijn nieuw gekochte:
- Mikrotik RB2011UiAS2
- Netgear Prosafe GS105E KPN
Deze wil ik, zoals zovelen, gaan gebruiken als vervanging van de Experiabox van KPN. Daarnaast heb ik deze configuratie nodig omdat ik via 1 UTP kabel met behulp van de Netgear switch zowel TV wil kijken als een computer/NAS wil aansluiten.
Ik heb met behulp van http://netwerkje.com/ alles werkend gekregen behalve het TV kijken via switch op poort 4 of 5.
Ik heb de Netgear switch aangesloten op poort 4 of 5 en ik heb het vermoeden dat er ergens in de instelling van de Mikrotik wat verkeerd zit. Ik heb namelijk de switch direct op het glasvezel gezet en dan functioneert de switch wel op de poort waar TV geprogrammeerd is.
Ook krijg ik op poort 3-5 van de Netgear gewoon verbinding met Internet.
Dit is daadwerkelijk mijn eerste port op Tweakers omdat ik er tot nu toe altijd zelf ben uitgekomen al dan niet met de hulp van internet. Ik ben geen netwerkexpert maar wist me tot nu toe altijd te redden.
Ik heb het gevoel dat het waarschijnlijk een klein foutje ergens is en ik hoop dat jullie de moeite willen nemen om hier naar te kijken.
Ik heb hieronder mijn volledige confirguratie staan (inclusief de commentaren van netwerkje.com aangevuld met wat eigen opmerkingen. Omdat ik denk dat wanneer ik het opgelost heb er veel mensen hier wat mee kunnen!
Alvast bedankt voor jullie reactie!
Dit is mijn configuratie van de Mikrotik:
# Bruikbaar voor een KPN of Tweak fiber verbinding
# Alleen internet configuratie.
#
# Export voor RouterOS versie 6.5 en hoger
#
# Laatste wijziging: 26 augustus 2014
#
/interface ethernet
#
# Poort 1 (ether1) = FIBER connectie
# Poortnummers hebben intern exact 1 nummer lager intern dan de gedrukte nummering
# op de router zelf.
#
set 0 arp=proxy-arp auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether1-gateway speed=1Gbps
#
# Poort 2 (ether2) = LAN
#
set 1 arp=enabled auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether2 speed=1Gbps
#
# VLAN 6 = internet, deze koppelen we aan de fysieke interface ether1-gateway.
#
/interface vlan
add arp=enabled disabled=no interface=ether1-gateway l2mtu=1594 mtu=1500 \
name=vlan1.6 use-service-tag=no vlan-id=6
add interface=ether4 l2mtu=1594 name=vlan4.6 vlan-id=6
add interface=ether5 l2mtu=1594 name=vlan5.6 vlan-id=6
#
# VLAN 4 = IPTV
#
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether4 l2mtu=1594 name=vlan4.4 vlan-id=4
add interface=ether5 l2mtu=1594 name=vlan5.4 vlan-id=4
#
# VLAN 7 = Telefonie
#
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7
add interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7
#
# PPPoE profiel, heel standaard.
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
#
# PPPOE CLIENT, deze koppelen we aan de VLAN6 interface die eerder gemaakt is.
# (vul eigen MAC in ipv xx-xx...) Let op: hier worden streepjes gebruikt ipv dubbele punten
# Het MAC adres verwijst hier naar het adres van de Experiabox die vervangen wordt.
# De exacte inloggegevens zijn ook zichtbaar in de webinterface van de experiabox.
#
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 \
dial-on-demand=no disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1480 \
mrru=disabled name=pppoe password=kpn profile=default \
use-peer-dns=no user=[SENSUUR]@direct-adsl
#
# BGP, alleen maar even om zeker te zijn dat het disabled is.
#
/routing bgp instance
set default disabled=yes
#
# Bridges, ofwel verzameling switchpoorten die bij elkaar horen.
#
# De bridge-local is de bridge voor de LAN kant van het netwerk. Let op: poort 1 zit (daarom) niet in de LAN bridgepoort!
