donderdag 18 juni 2015 14:34

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Hallo Tweakers,

Naar aanleiding van deze topic heb ik een pricewatch: MikroTik Routerboard RB951G-2HnD aangeschaft om deze icm met een Cisco, Ziggo modem en de pricewatch: TP-Link JetStream TL-SG3210 als (vlan) router te laten functioneren.

Nou ben ik al een aantal dagen flink aan het stoeien geweest met vooral de Mikrotik, maar ik loop nu toch vast.

Mijn setup:

Cisco-Ziggo modem (nog) niet in bridge modes.
Ip 192.168.2.254
dhcp ja 192.168.2.10-192.168.2.35
DMZ ja 192.168.2.50

TP-Link switch
ip 192.168.2.251
gateway 192.168.2.254
subnet 255.255.255.0
Poort 7 ingesteld als Trunkpoort vlan id 1
Poort 1,2,4 en 5 vlan id 2
poort 3 vlan id 300
poort 6 vlan id 400
poort 8 vlan id 500
vlan members van id:
1 zijn poort 1-10(standaard vlan)
2 zijn poort 1,2,4,5 en 7
300 zijn poort 3 en 7
400 zijn poort 6 en 7
500 zijn poort 8 en 7

De hele configuratie van de Mikrotik ziet er zo uit

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

/interface ethernet
set [ find default-name=ether1 ] name="POORT 1 WAN"
set [ find default-name=ether2 ] name="POORT 2 LAN"
set [ find default-name=ether3 ] master-port="POORT 2 LAN" name="POORT 3 LAN"
set [ find default-name=ether4 ] master-port="POORT 2 LAN" name="POORT 4 LAN"
set [ find default-name=ether5 ] name="POORT 5 TRUNK"
/interface vlan
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 2" vlan-id=2
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 300" vlan-id=300
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 400" vlan-id=400
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 500" vlan-id=500
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 600" vlan-id=600
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 700" vlan-id=700
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=TIJDELIJK \
    supplicant-identity="" wpa-pre-shared-key=NuWel1234 wpa2-pre-shared-key=........
/interface wireless
set [ find default-name=wlan1 ] disabled=no l2mtu=2290 mode=ap-bridge security-profile=TIJDELIJK wireless-protocol=802.11
/ip pool
add name="POOL VLAN 2" ranges=192.168.20.10-192.168.20.40
add name="POOL VLAN 300" ranges=192.168.30.10-192.168.30.40
add name="POOL VLAN 400" ranges=192.168.40.10-192.168.40.40
add name="POOL VLAN 500" ranges=192.168.50.10-192.168.50.40
add name="POOL VLAN 600" ranges=192.168.60.10-192.168.60.40
add name="POOL VLAN 700" ranges=192.168.70.10-192.168.70.40
add name=dhcp ranges=192.168.2.10-192.168.2.40
/ip dhcp-server
add address-pool="POOL VLAN 2" disabled=no interface="VLAN 2" name="DHCP SERVER VLAN 2"
add address-pool="POOL VLAN 300" disabled=no interface="VLAN 300" name="DHCP SERVER VLAN 300"
add address-pool="POOL VLAN 400" disabled=no interface="VLAN 400" name="DHCP SERVER VLAN 400"
add address-pool="POOL VLAN 500" disabled=no interface="VLAN 500" name="DHCP SERVER VLAN 500"
add address-pool="POOL VLAN 700" disabled=no interface="VLAN 700" name="DHCP SERVER VLAN 700"
add address-pool="POOL VLAN 600" disabled=no interface="VLAN 600" name="DHCP SERVER VLAN 600"
add address-pool=dhcp disabled=no interface="POORT 2 LAN" name=dhcp1
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/ip address
add address=192.168.20.1/24 interface="VLAN 2" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
add address=192.168.60.1/24 interface="VLAN 600" network=192.168.60.0
add address=192.168.70.1/24 interface="VLAN 700" network=192.168.70.0
add address=192.168.2.50/16 interface="POORT 1 WAN" network=192.168.0.0
add address=192.168.2.40/24 interface="POORT 2 LAN" network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.254
add address=192.168.20.0/24 gateway=192.168.2.254
add address=192.168.30.0/24 gateway=192.168.2.254
add address=192.168.40.0/24 gateway=192.168.2.254
add address=192.168.50.0/24 gateway=192.168.2.254
add address=192.168.60.0/24 gateway=192.168.2.254
add address=192.168.70.0/24 gateway=192.168.2.254
/ip dns
set servers=212.54.44.54,212.54.40.25
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
/ip route
add distance=1 gateway=192.168.2.254
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
set 0 interface=wlan1
/tool romon port
add disabled=no
[admin@MikroTik] >

Wat goed lijkt is dat er netjes ip aressen uitgedeeld worden door de mikrotik voor ieder vlan.
Wat niet goed gaat is dat er geen enkel apparaat via de switch internet kan vinden.
Pingen naar 192.168.2.254 gaat niet
Pingen naar 192.168.2.250 gaat ook niet

De vraag is nu: wie kan er uit bovenstaande gegevens opmaken waar het misgaat?

donderdag 18 juni 2015 14:38

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 22:14

DiedX

Ik ken Mikrotik als firewall verder niet. Verbinding is goed, want DHCP. Heb je wel NAT per vlan aangezet? Dat lijkt er namelijk niet op uit bovenstaande configuratie...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 18 juni 2015 15:09

Acties:
  • 0 Henk 'm!
  • allure
  • Registratie: Mei 2001
  • Laatst online: 19:17

allure

Titaan fase 2/3

Kunnen je Vlan-interfaces wel communiceren met je WAN/Bridge?

donderdag 18 juni 2015 15:39

Acties:
  • 0 Henk 'm!
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Ben niet bekend met Microtik maar een ding valt me wel op.

