Experiabox vervangen d. Mikrotik KPN glasvezel , Routed IPTV

zondag 10 januari 2016 20:01

Acties:

0 Henk 'm!

Anoniem: 724617

Topicstarter

Ik heb een vraagje over routed IPTV van KPN i.c.m. met een decoder geschikt voor “Meer TV” optie met o.a. Netflix

Mijn apparatuur :

- ExperiaBox KPN V10.
- Mikrotik RB2011UAS-2HnD-IN , router
- Decoder KPN ,ARRIS , woonkamer
- Decoder KPNB, Motorola , kantoor
- Cisco Switch , kantoor

Omdat ik helemaal nix kan instellen op een ExperiaBox heb ik een Mikrotik router, type Mikrotik RB2011UAS-2HnD-IN gekocht.
Vervolgens ben ik aan de slag gedaan met configureren in twee stappen , volgens netwerkje.com
Stap 1. Router in Bridge mode voor Triple Play van KPN.
Ik heb hiervoor de handleiding gevolgd van www.netwerkje.com
De router staat in bridge mode , volgens netwerkje.com
http://netwerkje.com/config-internet-iptv-telefonie

Ik heb dus de basis configuratie letterlijk geïmporteerd (zonder functionele aanpassingen) en onderstaand (stap. 2) eraan toe gevoegd!

Stap2. Router aanpassen voor RouteIP KPN , m.b.v. (ARRIS decoder).

Heb ook onderstaande handleiding gevolgd voor route iptv , om netflix te kunnen bekijken op mijn ARRIS decoder van KPN , http://netwerkje.com/routed-iptv
Deze heb ik moeten aanpassen want hierin wordt gesproken over poort 16 en BRIDGE-LAN
En dat snapte ik niet….

Dit heb ik volgens eigen kennis aangepast….

Heb twee decoders een oude Motorola VIP1853D en een ARRIS VIP2952 , alleen de laatste is geschikt voor “MEER TV” van KPN.

1 decoder aangesloten op ETH 4 , voor IPTV met netflix.
Hiervoor had ik de oude decoder aangesloten op ETH6
2 “oude “ decoder alleen geschikt voor IPTV op poort ETH7

Alles werkt WIFI , DHCP , Internet ,IPTV , met Decoder 2 (oud type
Decoder 1 werkt ook , Krijg keurig de “MEER TV” optie , zodat ik de netflix APP kan selecteren en ook kijken
Alleen het gewoon tv kijken bevriest naar 2 seconden

Als ik op de decoder 1 kijk naar de DHCP instellingen zie ik dat ik wel keurig een IP-adres krijg van mijn DHC server, IP-adres, 192.168.12.253 Default GW, 192.168.12.250
Decoder 2 , krijgt ook nog steeds IP-adres ,10.29.1.93 default GW, 10.29.0.1

Volgens netwerkje is er dan iets mis met ICMP-PROXY , echter als ik hier iets in ga veranderen geeft dat jammer genoeg ook geen verbetering....
Wat ik ook probeer of een foutmelding of het beeld bevriest gewoon weer na 2 seconden

Telefonie vind ik nu even niet zo belangrijk...

(werkt trouwens wel )

Wie kan mijn advies geven hoe ik op mijn Arris decoder Netflix kan kijken en dat ook live tv van KPN werkt. Zonder dat het beeld na 2 seconden bevriest!!!!

De interfaces print:
0 RS ether1-gateway ether E4:8D:8C:02:FD:11 ;;; NTU (glas) , VLAN4,6,7 TAGGED
1 RS ether2 ether E4:8D:8C:02:FD:12 ;;; Cisco Switch Kantoor

2 S ether3 ether E4:8D:8C:02:FD:13 ;;; Vrij
3 RS ether4 ether E4:8D:8C:02:FD:14 ;;; Decoder1 (ARRIS) , woonkamer
4 S ether5 ether E4:8D:8C:02:FD:15 ;;; Vrij
5 S ether6 ether E4:8D:8C:02:FD:16 ;;; Oude interface Decoder 1 (Motorola)
6 RS ether7 ether E4:8D:8C:02:FD:17 ;;; Decoder 2 , Hobby Kamer
7 S ether8 ether E4:8D:8C:02:FD:18 ;;; Vrij
8 RS ether9 ether E4:8D:8C:02:FD:19 9 RS ether10 ether E4:8D:8C:02:FD:1A ;;; ExperiaBox, TAGGED VLAN7
10 S sfp1 ether E4:8D:8C:02:FD:10 11 RS wlan1 wlan E4:8D:8C:02:FD:1B 12 R bridge-iptv bridge E4:8D:8C:02:FD:11 13 R bridge-local bridge E4:8D:8C:02:FD:10 14 R bridge-tel bridge E4:8D:8C:02:FD:1A 15 R pppoe pppoe-out
16 RS vlan1.4 vlan E4:8D:8C:02:FD:11 17 R vlan1.6 vlan E4:8D:8C:02:FD:11 18 RS vlan1.7 vlan E4:8D:8C:02:FD:11
19 RS vlan10.7 vlan E4:8D:8C:02:FD:1A

Interface =>bridge =>port
0 ether2 bridge-local
1 I ether3 bridge-local
2 ether4 bridge-local
3 I ether5 bridge-local
4 wlan1 bridge-local
5 vlan1.4 bridge-iptv
6 I ether6 bridge-iptv
7 vlan1.7 bridge-tel
8 vlan10.7 bridge-tel
9 ether1-gateway bridge-local
10 ether7 bridge-iptv
11 I ether8 bridge-local
12 ether9 bridge-local
13 ether10 bridge-local
14 I sfp1 bridge-local