# VLAN6
/interface bridge
add name=bridge-local arp=proxy-arp
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=vlan4.6
add bridge=bridge-local interface=vlan5.6
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=wlan1
# Maak een bridge aan om IPTV VLAN4 te kunnen gaan gebruiken -> poort 4,5,7,8 en 9
/interface bridge
add name=bridge-iptv
/interface bridge port
add bridge=bridge-iptv interface=vlan1.4
#add bridge=bridge-iptv interface=vlan4.4
#add bridge=bridge-iptv interface=vlan5.4
add bridge=bridge-iptv interface=ether7
add bridge=bridge-iptv interface=ether8
add bridge=bridge-iptv interface=ether9
# Maak een bridge aan om telefonie VLAN7 te kunnen gaan gebruiken -> poort 1 en 10
/interface bridge
add name=bridge-tel
/interface bridge port
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
no
/interface ethernet switch port
set 0 vlan-header=leave-as-is vlan-mode=disabled
set 1 vlan-header=leave-as-is vlan-mode=disabled
set 2 vlan-header=leave-as-is vlan-mode=disabled
set 3 vlan-header=leave-as-is vlan-mode=disabled
set 4 vlan-header=leave-as-is vlan-mode=disabled
set 5 vlan-header=leave-as-is vlan-mode=disabled
set 6 vlan-header=leave-as-is vlan-mode=disabled
set 7 vlan-header=leave-as-is vlan-mode=disabled
set 8 vlan-header=leave-as-is vlan-mode=disabled
set 9 vlan-header=leave-as-is vlan-mode=disabled
set 10 vlan-header=leave-as-is vlan-mode=disabled
set 11 vlan-header=leave-as-is vlan-mode=disabled
set 12 vlan-header=leave-as-is vlan-mode=disabled
#
# Lokaal IP adres van de router. Pas dit aan naar het IP adres in de reeks die je gebruikt (of laat het zo)
#
/ip address
add address=192.168.10.250/24 disabled=no interface=bridge-local network=192.168.10.0
#
# De DNS van Google, lekker betrouwbaar. Stel deze dmv remote requests als caching server open voor het LAN.
#
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=2048KiB \
max-udp-packet-size=4096 servers=8.8.8.8,8.8.4.4
#
# De 3 standaard rules voor de firewall. Dit zijn geen veilige rules, alles staat open, maar
# bedoeld om de basis functionaliteiten te laten werken.
#
/ip firewall filter
add action=accept chain=input disabled=no in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
#
# BELANGRIJK: nu volgen enkele drastische voorbeeld firewall rules om de router vanaf internet te beschermen.
#
# Bedenk: input rules = verkeer naar de router zelf.
# Denk hierbij aan de webinterface, SSH toegang, een DNS server, VPN, etc.
#
# Onderstaande regels zorgen dat bijvoorbeeld de webinterface en de ssh poort niet van buitenaf te bereiken zijn.
# Ook sluit je een eventuele DNS server af voor de buitenwereld.
# Neem je de volgende twee regels niet mee in je eigen configuratie dan krijg je vanzelf bericht van KPN
# dat je verbinding is geblokkeeerd vanwege een "open DNS" of soortgelijke reden. Dan heb je geen internet meer.
# Voorkom dit dus vooral en neem deze basis firewall regels mee in je configuratie.
#
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable
#
# De NAT regel om vanaf LAN het internet te kunnen gebruiken, vervang evt het src adres door je eigen LAN IP reeks.
#
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=pppoe \
src-address=192.168.0.0/16 to-addresses=0.0.0.0
#
# Geen rotzooi naar KPN sturen, dus we disablen discovery op de poorten naar KPN
#
/ip neighbor discovery
set sfp1 discover=no
set ether1-gateway discover=no
set ether2 discover=yes
set ether3 discover=yes
set ether4 discover=yes
set ether5 discover=yes
set wlan1 discover=no
set bridge-local discover=yes
set pppoe discover=no
set vlan1.6 discover=no
## Een basis DHCP server voor het LAN
#
/ip pool
add name=thuisnetwerk ranges=192.168.10.40-192.168.10.99
/ip dhcp-server
add address-pool=thuisnetwerk authoritative=yes disabled=no interface=bridge-local \
lease-time=1h30m name=dhcp-thuis
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.250 domain=thuis.local gateway=\
192.168.10.250
#
# Algemene andere dingetjes
#
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=no
/ip upnp interfaces
add disabled=no interface=bridge-local type=internal
add disabled=no interface=pppoe type=external
/lcd
set backlight-timeout=5m enabled=yes
/system clock
set time-zone-name=Europe/Amsterdam
Daarnaast heb ik op Netgear switch:
- signaal komt binnen op poort 1
- poort 2 is voor TV
- poort 3-5 is voor Internet
Twee VLANs ingesteld:
VLAN 4:
Poort 1 (tagged) en 2 (untagged)
VLAN 6:
Poort 1(tagged) en 3-5 (untagged)
Port PVID:
Poort 1 -> 6
Poort 2 -> 4
Poort 3-5 -> 6
Ik loop nu ondertussen al een paar dagen te stoeien met de configuraties en instellingen van mijn nieuw gekochte:
- Mikrotik RB2011UiAS2
- Netgear Prosafe GS105E KPN
Deze wil ik, zoals zovelen, gaan gebruiken als vervanging van de Experiabox van KPN. Daarnaast heb ik deze configuratie nodig omdat ik via 1 UTP kabel met behulp van de Netgear switch zowel TV wil kijken als een computer/NAS wil aansluiten.