Op de WAN zijde heb je een 192.168.2.50/16 adres geconfigureerd.
Maar ook op je LAN zijde ook alleen dan een /24 sub. Hoe moet de router nu weten dat als je de gateway 192.168.2.254 wilt benaderen dat deze opde WAN zijde moet kijken en niet op de LAN kant wat deze automatisch doet?

donderdag 18 juni 2015 16:56

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
DiedX schreef op donderdag 18 juni 2015 @ 14:38:
Ik ken Mikrotik als firewall verder niet. Verbinding is goed, want DHCP. Heb je wel NAT per vlan aangezet? Dat lijkt er namelijk niet op uit bovenstaande configuratie...
Nee dat heb ik niet.
Heb van alles en nog wat gelezen, gezien en geprobeerd, NAT per VLAN was ik nog niet tegengekomen. De NAT regel die er staat is aangemaakt door in het standaard instellingen scherm de NAT functie aan te vinken. Dit is dus blijkbaar niet voldoende, kun je toevallig ook uitleggen hoe dat zit en in te stellen is?

donderdag 18 juni 2015 17:10

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
allure schreef op donderdag 18 juni 2015 @ 15:09:
Kunnen je Vlan-interfaces wel communiceren met je WAN/Bridge?
Volgens deze afbeelding is alles reachable, behalve lan poort 2.
Deze poort is ook niet aangesloten. Afbeeldingslocatie: http://i60.tinypic.com/nehvk4.png

[ Voor 24% gewijzigd door zwolly68 op 18-06-2015 20:18 ]

donderdag 18 juni 2015 17:15

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
MdBruin schreef op donderdag 18 juni 2015 @ 15:39:
Ben niet bekend met Microtik maar een ding valt me wel op.

Op de WAN zijde heb je een 192.168.2.50/16 adres geconfigureerd.
Maar ook op je LAN zijde ook alleen dan een /24 sub. Hoe moet de router nu weten dat als je de gateway 192.168.2.254 wilt benaderen dat deze opde WAN zijde moet kijken en niet op de LAN kant wat deze automatisch doet?
Config aangepast naar

/ip address
add address=192.168.20.1/24 interface="VLAN 2" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
add address=192.168.60.1/24 interface="VLAN 600" network=192.168.60.0
add address=192.168.70.1/24 interface="VLAN 700" network=192.168.70.0
add address=192.168.2.50/24 interface="POORT 1 WAN" network=192.168.2.0
add address=192.168.2.40/24 interface="POORT 2 LAN" network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.254
add address=192.168.20.0/24 gateway=192.168.2.254
add address=192.168.30.0/24 gateway=192.168.2.254
add address=192.168.40.0/24 gateway=192.168.2.254
add address=192.168.50.0/24 gateway=192.168.2.254
add address=192.168.60.0/24 gateway=192.168.2.254
add address=192.168.70.0/24 gateway=192.168.2.254
Helaas geen verschil.

donderdag 18 juni 2015 18:41

Acties:
  • 0 Henk 'm!
  • allure
  • Registratie: Mei 2001
  • Laatst online: 19:17

allure

Titaan fase 2/3

Kun je je Firewall "filter rules" config eens posten?

Je moet de verschillende netwerken aan elkaar "knopen", met andere woorden:
192.168.2.x moet met x.x.20.x, x.x.30.x, x.x.40.x en x.x.50.x verkeer kunnen uitwisselen.

[ Voor 61% gewijzigd door allure op 18-06-2015 18:45 ]

donderdag 18 juni 2015 18:58

Acties:
  • 0 Henk 'm!
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Ja, maar dan houd je nog steeds hetzelfde probleem. Je kan niet 2 gelijke subnets gebruiken voor LAN en WAN, aangezien het dan altijd het probleem veroorzaakt dat er op het LAN wordt gezocht terwijl je eigenlijk naar de WAN wilt

donderdag 18 juni 2015 18:59

Acties:
  • 0 Henk 'm!
  • allure
  • Registratie: Mei 2001
  • Laatst online: 19:17

allure

Titaan fase 2/3

Klopt.

donderdag 18 juni 2015 19:23

Acties:
  • 0 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 28-10 16:01

Jeroen_ae92

nevermind

[ Voor 98% gewijzigd door Jeroen_ae92 op 18-06-2015 19:24 ]

U+

donderdag 18 juni 2015 19:36

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
allure schreef op donderdag 18 juni 2015 @ 18:41:
Kun je je Firewall "filter rules" config eens posten?

Je moet de verschillende netwerken aan elkaar "knopen", met andere woorden:
192.168.2.x moet met x.x.20.x, x.x.30.x, x.x.40.x en x.x.50.x verkeer kunnen uitwisselen.
Er zijn nog geen firewall regels toegevoegd ik had dat bedacht als volgende stap, als het VLAN gebeuren zou werken..
Onderstaande is alles
jun/18/2015 17:02:17 by RouterOS 6.29.1

#
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
[admin@MikroTik] /ip firewall>

donderdag 18 juni 2015 20:23

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

zwolly68 schreef op donderdag 18 juni 2015 @ 14:34:
...

/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.254
add address=192.168.20.0/24 gateway=192.168.2.254
add address=192.168.30.0/24 gateway=192.168.2.254
add address=192.168.40.0/24 gateway=192.168.2.254
add address=192.168.50.0/24 gateway=192.168.2.254
add address=192.168.60.0/24 gateway=192.168.2.254
add address=192.168.70.0/24 gateway=192.168.2.254

...
Is het niet zo dat jouw gateway in de 192.168.xx.0/24 moet zitten.
De masquerade zorgt er wel voor dat al het verkeer bij de juiste wanpoort aan komt.

[ Voor 6% gewijzigd door rohaantje op 18-06-2015 20:27 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 19 juni 2015 12:58

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Ga er vanmiddag weer mee aan de slag.
Straks eerst een extra netwerkkabel trekken om makkelijker te kunnen testen.
Op deze manier worden mijn huisgenoten gek van mijn gedoe..

zaterdag 20 juni 2015 07:30

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
rohaantje schreef op donderdag 18 juni 2015 @ 20:23:
[...]


Is het niet zo dat jouw gateway in de 192.168.xx.0/24 moet zitten.
De masquerade zorgt er wel voor dat al het verkeer bij de juiste wanpoort aan komt.
Als ik de gateway op 192.168.20.0 zet is er helaas geen verandering. 192.168.20.0/24 kan ik, daar waar ik denk dat ik het zoeken moet niet instellen, de /24 wordt niet geaccepteerd. Als ik echter de gateway instel op 192.68.20.1 dan kan ik wel de inlogpagina van mijn modem op 192.168.2.254 bereiken? 192.168.20.1 komt dacht ik niet voor in mijn netwerk daar doet de Mikrotik dus ergens wat mee.
Het vreemde in mijn ogen is dan dat ik wel de modempagina kan bereiken daar zit toch ook de gateway. Zit het dan toch zoals al eerder geopperd in de NAT regels per vlan?
DiedX schreef op donderdag 18 juni 2015 @ 14:38:
Ik ken Mikrotik als firewall verder niet. Verbinding is goed, want DHCP. Heb je wel NAT per vlan aangezet? Dat lijkt er namelijk niet op uit bovenstaande configuratie...