Export compact

# jan/09/2016 22:14:35 by RouterOS 6.33.3
# software id = RIPD-TCTQ
#
/interface bridge
add name=bridge-iptv
add arp=proxy-arp name=bridge-local
add name=bridge-tel
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-gateway speed=\
1Gbps
set [ find default-name=ether2 ] comment=Kantoor speed=1Gbps
set [ find default-name=ether4 ] comment="Decoder1 , Woonkamer"
set [ find default-name=ether7 ] comment="Decoder 2 , Hobby Kamer"
/ip neighbor discovery
set ether1-gateway discover=no
set ether2 comment=Kantoor switch
set ether4 comment="Decoder1 ,IPTV proxy , speciale decoder met meer TV van KPN oa NETFLIX"
set ether7 comment="Decoder2 ,Kantoor"
set sfp1 discover=no
/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether1-gateway l2mtu=1594 name=vlan1.6 vlan-id=6
add interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7
add interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 \
keepalive-timeout=20 max-mru=1480 max-mtu=1480 name=pppoe password=xxx \
user=xx-xx-xx-xx-xx-xx@internet
/ip neighbor discovery
set pppoe discover=no
set vlan1.6 discover=no
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=YOLO \
supplicant-identity="" wpa-pre-shared-key=xxxxxxxxx \
wpa2-pre-shared-key=xxxxxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
country=netherlands disabled=no mode=ap-bridge security-profile=YOLO \
ssid=YOLO wireless-protocol=802.11
/ip neighbor discovery
set wlan1 discover=no
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.12.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip pool
add name=dhcp ranges=192.168.12.101-192.168.12.160
/ip dhcp-server
add address-pool=dhcp authoritative=yes disabled=no interface=bridge-local \
lease-time=1h30m name=dhcp-thuis
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-iptv interface=vlan1.4
add bridge=bridge-iptv interface=ether6
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
add bridge=bridge-local interface=ether1-gateway
add bridge=bridge-iptv interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=ether10
add bridge=bridge-local interface=sfp1
/ip address
add address=192.168.12.250/24 interface=bridge-local network=192.168.12.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=bridge-local
add add-default-route=special-classless default-route-distance=254 \
dhcp-options=option60-vendorclass,hostname,clientid disabled=no \
interface=vlan1.4 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
####niet relevant
/ip dhcp-server network
add address=192.168.12.0/24 dns-server=8.8.8.8,8.8.4.4 domain=thuis.local \
gateway=192.168.12.250
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip firewall filter
add chain=input in-interface=pppoe protocol=icmp
add chain=input connection-state=related
add chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
icmp-port-unreachable

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=\
192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="NAT in HTTP ; poort 80 " disabled=\
yes dst-address=77.171.28.251 dst-port=80 in-interface=ether1-gateway \
log=yes protocol=tcp to-addresses=192.168.12.124 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=9090 in-interface=\
bridge-local protocol=tcp to-addresses=192.168.12.124 to-ports=9090
add action=masquerade chain=srcnat comment="De interface moet een VLAN4 zijn o\
p de poort waar de glasvezel op binnen komt." dst-address=10.29.0.0/18 \
log=yes out-interface=bridge-iptv
add action=masquerade chain=srcnat dst-address=213.75.112.0/21 log=yes \
out-interface=bridge-iptv
add action=dst-nat chain=dstnat dst-address=77.171.28.251 dst-port=5377 \
protocol=udp to-addresses=192.168.12.138 to-ports=5377
/ip traffic-flow
set cache-entries=4k
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe type=external
/lcd
set backlight-timeout=5m
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2,ether3,ether4,ether5,ether6,ether\
7,ether8,ether9,ether10"
/routing igmp-proxy interface
add alternative-subnets=10.29.0.0/18,213.75.0.0/16 interface=bridge-local \
upstream=yes
add disabled=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add topics=igmp-proxy
add action=disk topics=info
add action=echo disabled=yes topics=igmp-proxy
add topics=dhcp
add topics=interface
add topics=telephony
add topics=wireless
/system package update
set channel=release-candidate
/system routerboard settings
set protected-routerboot=disabled
/system scheduler
add interval=1d name=email-log-file on-event="/log print file=([/system identi\
ty get name] . \"Log-\" . [:pick [/system clock get date] 7 11] . [:pick [\
/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]); \\ /\
tool e-mail send to=\"uwemail@domein.com\" subject=([/system identity get \
name] . \" Log \" . \\ [/system clock get date]) file=([/system identity g\
et name] . \"Log-\" . [:pick [/system clock get date] 7 11] . \\ [:pick [/\
system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".tx\
t\"); :delay 10; \\ /file rem [/file find name=([/system identity get name\
] . \"Log-\" . [:pick [/system clock get date] 7 11] . \\ [:pick [/system \
clock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".txt\")]; \
\\ :log info (\"System Log emailed at \" . [/sys cl get time] . \" \" . [/\
sys cl get date]) " policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
jan/03/2016 start-time=23:55:00

heb op advies ook nog ip/settings RP filter op =>loose gezet. Hielp niet.....

Wie kan mij helpen??
Alvast bedankt voor je hulp / assistentie.

JOBO

zondag 10 januari 2016 23:28

Acties:

+1 Henk 'm!

Thralas

Waarom wil je de Arris routeren, en de Motorola bridgen? Zou ze gewoon beide routeren, maakt je routerconfig een stukje eenvoudiger.

In je config is maar 1 rule voor IGMP proxy te vinden. Deze is disabled, maar ook nog eens hartstikke fout.

Je hebt altijd 2 entries nodig voor de IGMP proxy. Eentje voor je upstream (multicast source); dat is je bridge-iptv in dit geval (want in die bridge hangt je upstream IPTV VLAN) - niet je lokale lan zoals je nu hebt.

De tweede entry is je downstream, dat is dus wel je bridge-local.

Dan zou het moeten werken. Je hebt alleen ook je WiFi in je bridge-local hangen, dat betekent dat IPTV je WLAN verziekt zodra er een actieve TV stream is. Daarom zou ik je setup wijzigen zodat je STBs op een aparte bridge en switch group zitten - in principe hebben ze toch niets met de rest van je netwerk te maken.

maandag 11 januari 2016 23:52

Acties:

0 Henk 'm!

Anoniem: 724617

Topicstarter

Hoi Thralas,

Bedankt voor je antwoord!
Idd ik had maar 1 rule voor IGMP proxy , omdat deze niet werkte heb ik deze gedisabled.......
Ik heb nu onderstaande aanpassing doorgevoerd:

Bridge-local voor Downstream en Bridge-IPTV voor de upstream!!!

add alternative-subnets=10.29.0.0/18,213.75.0.0/16 interface=bridge-iptv upstream=yes
add interface=bridge-local

Vervolgens kan ook live tv kijken op de STB van ARRIS (in mijn geval decoder 1)
TOP!!!!

De setup wil ik deze week verder aanpassen op je advies.
Tot zo ver bedankt!

maandag 7 maart 2016 19:08

Acties:

0 Henk 'm!

Anoniem: 403384

Ik kamp met hetzelfde probleem, ik heb het werkend gehad. Echter stopte het (na mijn idee zonder wijzigingen aan de config) met werken, ondertussen al meerdere keren de configuratie van Netwerkje.com opnieuw geconfigureerd.