Ik heb met behulp van http://netwerkje.com/ alles werkend gekregen behalve het TV kijken via switch op poort 4 of 5.
Ik heb de Netgear switch aangesloten op poort 4 of 5 en ik heb het vermoeden dat er ergens in de instelling van de Mikrotik wat verkeerd zit. Ik heb namelijk de switch direct op het glasvezel gezet en dan functioneert de switch wel op de poort waar TV geprogrammeerd is.
Ook krijg ik op poort 3-5 van de Netgear gewoon verbinding met Internet.
Dit is daadwerkelijk mijn eerste port op Tweakers omdat ik er tot nu toe altijd zelf ben uitgekomen al dan niet met de hulp van internet. Ik ben geen netwerkexpert maar wist me tot nu toe altijd te redden.
Ik heb het gevoel dat het waarschijnlijk een klein foutje ergens is en ik hoop dat jullie de moeite willen nemen om hier naar te kijken.
Ik heb hieronder mijn volledige confirguratie staan (inclusief de commentaren van netwerkje.com aangevuld met wat eigen opmerkingen. Omdat ik denk dat wanneer ik het opgelost heb er veel mensen hier wat mee kunnen!
Alvast bedankt voor jullie reactie!
Dit is mijn configuratie van de Mikrotik:
# Bruikbaar voor een KPN of Tweak fiber verbinding
# Alleen internet configuratie.
#
# Export voor RouterOS versie 6.5 en hoger
#
# Laatste wijziging: 26 augustus 2014
#
/interface ethernet
#
# Poort 1 (ether1) = FIBER connectie
# Poortnummers hebben intern exact 1 nummer lager intern dan de gedrukte nummering
# op de router zelf.
#
set 0 arp=proxy-arp auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether1-gateway speed=1Gbps
#
# Poort 2 (ether2) = LAN
#
set 1 arp=enabled auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether2 speed=1Gbps
#
# VLAN 6 = internet, deze koppelen we aan de fysieke interface ether1-gateway.
#
/interface vlan
add arp=enabled disabled=no interface=ether1-gateway l2mtu=1594 mtu=1500 \
name=vlan1.6 use-service-tag=no vlan-id=6
add interface=ether4 l2mtu=1594 name=vlan4.6 vlan-id=6
add interface=ether5 l2mtu=1594 name=vlan5.6 vlan-id=6
#
# VLAN 4 = IPTV
#
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether4 l2mtu=1594 name=vlan4.4 vlan-id=4
add interface=ether5 l2mtu=1594 name=vlan5.4 vlan-id=4
#
# VLAN 7 = Telefonie
#
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7
add interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7
#
# PPPoE profiel, heel standaard.
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
#
# PPPOE CLIENT, deze koppelen we aan de VLAN6 interface die eerder gemaakt is.
# (vul eigen MAC in ipv xx-xx...) Let op: hier worden streepjes gebruikt ipv dubbele punten
# Het MAC adres verwijst hier naar het adres van de Experiabox die vervangen wordt.
# De exacte inloggegevens zijn ook zichtbaar in de webinterface van de experiabox.
#
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 \
dial-on-demand=no disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1480 \
mrru=disabled name=pppoe password=kpn profile=default \
use-peer-dns=no user=[SENSUUR]@direct-adsl
#
# BGP, alleen maar even om zeker te zijn dat het disabled is.
#
/routing bgp instance
set default disabled=yes
#
# Bridges, ofwel verzameling switchpoorten die bij elkaar horen.
#
# De bridge-local is de bridge voor de LAN kant van het netwerk. Let op: poort 1 zit (daarom) niet in de LAN bridgepoort!