[ Voor 14% gewijzigd door zwolly68 op 20-06-2015 07:33 ]

zaterdag 20 juni 2015 09:32

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

zwolly68 schreef op zaterdag 20 juni 2015 @ 07:30:
[...]


Als ik de gateway op 192.168.20.0 zet is er helaas geen verandering. 192.168.20.0/24 kan ik, daar waar ik denk dat ik het zoeken moet niet instellen, de /24 wordt niet geaccepteerd. Als ik echter de gateway instel op 192.68.20.1 dan kan ik wel de inlogpagina van mijn modem op 192.168.2.254 bereiken? 192.168.20.1 komt dacht ik niet voor in mijn netwerk daar doet de Mikrotik dus ergens wat mee.
Het vreemde in mijn ogen is dan dat ik wel de modempagina kan bereiken daar zit toch ook de gateway. Zit het dan toch zoals al eerder geopperd in de NAT regels per vlan?

[...]
Het is zo dat 192.168.xx.0 en 192.168.xx.255 niet gebruikt mogen worden. Dit zijn het subnet adres en het broadcast addres.
Jouw netwerk is een 192.168.xx.0/24 dus daar vallen .1 en .254 wel in(jij bepaalt alleen dat jou dhcp pool maar tussen .10 en .40 valt). Dus je mag best je gateway instellen als 192.168.xx.254. Dit is vrij normaal.(vaak wordt de gateway op 1 of 254 gezet in /24 ranges)
Als je winbox gebruikt kun je ook zien in de neighbour tab wat voor ip jouw router heeft.

[ Voor 6% gewijzigd door rohaantje op 20-06-2015 09:35 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zaterdag 20 juni 2015 12:58

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Sorry voor mijn onbegrip, maar voor mij is het spoor nu zoek.
192.168.2.254 is toch de gateway? (is de uitgang naar internet of ander netwerk?)
192.168.2.254 is het ip adres van het modem (gateway?)
Maar als ik in de Mikrotik aangeef als gateway 192.168.2.254 te gebruiken dan is er geen internet en geen login pagina van het modem.
Maar als ik in de Mikrotik aangeef als gateway 192.168.20.1 te gebruiken kom ik wel bij de login pagina van het het modem maar nog steeds niet op internet.
192.168.20.1 is een adres wat in mijn netwerkje niet gebruikt wordt als apparaat.

zaterdag 20 juni 2015 15:34

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 29-10 07:34

Thralas

Update je config nog eens in de TS, zodat we een up-to-date totaalbeeld hebben en zet de boel ook vooral tussen [code][/code]-tags, dan is het nog leesbaar ook.

Ten aanzien van de gateway - dat is al eerder gezegd - de gateway moet in hetzelfde netwerk vallen. Geef de Routerboard dus 1 gatewayadres per VLAN, en gebruik daarvoor niet het network address (0).

Je zegt dat je dan de webinterface van de routerboard kunt bereiken. Mooi. Dat betekent dat de config tot aan de routerboard klopt en er elders nog iets misgaat.

Probeer de modem eens te pingen vanaf de routerboard (met de ping tool). Werkt dat wel, maar niet vanaf een einddevice? Gooi dan een LOG rule voor ICMP in de FORWARD chain, dan zou je goed moeten kunnen zien wat er met inkomende ICMP packets gebeurt.

zaterdag 20 juni 2015 17:56

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Thralas schreef op zaterdag 20 juni 2015 @ 15:34:
Update je config nog eens in de TS, zodat we een up-to-date totaalbeeld hebben en zet de boel ook vooral tussen [code][/code]-tags, dan is het nog leesbaar ook.

Ten aanzien van de gateway - dat is al eerder gezegd - de gateway moet in hetzelfde netwerk vallen. Geef de Routerboard dus 1 gatewayadres per VLAN, en gebruik daarvoor niet het network address (0).

Je zegt dat je dan de webinterface van de routerboard kunt bereiken. Mooi. Dat betekent dat de config tot aan de routerboard klopt en er elders nog iets misgaat.

Probeer de modem eens te pingen vanaf de routerboard (met de ping tool). Werkt dat wel, maar niet vanaf een einddevice? Gooi dan een LOG rule voor ICMP in de FORWARD chain, dan zou je goed moeten kunnen zien wat er met inkomende ICMP packets gebeurt.
De huidige config is deze
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

[admin@MikroTik] > export
# jun/20/2015 17:30:35 by RouterOS 6.29.1
# software id = IIPP-RG3K
#
/interface ethernet
set [ find default-name=ether1 ] name="POORT 1 WAN"
set [ find default-name=ether2 ] name="POORT 2 LAN"
set [ find default-name=ether3 ] master-port="POORT 2 LAN" name="POORT 3 LAN"
set [ find default-name=ether4 ] master-port="POORT 2 LAN" name="POORT 4 LAN"
set [ find default-name=ether5 ] name="POORT 5 TRUNK"
/interface vlan
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 2" vlan-id=2
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 300" vlan-id=300
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 400" vlan-id=400
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 500" vlan-id=500
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\
    TIJDELIJK supplicant-identity="" wpa-pre-shared-key=NuWel1234 \
    wpa2-pre-shared-key=NuWel1234
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn country=netherlands disabled=\
    no l2mtu=2290 mode=ap-bridge security-profile=TIJDELIJK \
    wireless-protocol=802.11
/ip pool
add name="POOL VLAN 2" ranges=192.168.20.10-192.168.20.40
add name="POOL VLAN 300" ranges=192.168.30.10-192.168.30.40
add name="POOL VLAN 400" ranges=192.168.40.10-192.168.40.40
add name="POOL VLAN 500" ranges=192.168.50.10-192.168.50.40
add name=dhcp ranges=192.168.2.10-192.168.2.40
/ip dhcp-server
add address-pool="POOL VLAN 2" disabled=no interface="VLAN 2" name=\
    "DHCP SERVER VLAN 2"
add address-pool="POOL VLAN 300" disabled=no interface="VLAN 300" name=\
    "DHCP SERVER VLAN 300"
add address-pool="POOL VLAN 400" disabled=no interface="VLAN 400" name=\
    "DHCP SERVER VLAN 400"
add address-pool="POOL VLAN 500" disabled=no interface="VLAN 500" name=\
    "DHCP SERVER VLAN 500"
add address-pool=dhcp interface="POORT 2 LAN" name=dhcp1
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/ip address
add address=192.168.20.1/24 interface="VLAN 2" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
add address=192.168.2.40/24 interface="POORT 2 LAN" network=192.168.2.0
add address=192.168.2.50/16 interface="POORT 1 WAN" network=192.168.0.0
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.40 netmask=24
add address=192.168.20.0/24 dns-server=192.168.2.254 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.2.254 gateway=192.168.30.1
add address=192.168.40.0/24 gateway=192.168.40.1
add address=192.168.50.0/24 gateway=192.168.50.1
/ip dns
set servers=212.54.44.54,212.54.40.25
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.2.50 \
    to-addresses=192.168.0.0/16
add action=src-nat chain=srcnat disabled=yes src-address=192.168.0.0/16 \
    to-addresses=192.168.2.50
/ip route
add distance=1 gateway=192.168.2.254
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
set 0 interface=wlan1
/tool romon port
add disabled=no
[admin@MikroTik] >


Pingen naar het modem vanaf de WAN poort gaat wel.
Vanaf iedere andere poort gaat het niet.