Echter maakt het geen verschil.. Heb het even voor elkaar gehad een uur geleden, ik voegde de 2e STB aan mijn bridge-local toe, en toen was het over. Of het nou ligt aan dat ik die 2e STB toevoegde is mij een raadsel? Het werkte in ieder geval langer dan 2 sec.

Het zou mooi zijn als iemand mij hiermee kan helpen, ik kom er niet meer uit..

Mijn configuratie:
[admin@RB2011UiAS-2hnd] > /export compact
# mar/07/2016 18:59:24 by RouterOS 6.34.2
# software id = T2JJ-TCGB
#
/interface bridge
add name=bridge-guest protocol-mode=none
add mtu=1500 name=bridge-iptv protocol-mode=none
add arp=proxy-arp mtu=1500 name=bridge-local protocol-mode=none
add mtu=1500 name=bridge-tel protocol-mode=none
add name=bridge-vms protocol-mode=none
add name=brige-wlan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="From NTU" mac-address=\
D4:CA:6D:8D:E0:2B name=ether1-gateway speed=1Gbps
set [ find default-name=ether2 ] comment="Local LAN port" mac-address=\
D4:CA:6D:8D:E0:2C name=ether2-TPL-MGSW speed=1Gbps
set [ find default-name=ether3 ] comment="Local LAN port" mac-address=\
D4:CA:6D:8D:E0:2D
set [ find default-name=ether4 ] comment="Local LAN port" mac-address=\
D4:CA:6D:8D:E0:2E
set [ find default-name=ether5 ] comment="Local LAN port" mac-address=\
D4:CA:6D:8D:E0:2F
set [ find default-name=ether6 ] comment=IPTV-1-Woonkamer mac-address=\
D4:CA:6D:8D:E0:30
set [ find default-name=ether7 ] comment=IPTV-2-Damion mac-address=\
D4:CA:6D:8D:E0:31
set [ find default-name=ether8 ] comment=IPTV-3 mac-address=D4:CA:6D:8D:E0:32
set [ find default-name=ether9 ] comment=FREE mac-address=D4:CA:6D:8D:E0:33
set [ find default-name=ether10 ] comment="to Experiabox v8" mac-address=\
D4:CA:6D:8D:E0:34 poe-out=off
set [ find default-name=sfp1 ] comment=FREE disabled=yes mac-address=\
D4:CA:6D:8D:E0:2A
/ip neighbor discovery
set ether1-gateway comment="From NTU" discover=no
set ether2-TPL-MGSW comment="Local LAN port"
set ether3 comment="Local LAN port"
set ether4 comment="Local LAN port"
set ether5 comment="Local LAN port"
set ether6 comment=IPTV-1-Woonkamer
set ether7 comment=IPTV-2-Damion
set ether8 comment=IPTV-3
set ether9 comment=FREE
set ether10 comment="to Experiabox v8"
set sfp1 comment=FREE discover=no
/interface vlan
add comment="IPTV VLAN" interface=ether1-gateway name=vlan1.4 vlan-id=4
add comment="PPP WAN VLAN" interface=ether1-gateway name=vlan1.6 vlan-id=6
add comment="Voice VLAN" interface=ether1-gateway name=vlan1.7 vlan-id=7
add interface=ether2-TPL-MGSW name=vlan2.1 vlan-id=1
add interface=ether2-TPL-MGSW name=vlan2.11 vlan-id=11
add interface=ether2-TPL-MGSW name=vlan2.12 vlan-id=12
add interface=ether2-TPL-MGSW name=vlan2.13 vlan-id=13
add comment="Voice VLAN" interface=ether10 name=vlan10.7 vlan-id=7
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 comment=\
"PPP with Direct-ADSL for WAN connection" default-route-distance=1 \
disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=\
1480 name=pppoe password=kpn user=[MAC]@internet
/ip neighbor discovery
set pppoe comment="PPP with Direct-ADSL for WAN connection" discover=no
set vlan1.4 comment="IPTV VLAN"
set vlan1.6 comment="PPP WAN VLAN" discover=no
set vlan1.7 comment="Voice VLAN"
set vlan10.7 comment="Voice VLAN"
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-eap,wpa2-eap mode=\
dynamic-keys radius-eap-accounting=yes supplicant-identity=DV-GW01
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=DV-GW02 supplicant-identity="" \
wpa-pre-shared-key=Test1234 wpa2-pre-shared-key=Test1234
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-a/g=\
6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=\
1Mbps,2Mbps,5.5Mbps,11Mbps channel-width=20/40mhz-Ce comment=\
"DV-GW01 (radius problem)" default-authentication=no default-forwarding=no \
disabled=no frequency=auto mode=ap-bridge nv2-preshared-key=\
DV-GW01@RADSRV4WiFiProt security-profile=DV-GW02 ssid=DV-GW01 tx-power=20 \
tx-power-mode=all-rates-fixed wps-mode=disabled
add comment=DV-GW02 mac-address=02:0C:42:D5:C1:AB master-interface=wlan1 name=\
wlan2 security-profile=DV-GW02 ssid=DV-GW02 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
add comment=DV-GW04 mac-address=02:0C:42:D5:C1:AC master-interface=wlan1 name=\
wlan3 security-profile=DV-GW02 ssid=DV-GW04 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/interface wireless nstreme
set wlan1 comment="DV-GW01 (radius problem)"
set *15 comment=DV-GW02
set *18 comment=DV-GW04
/interface wireless manual-tx-power-table
set wlan1 comment="DV-GW01 (radius problem)"
set wlan2 comment=DV-GW02
set wlan3 comment=DV-GW04
/ip neighbor discovery
set wlan1 comment="DV-GW01 (radius problem)"
set wlan2 comment=DV-GW02
set wlan3 comment=DV-GW04
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=thuisnetwerk ranges=192.168.10.150-192.168.10.199
add name=pptp-pool ranges=192.168.21.100-192.168.21.150
add name=dhcp_pool1 ranges=192.168.11.101-192.168.11.151
add name=dhcp_pool2 ranges=192.168.12.151-192.168.12.199
add name=dhcp_pool3 ranges=192.168.13.150-192.168.13.199
/ip dhcp-server
add address-pool=thuisnetwerk authoritative=yes disabled=no interface=\
bridge-local lease-time=12h name=dhcp-thuis
add address-pool=dhcp_pool1 disabled=no interface=brige-wlan lease-time=30m \
name=dhcp-wlan
add address-pool=dhcp_pool2 disabled=no interface=bridge-vms lease-time=30m \
name=dhcp-vms
add address-pool=dhcp_pool3 disabled=no interface=bridge-guest lease-time=30m \
name=dhcp-guest
/ppp profile
add local-address=thuisnetwerk name=pptp-srvs remote-address=thuisnetwerk
/routing bgp instance
set default disabled=yes
/system logging action
set 0 memory-lines=10000
set 1 disk-lines-per-file=10000