# VLAN6
/interface bridge
add name=bridge-local arp=proxy-arp
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=vlan4.6
add bridge=bridge-local interface=vlan5.6
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=wlan1
# Maak een bridge aan om IPTV VLAN4 te kunnen gaan gebruiken -> poort 4,5,7,8 en 9
/interface bridge
add name=bridge-iptv
/interface bridge port
add bridge=bridge-iptv interface=vlan1.4
#add bridge=bridge-iptv interface=vlan4.4
#add bridge=bridge-iptv interface=vlan5.4
add bridge=bridge-iptv interface=ether7
add bridge=bridge-iptv interface=ether8
add bridge=bridge-iptv interface=ether9
# Maak een bridge aan om telefonie VLAN7 te kunnen gaan gebruiken -> poort 1 en 10
/interface bridge
add name=bridge-tel
/interface bridge port
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
no
/interface ethernet switch port
set 0 vlan-header=leave-as-is vlan-mode=disabled
set 1 vlan-header=leave-as-is vlan-mode=disabled
set 2 vlan-header=leave-as-is vlan-mode=disabled
set 3 vlan-header=leave-as-is vlan-mode=disabled
set 4 vlan-header=leave-as-is vlan-mode=disabled
set 5 vlan-header=leave-as-is vlan-mode=disabled
set 6 vlan-header=leave-as-is vlan-mode=disabled
set 7 vlan-header=leave-as-is vlan-mode=disabled
set 8 vlan-header=leave-as-is vlan-mode=disabled
set 9 vlan-header=leave-as-is vlan-mode=disabled
set 10 vlan-header=leave-as-is vlan-mode=disabled
set 11 vlan-header=leave-as-is vlan-mode=disabled
set 12 vlan-header=leave-as-is vlan-mode=disabled
#
# Lokaal IP adres van de router. Pas dit aan naar het IP adres in de reeks die je gebruikt (of laat het zo)
#
/ip address
add address=192.168.10.250/24 disabled=no interface=bridge-local network=192.168.10.0
#
# De DNS van Google, lekker betrouwbaar. Stel deze dmv remote requests als caching server open voor het LAN.
#
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=2048KiB \
max-udp-packet-size=4096 servers=8.8.8.8,8.8.4.4
#
# De 3 standaard rules voor de firewall. Dit zijn geen veilige rules, alles staat open, maar
# bedoeld om de basis functionaliteiten te laten werken.
#
/ip firewall filter
add action=accept chain=input disabled=no in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
#
# BELANGRIJK: nu volgen enkele drastische voorbeeld firewall rules om de router vanaf internet te beschermen.
#
# Bedenk: input rules = verkeer naar de router zelf.
# Denk hierbij aan de webinterface, SSH toegang, een DNS server, VPN, etc.
#
# Onderstaande regels zorgen dat bijvoorbeeld de webinterface en de ssh poort niet van buitenaf te bereiken zijn.
# Ook sluit je een eventuele DNS server af voor de buitenwereld.
# Neem je de volgende twee regels niet mee in je eigen configuratie dan krijg je vanzelf bericht van KPN
# dat je verbinding is geblokkeeerd vanwege een "open DNS" of soortgelijke reden. Dan heb je geen internet meer.
# Voorkom dit dus vooral en neem deze basis firewall regels mee in je configuratie.
#
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable
#
# De NAT regel om vanaf LAN het internet te kunnen gebruiken, vervang evt het src adres door je eigen LAN IP reeks.
#
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=pppoe \
src-address=192.168.0.0/16 to-addresses=0.0.0.0
#
# Geen rotzooi naar KPN sturen, dus we disablen discovery op de poorten naar KPN
#
/ip neighbor discovery
set sfp1 discover=no
set ether1-gateway discover=no
set ether2 discover=yes
set ether3 discover=yes
set ether4 discover=yes
set ether5 discover=yes
set wlan1 discover=no
set bridge-local discover=yes
set pppoe discover=no
set vlan1.6 discover=no
## Een basis DHCP server voor het LAN
#
/ip pool
add name=thuisnetwerk ranges=192.168.10.40-192.168.10.99
/ip dhcp-server
add address-pool=thuisnetwerk authoritative=yes disabled=no interface=bridge-local \
lease-time=1h30m name=dhcp-thuis
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.250 domain=thuis.local gateway=\
192.168.10.250
#
# Algemene andere dingetjes
#
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=no
/ip upnp interfaces
add disabled=no interface=bridge-local type=internal
add disabled=no interface=pppoe type=external
/lcd
set backlight-timeout=5m enabled=yes
/system clock
set time-zone-name=Europe/Amsterdam
Daarnaast heb ik op Netgear switch:
- signaal komt binnen op poort 1
- poort 2 is voor TV
- poort 3-5 is voor Internet
Twee VLANs ingesteld:
VLAN 4:
Poort 1 (tagged) en 2 (untagged)
VLAN 6:
Poort 1(tagged) en 3-5 (untagged)
Port PVID:
Poort 1 -> 6
Poort 2 -> 4
Poort 3-5 -> 6
I LOVE YOU