In het startscherm van winbox laat deze in de neighbour tab het ip adres 162.168.20.1 zien, terwijl ik dacht/denk dat de MT het vaste adres 192.168.2.50 heeft gekregen via de quick set optie, dat staat er ook.

zaterdag 20 juni 2015 19:17

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 29-10 07:34

Thralas

Regel 49 en 50 kloppen sowieso niet, zoals eerder betoogd. Overlappende ranges op 2 verschillende poorten.

Daarnaast, pas de LOG-techniek (zie m'n vorige post) nog even toe, dan zie je precies waar je ICMP echos heengaan...

zaterdag 20 juni 2015 19:57

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Ik ben met die log techniek aan het zoeken.
Heb volgens mij wel een log actie aangemaakt maar kan deze niet terug vinden..
Aangemaakt via menu IP---Firewall, tabblad filterrules-- action is log
Afbeeldingslocatie: http://i59.tinypic.com/33a46l1.png
Nieuw stukje config nu regel 6 en 7 dat zou zo dan moeten kloppen
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

/ip address
add address=192.168.20.1/24 interface="VLAN 2" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
add address=192.168.60.1/24 interface="POORT 2 LAN" network=192.168.60.0
add address=192.168.2.50/24 interface="POORT 1 WAN" network=192.168.2.0
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=192.168.2.254 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.2.254 gateway=192.168.30.1
add address=192.168.40.0/24 gateway=192.168.40.1
add address=192.168.50.0/24 gateway=192.168.50.1
add address=192.168.60.0/24 gateway=192.168.60.1

*edit1, stukje config vernieuwd.
*edit2, Ping vanaf WAN naar modem 192.168.2.254 werkt.
Ping vanaf WAN naar buiten 8.8.8.8 werkt.
Ping vanaf WAN naar computer 192.168.20.40 werkt ook.
Ping vanaf vlan2 naar computer 192.168.20.40 werkt ook.
Ping vanaf LAN of VLAN naar modem werkt niet.

Ik krijg dat loggen niet voor elkaar, bytes en packets blijven op 0 staan.
Ook kan ik het logbestand nergens terug vinden, deze zal misschien nog wel niet bestaan omdat bytes en packets ook nog op 0 staan en het bestand daarom nog niet is aangemaakt :?
Afbeeldingslocatie: http://i59.tinypic.com/2637ig1.png

[ Voor 28% gewijzigd door zwolly68 op 21-06-2015 10:23 ]

zondag 21 juni 2015 15:02

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Waarom geef je je wanpoort een 2.50/16 adres? Daar hoeft toch alleen maar een dhcp cliënt op? Zodat je wanpoort van je ziggo modem een IP krijgt en dan moet de masquerade nat regel al het verkeer naar je wanpoort leiden.

Als ik tijd heb zal ik vanavond ff een config uploaden.

[ Voor 12% gewijzigd door rohaantje op 21-06-2015 15:11 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

zondag 21 juni 2015 15:46

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
rohaantje schreef op zondag 21 juni 2015 @ 15:02:
Waarom geef je je wanpoort een 2.50/16 adres? Daar hoeft toch alleen maar een dhcp cliënt op? Zodat je wanpoort van je ziggo modem een IP krijgt en dan moet de masquerade nat regel al het verkeer naar je wanpoort leiden.

Als ik tijd heb zal ik vanavond ff een config uploaden.
Hartelijk dank voor dat!

Het idee was om later het modem in bridge te laten zetten en de Mikrotik als (vlan) router te gaan gebruiken.
Nu is dat nog niet zo en is er op het modem een DMZ aangemaakt voor 192.168.2.50.
De Mikrotik heeft dat 192.168.2.50 als vast adres gekregen dacht ik, maar op het moment twijfel ik even aan alles wat ik dacht.
Onderstaande gedachte van mij uit een topic van 2013 komt wel aardig uit...
zwolly68 schreef op zaterdag 02 november 2013 @ 09:47:
Na alles eens goed op een rij te hebben gezet ga ik niet voor een mikrotek.
Voor de kenner een mooi apparaat!
Voor mij dus waarschijnlijk een stap(of twee) te ver.

Ik ga voor een kleine managed switch met een gui interface....ook een uitdaging maar lijkt mij wel te doen.
Ben erg benieuwd hoe die config er eventueel uit gaat zien, dat zal hopelijk veel dingen duidelijker maken voor mij.

[ Voor 7% gewijzigd door zwolly68 op 21-06-2015 15:49 ]

zondag 21 juni 2015 16:52

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

zwolly68 schreef op zondag 21 juni 2015 @ 15:46:
[...]

Het idee was om later het modem in bridge te laten zetten en de Mikrotik als (vlan) router te gaan gebruiken.
Nu is dat nog niet zo en is er op het modem een DMZ aangemaakt voor 192.168.2.50.
De Mikrotik heeft dat 192.168.2.50 als vast adres gekregen dacht ik, maar op het moment twijfel ik even aan alles wat ik dacht.