set 3 remote=192.168.10.51
/interface bridge port
add bridge=bridge-local interface=ether2-TPL-MGSW
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-iptv interface=vlan1.4
add bridge=bridge-iptv interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-iptv interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-tel interface=vlan1.7
add bridge=bridge-tel interface=vlan10.7
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan2
add bridge=brige-wlan interface=wlan3
add bridge=bridge-vms interface=vlan2.12
add bridge=bridge-guest interface=vlan2.13
add bridge=brige-wlan interface=vlan2.11
add bridge=bridge-local interface=vlan2.1
/interface pptp-server server
set enabled=yes
/interface wireless access-list
add comment="Nokia Lumia Jolanda" mac-address=48:86:E8:B6:E3:BC
add comment="Apple iPhone 5s" mac-address=2C:BE:08:E0:7C:DA
add comment="Apple iPad Marente" mac-address=24:24:0E:02:D0:EF
add comment="Intel \?\?" mac-address=00:1F:3B:63:84:D1
add mac-address=D0:87:E2:78:E3:23
add comment="ASUS Marente" mac-address=DC:85:DE:7A:73:10
add comment="Microsoft Surface RT" mac-address=28:18:78:53:CF:81
add comment="Dell Latitude E5450" mac-address=34:02:86:5F:C0:7B
add comment="ASUS Jolanda" mac-address=6C:71:D9:D4:1E:D3
add mac-address=C8:14:79:57:82:AE
add comment="Apple iPhone Maxime" mac-address=84:B1:53:BE:D2:23 vlan-mode=\
no-tag
/ip address
add address=192.168.10.254/24 interface=bridge-local network=192.168.10.0
add address=192.168.11.254/24 interface=brige-wlan network=192.168.11.0
add address=192.168.12.254/24 interface=bridge-vms network=192.168.12.0
add address=192.168.13.254/24 interface=bridge-guest network=192.168.13.0
/ip dhcp-client
add add-default-route=special-classless default-route-distance=254 \
dhcp-options=option60-vendorclass disabled=no interface=bridge-iptv \
use-peer-dns=no use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.10.45 always-broadcast=yes client-id=1:2c:be:8:e0:7c:da \
mac-address=2C:BE:08:E0:7C:DA server=dhcp-thuis
add address=192.168.10.44 client-id=1:28:18:78:53:cf:81 mac-address=\
28:18:78:53:CF:81 server=dhcp-thuis
add address=192.168.10.43 always-broadcast=yes client-id=1:f8:ca:b8:23:4c:9b \
mac-address=F8:CA:B8:23:4C:9B server=dhcp-thuis
add address=192.168.10.11 comment="Decoder 1" dhcp-option-set=IPTV mac-address=\
50:7E:5D:B7:1F:1B server=dhcp-thuis
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=208.67.222.222,208.67.220.220 domain=\
damionverheij.nl gateway=192.168.10.254
add address=192.168.11.0/24 dns-server=208.67.222.222,208.67.220.220 domain=\
wifi.damionverheij.nl gateway=192.168.11.254
add address=192.168.12.0/24 dns-server=208.67.222.222,208.67.220.220 domain=\
vm.damionverheij.nl gateway=192.168.12.254
add address=192.168.13.0/24 dns-server=208.67.222.222,208.67.220.220 domain=\
guest.damionverheij.nl gateway=192.168.13.254
/ip dns
set cache-max-ttl=1d servers=208.67.220.220,208.67.222.222
/ip firewall filter
add chain=input in-interface=pppoe protocol=icmp
add chain=input connection-state=related
add chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
icmp-admin-prohibited
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
icmp-admin-prohibited
add action=reject chain=forward dst-port=161 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=161 in-interface=pppoe protocol=udp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=22 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=515 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=111 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=8080 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=3306 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=2049 in-interface=pppoe protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=53 in-interface=pppoe log=yes \
log-prefix=openresolver-udp protocol=udp reject-with=icmp-admin-prohibited
add action=reject chain=forward dst-port=53 in-interface=pppoe log=yes \
log-prefix=openresolver-tcp protocol=tcp reject-with=icmp-admin-prohibited
add action=drop chain=forward dst-address=0.0.0.0/0 protocol=udp src-address=\
80.93.192.0/24
add action=fasttrack-connection chain=forward connection-state=\
established,related
/ip firewall nat
add action=masquerade chain=srcnat comment="Default NAT rule" out-interface=\
pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment="FWD HTTP DSM" dst-port=80 \
in-interface=pppoe protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat dst-port=8080 in-interface=pppoe log=yes \
protocol=tcp to-addresses=192.168.12.71 to-ports=8080
add action=dst-nat chain=dstnat comment="DSM HTTP" dst-port=5000 in-interface=\
pppoe protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat comment="DSM HTTPS" dst-port=5001 in-interface=\
pppoe protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat comment="DSM CloudStation" dst-port=6690 \
in-interface=pppoe protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat comment="VPN PPTP VMNET" dst-port=1723 \
in-interface=pppoe protocol=tcp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat comment="MSTSC RDP" dst-port=3389 in-interface=\
pppoe protocol=tcp to-addresses=192.168.10.41
add action=dst-nat chain=dstnat comment="Default NAT rule" dst-address=\
[ext. IP] in-interface=pppoe to-addresses=192.168.10.51
add action=dst-nat chain=dstnat comment="VPN OpenVPN" dst-port=1194 \
in-interface=pppoe protocol=udp to-addresses=192.168.10.51
add action=dst-nat chain=dstnat dst-address=[ext. IP] to-addresses=\
192.168.10.51
add action=src-nat chain=srcnat src-address=192.168.10.51 to-addresses=\
[ext. IP]
add action=masquerade chain=srcnat dst-address=192.168.10.0/24 src-address=\
