Vraag Mikrotik i.c.m. Tweak

Zie in ieder geval dat je firewall regels nog op ether1-gateway staan i.p.v. vlan34
En mogelijk moet vinkje 'Use Service Tag' aan bij de vlan.

brambo123 schreef op dinsdag 05 januari 2016 @ 22:09:
Zie in ieder geval dat je firewall regels nog op ether1-gateway staan i.p.v. vlan34

En dan in het bijzonder is de MASQUERADE rule de boosdoener (maar je moet ze allemaal updaten).



Ik zou de default forward chain ook aanpassen zodat deze eindigt met een onvoorwaardelijke drop.

Omdat je uplink interface nu verkeerd staat (je gaat werkelijk via vlan34 naar buiten) wordt alles impliciet allowed, en heb je effectief geen firewall. In de praktijk niet zo dramatisch ivm. filters aan de zijde van je ISP, maar in theorie staat je netwerk nu wagenwijd open via de uplink.

Heb je al een config werkend gekregen i.c.m. Tweak,

zou je die willen delen want ik krijg het niet voor elkaar.

markisoke schreef op dinsdag 05 januari 2016 @ 22:02:
Ik heb sinds vandaag een nieuwe RB3011UiAS-RM van Mikrotik binnen gekregen, maar ik kom er even qua configuratie niet uit.

Ik krijg van Tweak een dhcp adres in VLAN 34.
Ik heb hiervoor een vlan interface aangemaakt welke gekoppeld staat aan ether1.
Daarna heb ik een dhcp client aangemaakt die voor VLAN 34 een adres ophaalt, en dit lukt ook.

Nu loop ik op dit punt vast, wat moet ik nu doen om de verbinding werkend te krijgen?

Dit is mijn config op het moment:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97

# jan/05/2016 21:59:04 by RouterOS 6.32.2 # software id = ZN7Z-1ACZ # /interface bridge add admin-mac=E4:8D:8C:0B:4B:01 auto-mac=no name=bridge-local /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway set [ find default-name=ether2 ] name=ether2-master-local set [ find default-name=ether3 ] master-port=ether2-master-local name=\ ether3-slave-local set [ find default-name=ether4 ] master-port=ether2-master-local name=\ ether4-slave-local set [ find default-name=ether5 ] master-port=ether2-master-local name=\ ether5-slave-local set [ find default-name=ether6 ] name=ether6-master-local set [ find default-name=ether7 ] master-port=ether6-master-local name=\ ether7-slave-local set [ find default-name=ether8 ] master-port=ether6-master-local name=\ ether8-slave-local set [ find default-name=ether9 ] master-port=ether6-master-local name=\ ether9-slave-local set [ find default-name=ether10 ] master-port=ether6-master-local name=\ ether10-slave-local /ip neighbor discovery set ether1-gateway discover=no /interface vlan add interface=ether1-gateway l2mtu=1594 name=vlan34 vlan-id=34 /ip pool add name=dhcp ranges=10.10.1.10-10.10.1.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge-local name=default /interface bridge port add bridge=bridge-local interface=ether2-master-local add bridge=bridge-local interface=ether6-master-local add bridge=bridge-local interface=sfp1 /ip address add address=10.10.1.1/24 comment="default configuration" interface=\ ether2-master-local network=10.10.1.0 /ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid disabled=\ no interface=vlan34 add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway /ip dhcp-server network add address=10.10.1.0/24 comment="default configuration" gateway=10.10.1.1 \ netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip dns static add address=10.10.1.1 name=router /ip firewall filter add chain=input comment="default configuration" protocol=icmp add chain=input comment="default configuration" connection-state=\ established,related add action=drop chain=input comment="default configuration" in-interface=\ ether1-gateway add action=fasttrack-connection chain=forward comment="default configuration" \ connection-state=established,related add chain=forward comment="default configuration" connection-state=\ established,related add action=drop chain=forward comment="default configuration" \ connection-state=invalid add action=drop chain=forward comment="default configuration" \ connection-nat-state=!dstnat connection-state=new in-interface=\ ether1-gateway /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway /system clock set time-zone-name=Europe/Amsterdam /system routerboard settings set protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=ether6-master-local add interface=ether7-slave-local add interface=ether8-slave-local add interface=ether9-slave-local add interface=ether10-slave-local add interface=sfp1 add interface=bridge-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=ether6-master-local add interface=ether7-slave-local add interface=ether8-slave-local add interface=ether9-slave-local add interface=ether10-slave-local add interface=sfp1 add interface=bridge-local

Alvast heel erg bedankt voor de moeite.

Graag, internet krijg ik goed aan de praat, maar iptv lukt me niet..

Wie weet hoe je dit oplost

Het probleem bij tweak is I.C.M mikrotik dat je een dhcp aanvraag moet doen op
internet- vlan 34
tv -vlan 4

Internet werkt goed maar gaat vlan4 aan dan klapt internet er uit.
Dit komt door dat tweak niet accepteert dat vlan4 en vlan34 dat deel uit maken van ether1gateway de zelfde Mac-addres hebben.

is er op 1 of andere manier mogelijk om 1 van de vlans op ether1 gateway een ander Mac-addres te geven .

Als je vlan4 aan een bridge knoopt, kun je het mac-adres op de bridge instellen (admin-mac).

Ik ben aan het stoeien geweest op een mikrotik 2011 en hier is versie1 Tweak internet en tweak tv voor nu op poort 9 hier een config van mijn.

/interface bridge
add admin-mac=E4:8D:8C:3B:CB:AE auto-mac=no name=bridge-local
add name=bridgeIPTV
add admin-mac=00:01:02:03:04:AA auto-mac=no name=bridgevoorvlan34
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway speed=1Gbps
set [ find default-name=ether2 ] name=ether2-master speed=1Gbps
set [ find default-name=ether3 ] master-port=ether2-master name=ether3-slave2
set [ find default-name=ether4 ] master-port=ether2-master name=ether4-slave2
set [ find default-name=ether5 ] master-port=ether2-master name=ether5-slave2
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master name=ether7-slave6
set [ find default-name=ether8 ] master-port=ether6-master name=ether8-slave6
set [ find default-name=ether9 ] name=ether9-TWEAKTV
set [ find default-name=ether10 ] name=ether10-vrij
/ip neighbor discovery
set ether1-gateway discover=no
/interface vlan
add interface=ether1-gateway name=vlan-4-TWEAKTV vlan-id=4
add interface=bridgevoorvlan34 name=vlan-34-Internet vlan-id=34
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=IP_Pool_local ranges=192.168.0.1-192.168.0.99
add name=pooliptv ranges=192.168.2.1-192.168.2.99
/ip dhcp-server
add address-pool=IP_Pool_local disabled=no interface=bridge-local name=\
default
add address-pool=pooliptv disabled=no interface=bridgeIPTV name=DHCPIPTV

/interface bridge port
add bridge=bridge-local interface=ether2-master
add bridge=bridge-local interface=ether6-master
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridgevoorvlan34 interface=ether1-gateway
add bridge=bridgeIPTV interface=ether9-TWEAKTV

/ip address
add address=192.168.0.254/24 comment="LOCAL RANGE" interface=bridge-local \
network=192.168.0.0
add address=192.168.2.254/24 comment="LOCAL RANGE" interface=bridgeIPTV \
network=192.168.2.0
/ip dhcp-client
add default-route-distance=0 disabled=no interface=vlan-34-Internet
add add-default-route=no disabled=no interface=vlan-4-TWEAKTV
/ip dhcp-server network
add address=192.168.0.0/24 comment="default configuration" dns-server=\
82.197.196.182,82.197.196.182 gateway=192.168.0.254 netmask=24
add address=192.168.2.0/24 comment="default configuration" dns-server=\
82.197.196.182,82.197.196.182 gateway=192.168.2.254 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input protocol=igmp
add chain=input protocol=tcp
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=input comment=nieuw disabled=yes dst-port=1723 protocol=tcp
add chain=input comment=nieuw protocol=gre
add chain=input comment="default configuration" protocol=icmp
add chain=forward comment="default configuration" connection-state=\
established,related
add chain=input comment="default configuration" connection-state=\
established,related
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new disabled=yes \
in-interface=ether1-gateway
add action=drop chain=forward comment="default configuration" \
connection-state=invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="Toegang Internet" out-interface=\
vlan-34-Internet
add action=masquerade chain=srcnat comment="masquerade hotspot network" log=\
yes out-interface=vlan-4-TWEAKTV
/ip route
add distance=1 dst-address=185.6.48.0/26 gateway=10.10.28.1
/routing igmp-proxy
set query-interval=1m5s query-response-interval=5s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan-4-TWEAKTV upstream=yes
add interface=bridgeIPTV
/snmp
set contact="info@wifinederland" enabled=yes location=almere trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Wifinederland
/system logging
add disabled=yes topics=igmp-proxy
/system ntp client
set enabled=yes primary-ntp=85.91.1.180 secondary-ntp=217.147.208.1
/system routerboard settings
set protected-routerboot=disabled
/tool graphing interface
add interface=ether1-gateway
add interface=ether2-master
add interface=ether6-master
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=ether3-slave2
add interface=ether4-slave2
add interface=ether5-slave2
add interface=ether6-master
add interface=ether7-slave6
add interface=ether8-slave6
add interface=ether9-TWEAKTV
add interface=ether10-vrij
add interface=sfp1
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=ether3-slave2
add interface=ether4-slave2
add interface=ether5-slave2
add interface=ether6-master
add interface=ether7-slave6
add interface=ether8-slave6
add interface=ether9-TWEAKTV
add interface=ether10-vrij
add interface=sfp1
add interface=wlan1
add interface=bridge-local

Hmm, wazige constructie met die bridge, normaal gesproken kun je een interface die gebridged is niet rechtstreeks aanspreken maar via een VLAN kennelijk wel... Mijn idee was om op ether1-gateway 2 vlans aan te maken en één van die twee (die met de laagste bandbreedtebehoefte, dus iptv) aan een bridge te knopen. Dan gebruik je verder in de config de bridge als interface.

Verder:
Op zich hoef je IPTV niet te scheiden van je thuisnetwerk (dus bridgeIPTV is wat overbodig), aan de andere kant doet de RB2011 geen IGMP snooping dus houd je de andere poorten "vrij" van IGMP-traffic op de deze manier.

Echter wat nu echt een probleem is, is dat je de opmerkingen van brambo123 en Thralas op de TS niet in je eigen config hebt verwerkt.. je hebt dus effectief geen firewall in je huidige setup (en dat maakt je combinatie met /ip dns set allow-remote-requests=yes vatbaar voor DNS amplification attacks)

Hi

ik heb Tweak op hun nieuwe eigen gigabit netwerk en krijg komende week de 2011 binnen Ik gebruik alleen internet en ben benieuwd of bovenstaande voor hun eigen netwerk net zo opgaat als wanneer ze via KPN aanbieden.
Heeft iemand dit werkend en daarnaast, komt de mikrotik dan ook in de buurt van 600+ Mbps throughput?

Grts .. Marco

stacker007 schreef op zondag 26 juni 2016 @ 09:01:
Heeft iemand dit werkend en daarnaast, komt de mikrotik dan ook in de buurt van 600+ Mbps throughput?

Het antwoord op die laatste vraag vind je hier: \[Ervaringen/discussie] MikroTik-apparatuur

Kijk even in het "Tweak Glasvezel Ervaringen Topic - Deel 4" topic, hier zitten meer mensen met eigen hardware icm tweak.

En wat voor applicatie bij jouw trekt 600 Mbps uit het internet?

Intern kan wel, die Gbit poorten halen bij mij gewoon 800-900 MBps (of zet desnoods een goede HP of Cisco switch in).

Maar 600 Mbps over het internet? Zelfs 3D TV over het internet streamen is 18-25 Mbps.... Haalt zelfs een ADLS lijn gewoon....

Hoi,

tnx, ik ga ermee aan de knutsel. Die vezel voluit benutten is voor ftp up en down naar eigen servers. De Zyxel van Tweak zelf doet 750mbps+ maar ik wil VyprVPN en dat soort grapjes, vandaar dat ik mijn RB750 ga vervangen door een sneller broertje en dan ook maar meteen dat Tweak modem er tussenuit.

Tnx voor de info

Bedenk wel, dat je de snelheid wel kan halen als je "kaal" op de ISP zit. Zodra je een VPN erop zet, dondert de snelheid in elkaar.

Twee redenen:

1. VPN heeft veel (encryptie) overhead, daardoor is het trager
2. De processor dan de 2011 is zwak met VPN encryptie.


Ter illustratie: Van mijn 38 Mbps VDSL lijn (die ik ook volledig open trek, als ik rechtstreeks bij de ISP zit) dondert in richting de 25 Mbps als ik op de VPN zit. Mijn CPU schiet omhoog naar 80 - 95%. Maar het werkt wel.

Meer moet je dus niet echt verwachten.

Wat je kan doen, is traffic die al encrypted is (bv. SFTP, secure usenet etc...) rechtstreeks via de ISP te laten lopen, en al het andere traffic (mail, web, radio etc...) via de VPN.

Als het al encrypt is, dan hoeft het niet nogmaals encrypt te worden.

[ Voor 19% gewijzigd door Verwijderd op 27-06-2016 21:19 ]

Ik laat bepaalde ip's en\of poorten vanuit mijn LAN via vpn lopen anderen niet. Mikrotik regelt dat netjes zoals hem verteld wordt.

grts