[...]
Dan heb je alsnog een dhcp client nodig. Maar ik zal kijken of ik dat kan meenemen.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

maandag 22 juni 2015 09:53

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

/interface ethernet
set [ find default-name=ether1 ] name="POORT 1 WAN"
set [ find default-name=ether2 ] name="POORT 2 LAN"
set [ find default-name=ether3 ] name="POORT 3 LAN"
set [ find default-name=ether4 ] name="POORT 4 LAN"
set [ find default-name=ether5 ] name="POORT 5 TRUNK"
/interface vlan
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 200" vlan-id=200
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 300" vlan-id=300
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 400" vlan-id=400
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 500" vlan-id=500
/ip pool
add name="POOL LAN" ranges=192.168.2.10-192.168.2.40
add name="POOL VLAN 200" ranges=192.168.20.10-192.168.20.40
add name="POOL VLAN 300" ranges=192.168.30.10-192.168.30.40
add name="POOL VLAN 400" ranges=192.168.40.10-192.168.40.40
add name="POOL VLAN 500" ranges=192.168.50.10-192.168.50.40
/ip dhcp-server
add address-pool="POOL LAN" interface="POORT 2 LAN" name="\
    "DHCP SERVER LAN"
add address-pool="POOL VLAN 200" disabled=no interface="VLAN 200" name=\
    "DHCP SERVER VLAN 200"
add address-pool="POOL VLAN 300" disabled=no interface="VLAN 300" name=\
    "DHCP SERVER VLAN 300"
add address-pool="POOL VLAN 400" disabled=no interface="VLAN 400" name=\
    "DHCP SERVER VLAN 400"
add address-pool="POOL VLAN 500" disabled=no interface="VLAN 500" name=\
    "DHCP SERVER VLAN 500"
/ip address
add address=192.168.2.1/24 interface="POORT 2 LAN" network=192.168.2.0
add address=192.168.20.1/24 interface="VLAN 200" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=\
    no interface="POORT 1 WAN"
/ip dns
set servers=212.54.44.54,212.54.40.25
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"

Ik heb de volgende config gemaakt.
Ik heb het één en ander weggelaten. Dat is alleen om nu even wat overzicht te creëren.
Verder is alles gelijk getrokken. Namen en vlan nummers enz.

Elke dhcp heeft een gateway en dns op een ip in zijn range. De routes voor deze ip's worden dynamisch gemaakt. De masquerade regel zorgt dat al jouw verkeer op poort 1 WAN wordt gedrukt. Let er ook op dat jouw DHCP-pool bepaalt welke adressen hij uitgeeft. Verder kun je in principe overal wel een /24 adres gebruiken. Dat rekent en werkt makkelijk.

De dhcp client verwacht van je horizon box een IP. Aangezien jij je horizon box in bridge zet en ik er vanuit ga dat je geen ip-range krijg maar alleen 1 ip. Is 1 dhcp client op poort 1 genoeg.(denk er om als je dit doet dat routerOS poorten 21,22,23,80 open heeft staan. Deze zijn te sluiten in >/ip services. Op dat moment heeft jouw mikrotik het extern ip.

Jouw horizon box is nu ook dhcp dus die deelt nu aan jouw mikrotik een 192.168.2.XX adres uit. Dit is geen probleem. Dit simuleert eigenlijk het externe ip. Of je disabled die regel en geeft hem alsnog een vast ip.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

maandag 22 juni 2015 19:05

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Hallo Rohaantje,

Hartelijk dank voor de genomen moeite!!
Ik ben nu nog niet in de gelegenheid om het in de Mikrotik te zetten en te proberen, ik hoop morgenavond.
Ben in ieder geval al wel flink nieuwsgierig..
edit1
Vanmorgen extra vroeg opgestaan om de aangeboden config te proberen.
Helaas was deze ook niet helemaal werkend.
Vlan krijgt netjes een ip adres in de aangemaakte range
Ping vanaf de wan poort naar 8.8.8.8 werkt wel.
verder had ik nu geen tijd meer om nog wat te proberen, werk gaat gewoon door.
Ik heb screenshots gemaakt deze zal ik vanavond toe voegen.

[ Voor 46% gewijzigd door zwolly68 op 23-06-2015 07:15 ]

dinsdag 23 juni 2015 17:41

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
De screenshots
Afbeeldingslocatie: http://i60.tinypic.com/vicoao.png
Afbeeldingslocatie: http://i62.tinypic.com/2j26qh0.png
Het rare is, kwam ik net toevallig achter dat er een pc is in vlan300 welke wel skype kan gebruiken.
www echter niet, Youtube laadt dan weer half..
Zou dit te maken kunnen hebben met 2x nat?

Mijn eigen pc in vlan 200 kan het modem op 192.168.2.254 pingen.

Let trouwens niet op het laN2 adres, deze staat wel op het screenshot maar is niet in gebruik of mee getest.

[ Voor 12% gewijzigd door zwolly68 op 23-06-2015 18:15 ]

dinsdag 23 juni 2015 23:30

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

zwolly68 schreef op dinsdag 23 juni 2015 @ 17:41:
De screenshots
[afbeelding]
[afbeelding]
Het rare is, kwam ik net toevallig achter dat er een pc is in vlan300 welke wel skype kan gebruiken.
www echter niet, Youtube laadt dan weer half..
Zou dit te maken kunnen hebben met 2x nat?

Mijn eigen pc in vlan 200 kan het modem op 192.168.2.254 pingen.

Let trouwens niet op het laN2 adres, deze staat wel op het screenshot maar is niet in gebruik of mee getest.
Ik zie aan je screenshots dat alles er al een stuk beter uit ziet zo.

Er kunnen 2 problemen zijn:
In je eerdere comments is te lezen dat je een DMZ had gemaakt op 1 ip in je horizon.
Deze matched denk ik niet met het huidige dynamische gegeven ip aan de mikrotik.
Hier kan dat een kink zitten.

Of het kan zijn dat de firewall niet (goed) staat ingesteld.
Ik moet eerlijk bekennen dat dat niet mijn sterkste punt is.
Maar je kunt altijd de default regels invoeren:
code:
1
2
3
4
5
6
7
8
9
10
11

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN"
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 24 juni 2015 13:31