192.168.10.0/24
add action=dst-nat chain=dstnat comment="DSM VideoStation" dst-port=1900 \
in-interface=pppoe protocol=udp to-addresses=192.168.10.51
add action=masquerade chain=srcnat dst-address=10.142.64.0/18 out-interface=\
bridge-iptv
add action=masquerade chain=srcnat dst-address=213.75.112.0/21 out-interface=\
bridge-iptv
/ip firewall service-port
set ftp disabled=yes
/ip route
add distance=1 dst-address=192.168.31.0/24 gateway=192.168.10.51
/ip route rule
add dst-address=192.168.10.51/32 src-address=192.168.0.0/16 table=main
add action=drop dst-address=192.168.10.0/24 src-address=192.168.11.0/24
add action=drop dst-address=192.168.10.0/24 src-address=192.168.12.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.12.0/24
add action=drop dst-address=192.168.13.0/24 src-address=192.168.12.0/24
add action=drop dst-address=192.168.10.0/24 src-address=192.168.13.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.13.0/24
/ip service
set ftp disabled=yes
/ip traffic-flow
set cache-entries=4k
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add disabled=yes interface=bridge-local type=internal
add disabled=yes interface=pppoe type=external
/lcd
set backlight-timeout=5m
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2-TPL-MGSW,ether3,ether4,ether5,ether\
6,ether7,ether8,ether9,ether10"
/ppp secret
add name=d.verheij password="[password]" profile=pptp-srvs
/radius
add address=192.168.10.51 secret=[password] service=login
/radius incoming
set accept=yes port=1700
/routing igmp-proxy interface
add alternative-subnets=10.142.64.0/18,213.75.0.0/16 interface=bridge-iptv \
upstream=yes
add interface=bridge-local
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Amsterdam
/system identity
set name=RB2011UiAS-2hnd
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set wlan2 disabled=yes display-time=5s
set wlan3 disabled=yes display-time=5s
set pppoe disabled=yes display-time=5s
set bridge-local disabled=yes display-time=5s
set bridge-iptv disabled=yes display-time=5s
set bridge-tel disabled=yes display-time=5s
set bridge-guest disabled=yes display-time=5s
set brige-wlan disabled=yes display-time=5s
set bridge-vms disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set sfp1 disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2-TPL-MGSW disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
set ether6 disabled=yes display-time=5s
set ether7 disabled=yes display-time=5s
set ether8 disabled=yes display-time=5s
set ether9 disabled=yes display-time=5s
set ether10 disabled=yes display-time=5s
set vlan1.6 disabled=yes display-time=5s
set vlan1.4 disabled=yes display-time=5s
set vlan1.7 disabled=yes display-time=5s
set vlan10.7 disabled=yes display-time=5s
set vlan2.13 disabled=yes display-time=5s
set vlan2.11 disabled=yes display-time=5s
set vlan2.1 disabled=yes display-time=5s
set vlan2.12 disabled=yes display-time=5s
/system leds
add interface=bridge-local leds=sfp-led type=interface-status
/system logging
set 0 action=remote
set 1 action=remote
set 2 action=remote
set 3 action=remote
add action=remote topics=igmp-proxy
add action=disk topics=critical
add action=disk topics=error
add action=disk topics=warning
/system ntp client
set enabled=yes primary-ntp=87.195.109.106 secondary-ntp=192.168.10.51
/system package update
set channel=bugfix
/system script
add name=script1 owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive source="# Bruikba\
ar voor een KPN of Tweak fiber verbinding\r\
\n# Alleen internet configuratie.\r\
\n/interface ethernet\r\
\n#\r\
\n# Poort 1 (ether1) = FIBER connectie\r\
\n# Poortnummers hebben intern exact 1 nummer lager intern dan de gedrukte n\
ummering\r\
\n# op de router zelf.\r\
\n#\r\
\nset 0 arp=proxy-arp auto-negotiation=yes \\\r\
\n disabled=no full-duplex=yes l2mtu=1598 \\\r\
\n mtu=1500 name=ether1-gateway speed=1Gbps\r\
\n#\r\
\n# Poort 2 (ether2) = LAN \r\
\n#\r\
\nset 1 arp=enabled auto-negotiation=yes \\\r\
\n disabled=no full-duplex=yes l2mtu=1598 \\\r\
\n mtu=1500 name=ether2 speed=1Gbps\r\
\n#\r\
\n# VLAN 6 = internet, deze koppelen we aan de fysieke interface ether1-gate\
way.\r\
\n#\r\
\n/interface vlan\r\
\nadd arp=enabled disabled=no interface=ether1-gateway l2mtu=1594 mtu=1500 \
\\\r\
\n name=vlan1.6 use-service-tag=no vlan-id=6\r\
\n#\r\
\n# PPPoE profiel, heel standaard.\r\
\n#\r\
\n/ppp profile\r\
\nset 0 change-tcp-mss=yes name=default only-one=default use-compression=\\\
\r\
\n default use-encryption=default use-mpls=default use-vj-compression=\\\
\r\
\n default\r\
\n#\r\
\n# PPPOE CLIENT, deze koppelen we aan de VLAN6 interface die eerder gemaakt\
\_is.\r\
\n# De exacte inloggegevens zijn ook zichtbaar in de webinterface van de exp\
eriabox.\r\
\n# \r\
\n/interface pppoe-client\r\
\nadd add-default-route=yes allow=pap,mschap2 \\\r\
\n dial-on-demand=no disabled=no interface=vlan1.6 keepalive-timeout=20 m\
ax-mru=1480 max-mtu=1480 \\\r\
\n mrru=disabled name=pppoe password=kpn profile=default \\\r\
\n use-peer-dns=no user=[MAC]@internet\r\
\n\r\
\n#\r\
\n# BGP, alleen maar even om zeker te zijn dat het disabled is.\r\
\n#\r\
\n/routing bgp instance\r\
\nset default disabled=yes\r\
\n#\r\
\n# Bridges, ofwel verzameling switchpoorten die bij elkaar horen. \r\
\n#\r\
\n# De bridge-local is de bridge voor de LAN kant van het netwerk. Let op: p\
oort 1 zit (daarom) niet in de LAN bridgepoort!\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-local arp=proxy-arp\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-local interface=ether2\r\
\nadd bridge=bridge-local interface=ether3\r\
\nadd bridge=bridge-local interface=ether4\r\