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
De DMZ weggehaald.
En de bovenstaande firewall regels toegevoegd, helaas nog geen resultaat,
hieronder nog een screenshot en de laatste config geplaatst wellicht zit er nog ergens een foutje of een idee.
Afbeeldingslocatie: http://i57.tinypic.com/20hwtua.png
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290
/interface ethernet
set [ find default-name=ether1 ] name="POORT 1 WAN"
set [ find default-name=ether2 ] name="POORT 2 LAN"
set [ find default-name=ether3 ] name="POORT 3 LAN"
set [ find default-name=ether4 ] name="POORT 4 LAN"
set [ find default-name=ether5 ] name="POORT 5 TRUNK"
/interface vlan
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 200" vlan-id=200
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 300" vlan-id=300
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 400" vlan-id=400
add interface="POORT 5 TRUNK" l2mtu=1594 name="VLAN 500" vlan-id=500
/ip pool
add name="POOL LAN" ranges=192.168.2.10-192.168.2.40
add name="POOL VLAN 200" ranges=192.168.20.10-192.168.20.40
add name="POOL VLAN 300" ranges=192.168.30.10-192.168.30.40
add name="POOL VLAN 400" ranges=192.168.40.10-192.168.40.40
add name="POOL VLAN 500" ranges=192.168.50.10-192.168.50.40
/ip dhcp-server
add address-pool="POOL VLAN 200" disabled=no interface="VLAN 200" name=\
    "DHCP SERVER VLAN 200"
add address-pool="POOL VLAN 300" disabled=no interface="VLAN 300" name=\
    "DHCP SERVER VLAN 300"
add address-pool="POOL VLAN 400" disabled=no interface="VLAN 400" name=\
    "DHCP SERVER VLAN 400"
add address-pool="POOL VLAN 500" disabled=no interface="VLAN 500" name=\
    "DHCP SERVER VLAN 500"
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/ip address
add address=192.168.2.1/24 disabled=yes interface="POORT 2 LAN" network=\
    192.168.2.0
add address=192.168.20.1/24 interface="VLAN 200" network=192.168.20.0
add address=192.168.30.1/24 interface="VLAN 300" network=192.168.30.0
add address=192.168.40.1/24 interface="VLAN 400" network=192.168.40.0
add address=192.168.50.1/24 interface="VLAN 500" network=192.168.50.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface="POORT 1 WAN"
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dns
set servers=212.54.44.54,212.54.40.25
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN"
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
set 0 interface=wlan1
/tool romon port
add disabled=no

woensdag 24 juni 2015 15:18

Acties:
  • 0 Henk 'm!
  • Gekkoo
  • Registratie: Augustus 2010
  • Laatst online: 23-10 19:31

Gekkoo

Moet je de poorten van de Mikrotik niet in een bridge hangen om te kunnen laten communiceren met elkaar?

http://i57.tinypic.com/2hn2yk8.jpg

In de screen zie je bovenin in het blauwe kader de 2 bridge staan die ik heb. 1 voor gewoon internet (Vlan 6) en de andere voor IPTV van KPN (Vlan 4). Onder in t rode kader zie je de instellingen, haal ik daar bijv. ether5 uit de bridge-local dan gaat poort 5 nooit geen verbinding meer maken met de rest van de router, tot de router en niet verder.
En in de prints die je laat zien kan ik ook nergens vinden dat je daadwerkelijk een Bridge hebt aangemaakt.

woensdag 24 juni 2015 16:07

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Gekkoo schreef op woensdag 24 juni 2015 @ 15:18:
Moet je de poorten van de Mikrotik niet in een bridge hangen om te kunnen laten communiceren met elkaar?

http://i57.tinypic.com/2hn2yk8.jpg

In de screen zie je bovenin in het blauwe kader de 2 bridge staan die ik heb. 1 voor gewoon internet (Vlan 6) en de andere voor IPTV van KPN (Vlan 4). Onder in t rode kader zie je de instellingen, haal ik daar bijv. ether5 uit de bridge-local dan gaat poort 5 nooit geen verbinding meer maken met de rest van de router, tot de router en niet verder.
En in de prints die je laat zien kan ik ook nergens vinden dat je daadwerkelijk een Bridge hebt aangemaakt.
Ik heb geen idee.
Ik denk eigenlijk dat ik mijn Mikrotik anders gebruik...denk.
Jij stopt verschillende poorten in een bridge, ik gebruik van de Mikrotik maar 2 poorten 1 WAN en 1 TRUNK poort.
Wellicht kan er iemand bovenstaande bevestigen of ontkrachten?

woensdag 24 juni 2015 20:27

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Gekkoo schreef op woensdag 24 juni 2015 @ 15:18:
Moet je de poorten van de Mikrotik niet in een bridge hangen om te kunnen laten communiceren met elkaar?

http://i57.tinypic.com/2hn2yk8.jpg

In de screen zie je bovenin in het blauwe kader de 2 bridge staan die ik heb. 1 voor gewoon internet (Vlan 6) en de andere voor IPTV van KPN (Vlan 4). Onder in t rode kader zie je de instellingen, haal ik daar bijv. ether5 uit de bridge-local dan gaat poort 5 nooit geen verbinding meer maken met de rest van de router, tot de router en niet verder.
En in de prints die je laat zien kan ik ook nergens vinden dat je daadwerkelijk een Bridge hebt aangemaakt.
Het klopt dat hier nog iets mis gaat.
De poorten 2,3 en 4 moeten in een bridge óf switch(bereikbaar door poort 3 en 4, poort 2 als masterpoort te geven). Wanneer er een bridge gebruikt wordt moet de 2.xx pool op de bridge geserveerd worden. Als er met masterpoorten wordt gewerkt moet dat op de masterpoort(nummer 2 dus).

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 25 juni 2015 08:37

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Zo nu betere berichten, het lijkt te werken.
Vanmorgen de LAN poorten 2,3 en 4 in een master/slave toegevoegd toen nog geen verandering.
Daarna nog eens de config bekeken en daar in onderstaande regels de dns server op de 192.168.xx.1 helemaal weggehaald.
code:
1
2
3
4
5
6
7

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dns

NU ziet dat deel er dus zo uit
code:
1
2
3
4
5
6
7
8

/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
add address=192.168.20.0/24 gateway=192.168.20.1

add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.40.0/24 gateway=192.168.40.1
add address=192.168.50.0/24 gateway=192.168.50.1
/ip dns

Daarna was internet dus werkend.
Maar wat mij vreemd lijkt is als ik vanaf de Mikrotik een ping doe naar 8.8.8.8 vanaf vlan200 komt er een timeout uit. Een ping vanaf de WAN poort geeft wel antwoord terug.
Komt dit door het gebruik van vlan?

Wat denken jullie, ben ik nu zover dat het modem in bridge gezet kan worden?
Ik doel dan bijvoorbeeld op de onderstaande standaard firewall regels die Rohaantje eerder aangaf, is dat voldoende of zijn er nog aan te bevelen aanpassingen
code:
1
2
3
4
5
6
7
8
9
10
11

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN"
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid

Zoals Rohaantje eerder ook aangaf onderstaande service's gestopt
code:
1
2
3
4
5

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes

Edit1
Na een middagje gebruik lijkt het niet mee te vallen, internet is helaas zeer traag geworden eigenlijk niet eens werkbaar. De firewall lijkt wel erg druk met dit soort regels
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

20:06:50 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:06:50 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:06:51 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:06:52 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:06:55 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:06:59 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,FIN), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:07:08 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (ACK,FIN), 74.125.136.188:5228->192.168.2.10:35726, len 52 
20:07:09 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,RST), 192.168.20.38:54400->217.110.97.196:80, len 40 
20:07:13 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (RST), 74.125.136.120:443->192.168.2.10:54473, len 40 
20:07:15 dhcp,info DHCP SERVER VLAN 400 deassigned 192.168.40.39 from 94:39:E5:74:C2:14 
20:07:18 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (ACK,FIN), 74.125.136.188:5228->192.168.2.10:35726, len 52 
20:07:23 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (ACK,FIN), 173.194.65.139:80->192.168.2.10:40640, len 52 
20:07:33 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (ACK,FIN), 173.194.65.139:80->192.168.2.10:40640, len 52 
20:07:37 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), proto UDP, 192.168.2.10:5678->255.255.255.255:5678, len 132 
20:07:43 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (ACK,FIN), 173.194.65.139:80->192.168.2.10:40640, len 52 
20:07:43 firewall,info FORWARD INVALID forward: in:VLAN 300 out:POORT 1 WAN, src-mac 60:a4:4c:cd:86:ad, proto TCP (ACK,RST), 192.168.30.40:52267->37.252.163.203:80, len 40 
20:08:18 firewall,info FORWARD INVALID forward: in:VLAN 200 out:POORT 1 WAN, src-mac 00:21:6b:03:b8:4c, proto TCP (ACK,RST), 192.168.20.38:54261->195.35.222.93:443, len 40 
20:08:22 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto 2, 192.168.2.254->224.0.0.1, len 36 
20:08:23 firewall,info INPUT WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto TCP (RST), 173.194.65.84:443->192.168.2.10:54508, len 40

Zou dat de, of een oorzaak zijn?

[ Voor 41% gewijzigd door zwolly68 op 25-06-2015 20:30 ]

dinsdag 30 juni 2015 21:46

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Ik blijf nog met een door mij niet te verklaren probleempje zitten.
Kan iemand misschien onderstaande verklaren?
Internet valt soms zomaar voor een tijdje of langere tijd weg, meestal is het dan niet helemaal weg maar werkt bijvoorbeeld de webpagina van Google wel. Of Google doet het juist niet maar andere websites dan weer wel. wat zou dat toch kunnen zijn?
Zou dat toch met de DNS instelling te maken kunnen hebben.
Inmiddels ziet het DNS deel er nu zo uit
code:
1
2
3
4
5
6
7

/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
add address=192.168.10.0/24 dns-server=212.54.44.54,212.54.40.25 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=212.54.44.54,212.54.40.25 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=212.54.44.54,212.54.40.25 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=212.54.44.54,212.54.40.25 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=212.54.44.54,212.54.40.25 gateway=192.168.50.1

Mijn modem staat overigens nog niet in bridge mode, de Mikrotik zit in een DMZ.

[ Voor 4% gewijzigd door zwolly68 op 30-06-2015 21:49 ]

dinsdag 30 juni 2015 22:13

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Zoals eerder aangegeven is het normaal dat jou router het eerste aanspreek punt is voor dns. De dns-probe kan daarna doorgezet worden naar de door jou aangegeven servers. De mikrotik cached de dns gegevens zodat jij later geen volledige dns-probe meer hoeft uit te voeren.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 30 juni 2015 22:37

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Dat zou dus betekenen dat ik terug zou moeten naar?
code:
1
2
3
4
5
6
7

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dns
Helaas werkt dan internet helemaal niet. Of moet ik dan in de DNS setting allow remote requests aanvinken.

dinsdag 30 juni 2015 22:41

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Als het goed ip staat er onder op dns settings. Kijk daar is in.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 30 juni 2015 22:55

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
rohaantje schreef op dinsdag 30 juni 2015 @ 22:41:
Als het goed ip staat er onder op dns settings. Kijk daar is in.
Afbeeldingslocatie: http://i61.tinypic.com/igx5ir.png
Dit is wat ik zie.
Sorry, maar ik begreep niet helemaal wat je bedoelde.

woensdag 1 juli 2015 09:19

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

De allow remote request heb ik zelf aan staan.
Met de juiste firewall rules (drop input wan) moet dat gaan werken.

[ Voor 3% gewijzigd door rohaantje op 01-07-2015 09:21 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

woensdag 1 juli 2015 13:29

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
De allow remote request heb ik nu aan gezet.
dhcp server netwerk ook weer terug gezet, dit werkt met allow remote request aan wel.
Nu weer een poosje aanzien.

donderdag 2 juli 2015 22:25

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Het leek mooi te gaan.. totdat er dus wat meer gebruikers zijn dan gaat het mis.
Zelfs de web pagina van Google kan er dan erg lang over doen om te laden.(10sec of wel meer)
Aantal gebruikers op:
vlan200 1pc, 1mobiel, 1tv en 1tv-ontvanger
vlan300 1pc, 1mobiel.
vlan400 1pc
vlan500 1pc
Als ik met de functie Torch kijk naar de bandbreedte welke in gebruik is op de wan poort komt dit nog lang niet in de buurt van de maximale bandbreedte van 200down en 20up. De bandbreedte in gebruik is meest nog in de Kbps.
Andere dns server geprobeerd hielp wel iets, maar ook niet meer dan iets.(opendns)
Ook geprobeerd om in het menu queues en dan in het tabblad interface queues de instelling op ethernet default te zetten ipv only hardware queue, helaas geen verschil.
Iemand een idee waar dit probleem zou kunnen zitten?
pricewatch: TP-Link JetStream TL-SG3210 is trouwens de switch welke gebruikt wordt zou deze misschien de bottelnek kunnen zijn? Het rare is dat het met vlagen niet fijn gaat.

vrijdag 3 juli 2015 09:36

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Hoe ziet je log er uit..
Dit zou hij prima moeten kunnen doen..

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 3 juli 2015 14:31

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Hieronder de laatste log(zal deze later weghalen/inkorten is vrij lang)
"dns probe finished no internet" is soms de melding van Chrome.
Er zijn veel invalid forwards en Input op wan ook
Deze log is maar ongeer 5 minuten lang.
code:
1
2
3
4
5
6

13:40:23 firewall,info FORWARD INVALID forward: in:VLAN 300 out:POORT 1 WAN, src-mac 60:a4:4c:cd:86:ad, proto TCP (ACK,FIN), 192.168.30.40:52000->37.252.170.150:80, len 40 

knip, allemaal van hetzelfde.

13:46:29 firewall,info INPUT OP WAN input: in:POORT 1 WAN out:(none), src-mac c8:fb:26:ea:06:4f, proto UDP, 83.233.71.226:3658->192.168.2.10:62592, len 122 
13:46:39 firewall,info FORWARD INVALID forward: in:VLAN 300 out:POORT 1 WAN, src-mac f8:d0:ac:98:e7:dd, proto TCP (ACK,FIN), 192.168.30.39:55364->23.222.48.137:80, len 52

[ Voor 98% gewijzigd door zwolly68 op 04-07-2015 13:04 ]

vrijdag 3 juli 2015 15:01

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Welke firewall regels gebruik je op dit moment?