\nadd bridge=bridge-local interface=ether5\r\
\nadd bridge=bridge-local interface=wlan1\r\
\n\r\
\n/interface bridge settings\r\
\nset use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vl\
an=\\\r\
\n no\r\
\n/interface ethernet switch port\r\
\nset 0 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 1 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 2 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 3 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 4 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 5 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 6 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 7 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 8 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 9 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 10 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 11 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 12 vlan-header=leave-as-is vlan-mode=disabled\r\
\n#\r\
\n# Lokaal IP adres van de router. Pas dit aan naar het IP adres in de reeks\
\_die je gebruikt (of laat het zo)\r\
\n#\r\
\n/ip address\r\
\nadd address=192.168.10.254/24 disabled=no interface=bridge-local network=1\
92.168.10.0\r\
\n#\r\
\n# De DNS van Google, lekker betrouwbaar. Stel deze dmv remote requests als\
\_caching server open voor het LAN.\r\
\n#\r\
\n/ip dns\r\
\nset allow-remote-requests=yes cache-max-ttl=1d cache-size=2048KiB \\\r\
\n max-udp-packet-size=4096 servers=208.67.220.220,208.67.222.222\r\
\n#\r\
\n# De 3 standaard rules voor de firewall. Dit zijn geen veilige rules, alle\
s staat open, maar\r\
\n# bedoeld om de basis functionaliteiten te laten werken.\r\
\n#\r\
\n/ip firewall filter\r\
\nadd action=accept chain=input disabled=no in-interface=pppoe protocol=icmp\
\r\
\nadd action=accept chain=input connection-state=related disabled=no\r\
\nadd action=accept chain=input connection-state=established disabled=no\r\
\n#\r\
\n# BELANGRIJK: nu volgen enkele drastische voorbeeld firewall rules om de r\
outer vanaf internet te beschermen.\r\
\n#\r\
\n# Bedenk: input rules = verkeer naar de router zelf.\r\
\n# Denk hierbij aan de webinterface, SSH toegang, een DNS server, VPN, etc.\
\r\
\n#\r\
\n# Onderstaande regels zorgen dat bijvoorbeeld de webinterface en de ssh po\
ort niet van buitenaf te bereiken zijn.\r\
\n# Ook sluit je een eventuele DNS server af voor de buitenwereld.\r\
\n# Neem je de volgende twee regels niet mee in je eigen configuratie dan kr\
ijg je vanzelf bericht van KPN\r\
\n# dat je verbinding is geblokkeeerd vanwege een \"open DNS\" of soortgelij\
ke reden. Dan heb je geen internet meer.\r\
\n# Voorkom dit dus vooral en neem deze basis firewall regels mee in je conf\
iguratie.\r\
\n#\r\
\nadd action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
icmp-port-unreachable\r\
\nadd action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
icmp-port-unreachable\r\
\n#\r\
\n# De NAT regel om vanaf LAN het internet te kunnen gebruiken, vervang evt \
het src adres door je eigen LAN IP reeks.\r\
\n#\r\
\n/ip firewall nat\r\
\nadd action=masquerade chain=srcnat disabled=no out-interface=pppoe \\\r\
\n src-address=192.168.0.0/16 to-addresses=0.0.0.0\r\
\n#\r\
\n# Geen rotzooi naar KPN sturen, dus we disablen discovery op de poorten na\
ar KPN\r\
\n#\r\
\n/ip neighbor discovery\r\
\nset sfp1 discover=no\r\
\nset ether1-gateway discover=no\r\
\nset ether2 discover=yes\r\
\nset ether3 discover=yes\r\
\nset ether4 discover=yes\r\
\nset ether5 discover=yes\r\
\nset wlan1 discover=no\r\
\nset bridge-local discover=yes\r\
\nset pppoe discover=no\r\
\nset vlan1.6 discover=no\r\
\n\r\
\n## Een basis DHCP server voor het LAN\r\
\n#\r\
\n/ip pool\r\
\nadd name=thuisnetwerk ranges=192.168.10.150-192.168.10.199\r\
\n/ip dhcp-server\r\
\nadd address-pool=thuisnetwerk authoritative=yes disabled=no interface=brid\
ge-local \\\r\
\n lease-time=1h30m name=dhcp-thuis\r\
\n/ip dhcp-server config\r\
\nset store-leases-disk=15m\r\
\n/ip dhcp-server network\r\
\nadd address=192.168.10.0/24 dns-server=192.168.10.254 domain=thuis.local g\
ateway=\\\r\
\n 192.168.10.250\r\
\n#\r\
\n# Algemene andere dingetjes\r\
\n#\r\
\n/ip traffic-flow\r\
\nset active-flow-timeout=30m cache-entries=4k enabled=no \\\r\
\n inactive-flow-timeout=15s interfaces=all\r\
\n/ip upnp\r\
\nset allow-disable-external-interface=no enabled=yes show-dummy-rule=no\r\
\n/ip upnp interfaces\r\
\nadd disabled=no interface=bridge-local type=internal\r\
\nadd disabled=no interface=pppoe type=external\r\
\n/lcd\r\
\nset backlight-timeout=5m enabled=yes\r\
\n/system clock\r\
\nset time-zone-name=Europe/Amsterdam\r\
\n\r\
\n# Maak VLAN 4 en 7 aan en koppel deze (ook) aan poort 1\r\
\n\r\
\n/interface vlan\r\
\nadd interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4\r\
\nadd interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7\r\
\n\r\
\n# Maak een VLAN 7 aan op poort 10 om verkeer tagged naar de experiabox te \
sturen\r\
\n\r\
\nadd interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7\r\
\n\r\
\n# Maak een bridge aan om VLAN4 te kunnen gaan gebruiken\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-iptv\r\
\n\r\
\n# Stop in deze bridge slechts het VLAN 4 en poort 6.\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-iptv interface=vlan1.4\r\
\nadd bridge=bridge-iptv interface=ether6\r\
\nadd bridge=bridge-iptv interface=ether7\r\
\nadd bridge=bridge-iptv interface=ether8\r\
\nadd bridge=bridge-iptv interface=ether9\r\
\n\r\
\n# Maak een bridge aan om VLAN7 te kunnen gaan gebruiken\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-tel\r\
\n\r\
\n# Stop in deze bridge slechts het VLAN 7 van poort 1 en 10\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-tel interface=vlan1.7\r\
\nadd bridge=bridge-tel interface=vlan10.7\r\
\n\r\
\n# TCP80 naar 192.168.10.51/DS214PLUS (WEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.\
168.10.51\r\
\n\r\
\n# TCP5000 naar 192.168.10.51/DS214PLUS (SWEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=5000 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP5001 naar 192.168.10.51/DS214PLUS (SSWEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=5001 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP6690 naar 192.168.10.51/DS214PLUS (SCS)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=6690 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP1723 naar 192.168.10.51/DS214PLUS (PPTP)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=1723 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# UDP9 naar 192.168.10.41/DV-WS01\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=9 protocol=udp to-addresses=192.1\
68.10.41\r\
\n\r\
\n# TCP3389 naar 192.168.10.41/DV-WS01\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=19\
2.168.10.41\r\
\n\r\
\n# Hairpin NAT / NAT Loopback\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat disabled=no dst-address=[ext. IP] to-ad\
dressess=192.168.10.51\r\
\nadd action=src-nat chain=srcnat disabled=no dst-address=192.168.10.51 to a\
ddresses=[ext. IP]\r\
\n\r\
\n# Internal traffic stays internal traffic\r\
\n\r\
\nadd action=masquerade chain=srcnat disbaled=no dst-address=192.168.10/24 s\
rc-address=192.168.10.0/24\r\
\n"
add name=script2 owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive source="/interfac\
e ethernet\r\
\nset 0 arp=proxy-arp auto-negotiation=yes \\\r\
\n disabled=no full-duplex=yes l2mtu=1598 \\\r\
\n mtu=1500 name=ether1-gateway speed=1Gbps\r\
\n#\r\
\n# Poort 2 (ether2) = LAN \r\
\n#\r\
\nset 1 arp=enabled auto-negotiation=yes \\\r\
\n disabled=no full-duplex=yes l2mtu=1598 \\\r\
\n mtu=1500 name=ether2 speed=1Gbps\r\
\n#\r\
\n# VLAN 6 = internet, deze koppelen we aan de fysieke interface ether1-gate\
way.\r\
\n#\r\
\n/interface vlan\r\
\nadd arp=enabled disabled=no interface=ether1-gateway l2mtu=1594 mtu=1500 \
\\\r\
\n name=vlan1.6 use-service-tag=no vlan-id=6\r\
\n#\r\
\n# PPPoE profiel, heel standaard.\r\
\n#\r\
\n/ppp profile\r\
\nset 0 change-tcp-mss=yes name=default only-one=default use-compression=\\\
\r\
\n default use-encryption=default use-mpls=default use-vj-compression=\\\
\r\
\n default\r\
\n#\r\
\n# PPPOE CLIENT, deze koppelen we aan de VLAN6 interface die eerder gemaakt\
\_is.\r\
\n# De exacte inloggegevens zijn ook zichtbaar in de webinterface van de exp\
eriabox.\r\
\n# \r\
\n/interface pppoe-client\r\
\nadd add-default-route=yes allow=pap,mschap2 \\\r\
\n dial-on-demand=no disabled=no interface=vlan1.6 keepalive-timeout=20 m\
ax-mru=1480 max-mtu=1480 \\\r\
\n mrru=disabled name=pppoe password=kpn profile=default \\\r\
\n use-peer-dns=no user=[MAC]@internet\r\
\n\r\
\n#\r\
\n# BGP, alleen maar even om zeker te zijn dat het disabled is.\r\
\n#\r\
\n/routing bgp instance\r\
\nset default disabled=yes\r\
\n#\r\
\n# Bridges, ofwel verzameling switchpoorten die bij elkaar horen. \r\
\n#\r\
\n# De bridge-local is de bridge voor de LAN kant van het netwerk. Let op: p\
oort 1 zit (daarom) niet in de LAN bridgepoort!\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-local arp=proxy-arp\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-local interface=ether2\r\
\nadd bridge=bridge-local interface=ether3\r\
\nadd bridge=bridge-local interface=ether4\r\
\nadd bridge=bridge-local interface=ether5\r\
\nadd bridge=bridge-local interface=wlan1\r\
\n\r\
\n/interface bridge settings\r\
\nset use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vl\
an=\\\r\
\n no\r\
\n/interface ethernet switch port\r\
\nset 0 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 1 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 2 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 3 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 4 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 5 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 6 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 7 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 8 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 9 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 10 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 11 vlan-header=leave-as-is vlan-mode=disabled\r\
\nset 12 vlan-header=leave-as-is vlan-mode=disabled\r\
\n#\r\
\n# Lokaal IP adres van de router. Pas dit aan naar het IP adres in de reeks\
\_die je gebruikt (of laat het zo)\r\
\n#\r\
\n/ip address\r\
\nadd address=192.168.10.254/24 disabled=no interface=bridge-local network=1\
92.168.10.0\r\
\n#\r\
\n# De DNS van Google, lekker betrouwbaar. Stel deze dmv remote requests als\
\_caching server open voor het LAN.\r\
\n#\r\
\n/ip dns\r\
\nset allow-remote-requests=yes cache-max-ttl=1d cache-size=2048KiB \\\r\
\n max-udp-packet-size=4096 servers=208.67.220.220,208.67.222.222\r\
\n#\r\
\n# De 3 standaard rules voor de firewall. Dit zijn geen veilige rules, alle\
s staat open, maar\r\
\n# bedoeld om de basis functionaliteiten te laten werken.\r\
\n#\r\
\n/ip firewall filter\r\
\nadd action=accept chain=input disabled=no in-interface=pppoe protocol=icmp\
\r\
\nadd action=accept chain=input connection-state=related disabled=no\r\
\nadd action=accept chain=input connection-state=established disabled=no\r\
\n#\r\
\n# BELANGRIJK: nu volgen enkele drastische voorbeeld firewall rules om de r\
outer vanaf internet te beschermen.\r\
\n#\r\
\n# Bedenk: input rules = verkeer naar de router zelf.\r\
\n# Denk hierbij aan de webinterface, SSH toegang, een DNS server, VPN, etc.\
\r\
\n#\r\
\n# Onderstaande regels zorgen dat bijvoorbeeld de webinterface en de ssh po\
ort niet van buitenaf te bereiken zijn.\r\
\n# Ook sluit je een eventuele DNS server af voor de buitenwereld.\r\
\n# Neem je de volgende twee regels niet mee in je eigen configuratie dan kr\
ijg je vanzelf bericht van KPN\r\
\n# dat je verbinding is geblokkeeerd vanwege een \"open DNS\" of soortgelij\
ke reden. Dan heb je geen internet meer.\r\
\n# Voorkom dit dus vooral en neem deze basis firewall regels mee in je conf\
iguratie.\r\
\n#\r\
\nadd action=reject chain=input in-interface=pppoe protocol=tcp reject-with=\
icmp-port-unreachable\r\
\nadd action=reject chain=input in-interface=pppoe protocol=udp reject-with=\
icmp-port-unreachable\r\
\n#\r\
\n# De NAT regel om vanaf LAN het internet te kunnen gebruiken, vervang evt \
het src adres door je eigen LAN IP reeks.\r\
\n#\r\
\n/ip firewall nat\r\
\nadd action=masquerade chain=srcnat disabled=no out-interface=pppoe \\\r\
\n src-address=192.168.0.0/16 to-addresses=0.0.0.0\r\
\n#\r\
\n# Geen rotzooi naar KPN sturen, dus we disablen discovery op de poorten na\
ar KPN\r\
\n#\r\
\n/ip neighbor discovery\r\
\nset sfp1 discover=no\r\
\nset ether1-gateway discover=no\r\
\nset ether2 discover=yes\r\
\nset ether3 discover=yes\r\
\nset ether4 discover=yes\r\
\nset ether5 discover=yes\r\
\nset wlan1 discover=no\r\
\nset bridge-local discover=yes\r\
\nset pppoe discover=no\r\
\nset vlan1.6 discover=no\r\
\n\r\
\n## Een basis DHCP server voor het LAN\r\
\n#\r\
\n/ip pool\r\
\nadd name=thuisnetwerk ranges=192.168.10.150-192.168.10.199\r\
\n/ip dhcp-server\r\
\nadd address-pool=thuisnetwerk authoritative=yes disabled=no interface=brid\
ge-local \\\r\
\n lease-time=1h30m name=dhcp-thuis\r\
\n/ip dhcp-server config\r\
\nset store-leases-disk=15m\r\
\n/ip dhcp-server network\r\
\nadd address=192.168.10.0/24 dns-server=192.168.10.254 domain=thuis.local g\
ateway=\\\r\
\n 192.168.10.250\r\
\n#\r\
\n# Algemene andere dingetjes\r\
\n#\r\
\n/ip traffic-flow\r\
\nset active-flow-timeout=30m cache-entries=4k enabled=no \\\r\
\n inactive-flow-timeout=15s interfaces=all\r\
\n/ip upnp\r\
\nset allow-disable-external-interface=no enabled=yes show-dummy-rule=no\r\
\n/ip upnp interfaces\r\
\nadd disabled=no interface=bridge-local type=internal\r\
\nadd disabled=no interface=pppoe type=external\r\
\n/lcd\r\
\nset backlight-timeout=5m enabled=yes\r\
\n/system clock\r\
\nset time-zone-name=Europe/Amsterdam\r\
\n\r\
\n# Maak VLAN 4 en 7 aan en koppel deze (ook) aan poort 1\r\
\n\r\
\n/interface vlan\r\
\nadd interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4\r\
\nadd interface=ether1-gateway l2mtu=1594 name=vlan1.7 vlan-id=7\r\
\n\r\
\n# Maak een VLAN 7 aan op poort 10 om verkeer tagged naar de experiabox te \
sturen\r\
\n\r\
\nadd interface=ether10 l2mtu=1594 name=vlan10.7 vlan-id=7\r\
\n\r\
\n# Maak een bridge aan om VLAN4 te kunnen gaan gebruiken\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-iptv\r\
\n\r\
\n# Stop in deze bridge slechts het VLAN 4 en poort 6.\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-iptv interface=vlan1.4\r\
\nadd bridge=bridge-iptv interface=ether6\r\
\nadd bridge=bridge-iptv interface=ether7\r\
\nadd bridge=bridge-iptv interface=ether8\r\
\nadd bridge=bridge-iptv interface=ether9\r\
\n\r\
\n# Maak een bridge aan om VLAN7 te kunnen gaan gebruiken\r\
\n\r\
\n/interface bridge\r\
\nadd name=bridge-tel\r\
\n\r\
\n# Stop in deze bridge slechts het VLAN 7 van poort 1 en 10\r\
\n\r\
\n/interface bridge port\r\
\nadd bridge=bridge-tel interface=vlan1.7\r\
\nadd bridge=bridge-tel interface=vlan10.7\r\
\n\r\
\n# TCP80 naar 192.168.10.51/DS214PLUS (WEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.\
168.10.51\r\
\n\r\
\n# TCP5000 naar 192.168.10.51/DS214PLUS (SWEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=5000 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP5001 naar 192.168.10.51/DS214PLUS (SSWEB)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=5001 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP6690 naar 192.168.10.51/DS214PLUS (SCS)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=6690 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# TCP1723 naar 192.168.10.51/DS214PLUS (PPTP)\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=1723 protocol=tcp to-addresses=19\
2.168.10.51\r\
\n\r\
\n# UDP9 naar 192.168.10.41/DV-WS01\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=9 protocol=udp to-addresses=192.1\
68.10.41\r\
\n\r\
\n# TCP3389 naar 192.168.10.41/DV-WS01\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=19\
2.168.10.41\r\
\n\r\
\n# Hairpin NAT / NAT Loopback\r\
\n\r\
\n/ip firewall nat\r\
\nadd action=dst-nat chain=dstnat disabled=no dst-address=[ext. IP] to-ad\
dressess=192.168.10.51\r\
\nadd action=src-nat chain=srcnat disabled=no dst-address=192.168.10.51 to a\
ddresses=[ext. IP]\r\
\n\r\
\n# Internal traffic stays internal traffic\r\
\n\r\
\nadd action=masquerade chain=srcnat disbaled=no dst-address=192.168.10/24 s\
rc-address=192.168.10.0/24\r\
\n"
/system watchdog
set watchdog-timer=no
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=188.93.148.195 password=[password] user=info@damionverheij.nl
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
/tool romon
set enabled=yes
/tool traffic-monitor
add interface=bridge-local name=tmon1 threshold=0
add interface=wlan2 name=tmon2 threshold=0 traffic=received

Vraag

Alle reacties