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 3 juli 2015 15:06

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Onderstaande zo is het nu, moet wel zeggen dat ik er wat mee aan het proberen ben
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

/ip firewall filter
add action=drop chain=input comment="default configuration" disabled=yes \
    protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN" log=yes log-prefix="INPUT OP WAN"
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid log=yes log-prefix="FORWARD INVALID"
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
    protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
    protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
    protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
    tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
    protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
    protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
    udp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" \
    icmp-options=3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
[@MikroTik] /ip firewall>

vrijdag 3 juli 2015 15:17

Acties:
  • 0 Henk 'm!
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

Heb je deze firewall rules van internet ergens??
ik vermoed dat die regel 54 dat doet...

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

vrijdag 3 juli 2015 18:39

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Ja klopt, uit de Mikrotik wiki's heb ik wat gehaald..
Zal die regel 54 weghalen en ga dan eens weer proberen.

woensdag 8 juli 2015 16:27

Acties:
  • 0 Henk 'm!
  • zwolly68
  • Registratie: Juli 2013
  • Laatst online: 26-10 09:55

zwolly68

Topicstarter
Er kwamen steeds weer kleine dingetjes boven drijven dus heb ik maandag het modem in bridge laten zetten.
Het lijkt er op dat het daar niet minder van is geworden.
Die firewall regel weghalen daar veranderde het niet van.
Maar nu is het belangrijker geworden dat de firewall wel zijn werk een beetje goed doet, onderstaande is de situatie zoals ik wat bij elkaar heb geknipt, geplakt en bedacht.
Kan er iemand eens oordeel vellen en wanneer nodig een aanpassing/toevoeging voorstellen?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154

/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "Gebruik Fasttrack connection" connection-state=established,related
add chain=forward comment="default configuration" connection-state=\
    established,related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid log=yes log-prefix="FORWARD INVALID"
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related log=\
    yes log-prefix=NAKIJKEN
add action=drop chain=input comment="default configuration" in-interface=\
    "POORT 1 WAN" log=yes log-prefix="INPUT OP WAN"
add action=drop chain=forward log=yes log-prefix=NAKIJKEN src-address=\
    0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8 log=yes log-prefix=\
    NAKIJKEN
add action=drop chain=forward log=yes log-prefix=NAKIJKEN src-address=\
    127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8 log=yes log-prefix=\
    NAKIJKEN
add action=drop chain=forward log=yes log-prefix=NAKIJKEN src-address=\
    224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3 log=yes log-prefix=\
    NAKIJKEN
add action=drop chain=forward comment="AP ACHTER" dst-address=\
    192.168.20.252 log=yes log-prefix=NAKIJKEN
add action=drop chain=forward comment="AP BOVEN" dst-address=\
    192.168.20.253 log=yes log-prefix=NAKIJKEN
add action=drop chain=forward comment="ASUS AP" dst-address=192.168.20.248 \
    log=yes log-prefix=NAKIJKEN
add action=jump chain=forward comment="Spring naar TCP regels." jump-target=\
    tcp protocol=tcp
add action=jump chain=forward comment="Spring naar UDP regels." jump-target=\
    udp protocol=udp
add action=jump chain=forward comment="Spring naar ICMP (ping) regels." \
    jump-target=icmp log=yes log-prefix=NAKIJKEN protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 log=yes log-prefix=\
    NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=jump chain=forward comment="Spring naar de anti virus regels." \
    jump-target=virus
add action=drop chain=udp comment="deny TFTP" dst-port=69 log=yes log-prefix=\
    NAKIJKEN protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=jump chain=forward comment="Spring naar de anti virus regels" \
    jump-target=virus
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" \
    icmp-options=3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="12 (parameter problem)" icmp-options=12:0 protocol=\
    icmp
add action=drop chain=icmp comment="deny all other types" log=yes log-prefix=\
    NAKIJKEN
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=135-139 log=\
    yes log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Messenger Worm" dst-port=135-139 \
    log=yes log-prefix=NAKIJKEN protocol=udp
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=445 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Blaster Worm" dst-port=445 log=yes \
    log-prefix=NAKIJKEN protocol=udp
add action=drop chain=virus comment=________ dst-port=593 log=yes log-prefix=\
    NAKIJKEN protocol=tcp
add action=drop chain=virus comment=________ dst-port=1024-1030 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" dst-port=1080 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment=________ dst-port=1214 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="ndm requester" dst-port=1363 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="ndm server" dst-port=1364 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="screen cast" dst-port=1368 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment=hromgrafx dst-port=1373 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment=cichlid dst-port=1377 log=yes log-prefix=\
    NAKIJKEN protocol=tcp
add action=drop chain=virus comment=Worm dst-port=1433-1434 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Bagle Virus" dst-port=2745 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=2283 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Beagle" dst-port=2535 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Beagle.C-K" dst-port=2745 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" dst-port=3127-3128 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Backdoor OptixPro" dst-port=3410 \
    log=yes log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment=Worm dst-port=4444 log=yes log-prefix=\
    NAKIJKEN protocol=tcp
add action=drop chain=virus comment=Worm dst-port=4444 log=yes log-prefix=\
    NAKIJKEN protocol=udp
add action=drop chain=virus comment="Drop Sasser" dst-port=5554 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Beagle.B" dst-port=8866 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Dabber.A-B" dst-port=9898 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=10000 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop MyDoom.B" dst-port=10080 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop NetBus" dst-port=12345 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop Kuang2" dst-port=17300 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop SubSeven" dst-port=27374 log=yes \
    log-prefix=NAKIJKEN protocol=tcp
add action=drop chain=virus comment="Drop PhatBot, Agobot, Gaobot" dst-port=\
    65506 log=yes log-prefix=NAKIJKEN protocol=tcp
add chain=forward comment="Sta HTTP toe" dst-port=80 protocol=tcp
add chain=forward comment="Sta SMTP toe" dst-port=25 protocol=tcp
add chain=forward comment="Sta TCP toe" protocol=tcp
add chain=forward comment="Sta UDP toe" protocol=udp
add action=drop chain=forward comment="Wijs de rest af" log=yes log-prefix=\
    NAKIJKEN
/ip firewall nat
add action=masquerade chain=srcnat out-interface="POORT 1 WAN"
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq