Toon posts:

Mikrotik voor KPN experiabox op glasvezel

Pagina: 1

Acties:

4.463 views
Reageer

Onderwerpen

MikroTik Routerboard RB2011UiAS-2HnD-IN

geen prijs bekend

Modems en routers MikroTik

donderdag 29 september 2016 00:56

Acties:

0 Henk 'm!

Topicstarter

Hoi allemaal,

Ik krijg bij het importeren van de scripts van netwerkje.com in mijn nieuwe pas ge-upgrade (v6.37) RB2011Uias-2HnD de melding: expected end of command (line27 collumn 54) in winbox.
Bij het script van EagleEagle krijg ik exact dezelfde melding. (https://gathering.tweakers.net/forum/list_messages/1631663)
Ik kan nog niet heel veel met RouterOS.
Het enige wat inmiddels wel heel goed gaat is het weggooien van alle configuratie en een reboot.

Ik heb het idee dat ik alles goed doe, maar het zal wel weer niet.

Ik ben eigenlijk een noob hiermee. Ik hoopte dat het met importeren van bestaande scripts zou lukken. Door een scriptfout of interpretatiefout lukt dat dus niet zomaar.

Wat ik probeer te bereiken is : situatie 2 van netwerkje.com:
(Mikrotik RB2011UiAs-2HnD achter de glasvezel NTU,
IPTV en internet via de Mikrotik, telefonie via de xperiabox.
Om de mikrotik zoveel mogelijk te benutten:
poort 2,3,4,5 voor lan,
6 en 7 voor iptv,
8 en 9 lan,
10 telefonie.)
Kan iemand mij hiermee op gang helpen?

Ik vrees ook dat ik problemen krijg met de PPPoE aanmelding; iedereen heeft het over [MAC-adres]@direct-adsl als loginnaam maar in mijn xperiabox staat [MAC-adres]@internet met 6 blinde password karakters.

Er kan heel erg veel met de Mikrotik, veel meer dan nodig. Maar ik kloot graag, en dat kan met de Mikrotik wel... als ie het eenmaal doet.
Ik kan hem wel achter de xperiabox hangen.. maar daar heb ik hem niet voor.

ter info; dit is het script wat ik probeer te importeren:
Edit: script verwijderd; zie netwerkje.com

[ Voor 71% gewijzigd door Dakhaasje op 18-10-2016 00:59 . Reden: ff wat kleiner maken. ]

donderdag 29 september 2016 09:48

Acties:

0 Henk 'm!

MikroTik

Probeer het importeren in stukken op te knippen. Bijvoorbeeld per /

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 29 september 2016 15:40

Acties:

0 Henk 'm!

Topicstarter

[admin@MikroTik] > import 1.rsc

Script file loaded and executed successfully
[admin@MikroTik] > import 2.rsc
syntax error (line 4 column 5)
[admin@MikroTik] >

2.rsc:
#
# Poort 2 (ether2) = LAN
#
set 1 arp=enabled auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether2 speed=1Gbps
#

[ Voor 33% gewijzigd door Dakhaasje op 29-09-2016 15:41 ]

donderdag 29 september 2016 15:56

Acties:

0 Henk 'm!

Make my day...

Even voor de zekerheid, je weet wat de foutmelding: line 4 column 5 betekend?

donderdag 29 september 2016 15:58

Acties:

0 Henk 'm!

Topicstarter

line 4; de y-as, collumn 5; de x as. iets met de set 1 arp. maar ik zie de fout niet.

[ Voor 4% gewijzigd door Dakhaasje op 29-09-2016 16:03 ]

donderdag 29 september 2016 16:01

Acties:

0 Henk 'm!

Topicstarter

[admin@MikroTik] > import 3.rsc
expected end of command (line 6 column 30)
[admin@MikroTik] >
3.rsc:
#
# VLAN 4 = IPTV
#

/interface vlan
add interface=ether1-gateway l2mtu=1594 name=vlan1.4 vlan-id=4
add interface=ether6 l2mtu=1594 name=vlan6.4 vlan-id=4
add interface=ether7 l2mtu=1594 name=vlan7.4 vlan-id=4

ik begin te denken dat de update niet goed is gegaan of zo en dat de router fouten verzint.

donderdag 29 september 2016 16:03

Acties:

0 Henk 'm!

Make my day...

Specifiek het cijfer 1 of het commando arp. Nu begin je in 2.rsc niet met

/interface ethernet

Pas dat dus even aan naar

/interface ethernet
#
# Poort 2 (ether2) = LAN
#
set 1 arp=enabled auto-negotiation=yes \
disabled=no full-duplex=yes l2mtu=1598 \
mtu=1500 name=ether2 speed=1Gbps
#

En kijk dan eens of hij 2.rsc wel leest

donderdag 29 september 2016 16:10

Acties:

0 Henk 'm!

Topicstarter

2.rsc doet hij nu wel

import 2b.rsc
expected end of command (line 5 column 54)
[admin@MikroTik] >
2b.rsc:
#
# VLAN 6 = internet, deze koppelen we aan de fysieke interface ether1-gateway.
#
/interface vlan
add arp=enabled disabled=no interface=ether1-gateway l2mtu=1594 mtu=1500 \
name=vlan1.6 use-service-tag=no vlan-id=6
add interface=ether6 l2mtu=1594 name=vlan6.6 vlan-id=6
add interface=ether7 l2mtu=1594 name=vlan7.6 vlan-id=6

waarom doet ie zo? als bij EagleEagle dezelfde code wel werkt, en bij mij niet?

is het dan niet handiger om te downgraden?

[ Voor 95% gewijzigd door Dakhaasje op 29-09-2016 16:34 ]

donderdag 29 september 2016 16:59

Acties:

0 Henk 'm!

MikroTik

wat eventueel ook een mogelijkheid is:
Je kunt deze commando's ook direct in de console dumpen.
Dus stap voor stap. Ga eerst naar het goede menu dus de / regel
daarna voor elke regel los uit. Dit geeft beter troubleshoot mogelijkheden. Want het kan best zijn dat jouw ether1 interface anders heet.

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

donderdag 29 september 2016 17:37

Acties:

0 Henk 'm!

Topicstarter

Dankjewel, Ik ga even wat stoeien. Eerst maar weer een config reset

[img=https://i.imgsafe.org/1143a3379f.jpg[/img]

[img=https://i.imgsafe.org/1143b02ce5.jpg[/img]

[ Voor 105% gewijzigd door Dakhaasje op 14-12-2016 10:58 . Reden: imghost ]

donderdag 29 september 2016 18:56

Acties:

0 Henk 'm!

MikroTik

Je ziet daar toch heel goed wat er mis is? De l2mtu settings zijn er blijkbaar ooit uitgegooid voor vlan interfaces. Dus dan kun je 'm weglaten.

De MikroTik-config syntax is aan veranderingen onderhevig, that's all.

vrijdag 30 september 2016 01:22

Acties:

0 Henk 'm!

Topicstarter

De MikroTik-config syntax is aan veranderingen onderhevig, that's all.

Dat had ik ook al uitgefigulierd.

Ik zal dan toch aan de slag moeten met programmeren. echt niet mijn hobby.
Ik kijk wel even hoever ik ermee kom. Ik snap wat er staat in de scripts, maar fouten eruit halen of code reproduceren...

Het nieuwe plan is: stoeien met de scripting, wiki erbij en code aanpassen tot er geen foutmeldingen meer zijn en dan kijken of t werkt.
Dank jullie voor jullie hulp tot nu toe!

Wordt vervolgd!

vrijdag 30 september 2016 15:40

Acties:

0 Henk 'm!

Topicstarter

Afbeeldingslocatie: http://www.dstclan.nl/mikrotik/ppp-error.jpg

^{sorry, domein opgeheven}

Iemand een idee hoe dit op te lossen?
In de handleiding staat bij voorbeeld: /interface pppoe-client ; bad command name.
dat vindt ie al niet leuk. als ik nou de handleiding al niet kan vertrouwen...

http://wiki.mikrotik.com/wiki/Manual:Interface/PPPoE

Oké, hetgeen waarvan ik dacht dat niet zou werken, was het enige wat wel werkte; de aanmelding.

het gebruikte script: http://www.dstclan.nl/mikrotik/dakhaas.rsc^{sorry, domein opgeheven}
telefoon werkte ook.
geen internet, (dns?) en geen iptv.

edit 4-10-2016: hmmm, iptv moet over de xperiabox gaan omdat de rb2011 geen igmp snooping kan.
edit 17-10-2016: iptv wel in de juiste ports doen:-) als je 8-9 programmeert, niet 6 en 7 proberen

[ Voor 77% gewijzigd door Dakhaasje op 14-12-2016 11:00 . Reden: nieuwe inzichten ]

dinsdag 4 oktober 2016 10:19

Acties:

0 Henk 'm!

Vul op de command line met de hand eens /ppp profile in werkt het dan wel?
Kom je dan in admin@mikrotik /ppp profile> ?
En iets anders volgens mij is alles wat daar staat al default zo in gesteld.
Als je /ppp profile print in vult krijg je te zien wat er al aangemaakt is. Dikke kans dat alles er al staat.
Dan kun je dat gewoon overslaan.

De 2e foutmelding die je krijg is omdat de regel niet klopt.
use-compression=default in je screen shot mist default.

Ik zou de regels met die niet werken met de hand doen en gebruik maken van de autocompletion.
Je begint met typen en als je de eerste paar letters van je commando ingetikt hebt druk je 2 maal op tab.
Dan maakt ie het automatisch af of laat je opties zien.
Als ik bijv /ppp profile set in typ en dan 2 keer tab doe krijg ik alle opties te zien die ik kan instellen.
Ik denk dat je zo een stuk gemakkelijker kunt debuggen.

[ Voor 44% gewijzigd door kaaas op 04-10-2016 10:27 ]

dinsdag 4 oktober 2016 10:30

Acties:

0 Henk 'm!

Waarom haal je een router die je niet eens zelf in kunt stellen?

Bij ppp profile moet het gedeelte met > set 0.... achter het /ppp gedeelte. Tenminste daar kom ik op uit als ik de handleiding lees. Heel vaak is het zo dat je of eerst in het menu moet komen. Of de waardes meteen mee moet geven.

woensdag 5 oktober 2016 10:21

Acties:

0 Henk 'm!

@.Maarten
Wat daar staat kan wel hoor als je eerst /ppp profile uit voert kom je in dat menu gedeelte en kun je daarna set uit voeren zonder eers /ppp profile in te typen.
Maar wat jij zegt kan je kunt het ook gewoon op 1 regel uitvoeren.

Geef hem een beetje slack hij probeert iets nieuws te leren je moet ergens beginnen.

woensdag 5 oktober 2016 14:19

Acties:

0 Henk 'm!

Topicstarter

.Maarten schreef op dinsdag 04 oktober 2016 @ 10:30:
Waarom haal je een router die je niet eens zelf in kunt stellen?

Dank je, Kaaas.
Ik meen het ook al ergens vermeld te hebben wat de exacte reden was; prijs/mogelijkheden/uitdaging.

Ik heb niet eens heel veel moeite gedaan om te kijken of de regels in het script exact overeenkwamen met dat wat al default aanwezig was omdat er bij het commentaar stond 'heel standaard allemaal'. het hele blokje /ppp profile heb ik toen weggelaten. Ik zal nog eens kijken.

[ Voor 56% gewijzigd door Dakhaasje op 05-10-2016 14:28 ]

zaterdag 15 oktober 2016 16:58

Acties:

0 Henk 'm!

Topicstarter

Ik heb hem werkend!

De frustraties van de nukken en gebreken van de xperiabox liepen uiteindelijk hoger op dan de nood voor het overige werk thuis.

De ppp instellingen bleken hetzelfde als de defaults. Ik had nog even problemen met de pppoe inlog maar de standaard bleek toch wel te werken: [mac]@internet wachtwoord kpn.
Telefonie werkt naar behoren op xperiabox. IPTV werkt ook goed.
De GUI is zo uitgebreid dat ik sneller en gemakkelijker in de terminal werk met de 'Kaaas-Methode". Dank hiervoor! (2x tab na commando, 'print' voor overzichten)
Nu nog even wat finetunen (backup gemaakt), wifi aanslingeren en klaar!
$_/-\o_$ $_/-\o_$ $_/-\o_$ rohaantje, Speedmaster, Thralas, .Maarten en kaaas : Hartelijk bedankt voor jullie hulp! $_/-\o_$ $_/-\o_$ $_/-\o_$
Ik ben nog geen expert, maar RouterOS is niet gemaakt om moeilijk te zijn :-)

zaterdag 15 oktober 2016 17:15

Acties:

0 Henk 'm!

MikroTik

Dakhaasje schreef op zaterdag 15 oktober 2016 @ 16:58:
Ik heb hem werkend!

De ppp instellingen bleken hetzelfde als de defaults. Ik had nog even problemen met de pppoe inlog maar de standaard bleek toch wel te werken: [mac]@internet wachtwoord kpn.

Je krijgt zelfs een sessie zonder un/pw, volgens mij maakt het niet uit wat je invult.

Ik ben nog geen expert, maar RouterOS is niet gemaakt om moeilijk te zijn :-)

Nog een tip als je het gebrek aan IGMP snooping wilt compenseren: met een bridge filter kun je het multicastverkeer ook van de non-TV poorten filteren:

code:

1 2	/interface bridge filter add action=drop chain=output mac-protocol=ip out-interface=!ether2-stb src-address=213.75.167.0/24

Heeft wel tot gevolg dat bridge 'fastpath' niet meer werkt: als ik op m'n hAP AC een poort richting de 1 Gbit/s trek dan begint IPTV wat te klapperen. Misschien kun je daar op de RB2011 omheen werken omdat je toch 2 swtichchips hebt (en de STB dus aan de fast ethernet switch kunt hangen).

maandag 17 oktober 2016 02:32

Acties:

0 Henk 'm!

Topicstarter

De STB's hangen aan de ingestelde poorten (8 en 9). Op Glas-HD trekken ze er moeiteloos 14Mbps overheen. Ik zat te denken om ze eventueel bij gezeik een ip-nummer te geven. Maar voorlopig hangen ze daar goed.
De switch gebruik ik nog niet zo, er hangt een netgear 8p Gb switch achter waar ik net nog 85 MB/s overheen joeg van pc naar pc. Hdd is niet sneller.

Ik heb nu te vroeg wat camera's alvast op de Mikrotik gezet. en die gooit ze er nu uit omdat ik wlan niet goed ingesteld had. (deauth). Ik heb de ene nu wel nodig om de hond in de gaten te houden na zijn operatie.

ACL lijst gevuld. t werkt. welterusten

edit 17-10-2016: Dat gedeelte over de IGMP snooping begrijp ik niet helemaal.
Als ik nou gewoon de beide STB's hun eigen dedicated lijntje laat houden op port 8 en 9, met hun eigen vlan... Dan maakt wel of geen IGMP toch niks uit? of gaat de router dan toch al die data stiekem toch over de rest van de poorten gooien?
Als ik nou in de toekomst IPTV via een andere switch(met vlan ondersteuning) wil laten lopen, moet ik daar dan wel rekening mee gaan houden?

ter info: dit was de situatie vooraf: en de situatie nu:

Afbeeldingslocatie: http://www.dstclan.nl/mikrotik/netwerk-3tmb.jpg

...................

Afbeeldingslocatie: http://www.dstclan.nl/mikrotik/netwerk4tmb.jpg

[ Voor 56% gewijzigd door Dakhaasje op 18-10-2016 01:30 ]

maandag 17 oktober 2016 10:56

Acties:

0 Henk 'm!

Verwijderd

@Dakhaasje

Zou je jouw laatste werkende config kunnen posten voor Mikrotik noobs als mij?

Mijn huidige config werkt net niet. TV werkt, ping vanaf router werkt maar internet werkt niet vanaf wifi en lan.

Alvast bedankt!

maandag 17 oktober 2016 13:57

Acties:

0 Henk 'm!

Topicstarter

Verwijderd schreef op maandag 17 oktober 2016 @ 10:56:
@Dakhaasje

Zou je jouw laatste werkende config kunnen posten voor Mikrotik noobs als mij?

Die staat ergens als bijlage in mijn post van 30 september.. dat was de foute ja.
Dit moet de goede zijn.171016.export
Let op: je kunt hem niet exact zo gebruiken; alleen bedoeld ter vergelijking(ip/mac adressen en -lijsten zijn eruit)

Als je met je pc wel bij je router kunt en met je router ook bij internet maar niet met je pc bij internet, krijg je dan misschien 'DNS foutmeldingen'? http://public-dns.info/nameserver/nl.html Ik heb er een paar van die bij gezet.

Of heb je net als ik misschien ergens(pc?) je gateway niet ingesteld op de Mikrotik-lan-ip, en staat deze nog gewoon op 192.168.2.254.

[ Voor 23% gewijzigd door Dakhaasje op 17-10-2016 18:22 ]

maandag 17 oktober 2016 18:37

Acties:

+1 Henk 'm!

MikroTik

Dakhaasje schreef op maandag 17 oktober 2016 @ 02:32:
Als ik nou gewoon de beide STB's hun eigen dedicated lijntje laat houden op port 8 en 9, met hun eigen vlan... Dan maakt wel of geen IGMP toch niks uit? of gaat de router dan toch al die data stiekem toch over de rest van de poorten gooien?
Als ik nou in de toekomst IPTV via een andere switch(met vlan ondersteuning) wil laten lopen, moet ik daar dan wel rekening mee gaan houden?

Nee, en nee. Alleen als je IPTV wilt routeren heb je die problematiek. In je huidige opstelling is alles dus prima.

dinsdag 18 oktober 2016 01:42

Acties:

0 Henk 'm!

Goed bezig $_/-\o_$

[ Voor 169% gewijzigd door Dakhaas_ op 18-10-2016 15:32 ]

woensdag 19 oktober 2016 15:18

Acties:

0 Henk 'm!

Topicstarter

Hoe krijg ik nou mijn ip-camera's goed werkend? ze zijn dmv een app normaal gesproken van 'buiten' te bereiken(p2p denk ik). Ik kom bij de wiki steeds ergens waar staat dat het niet voor versie 6.x is. De poorten voor de oudere cams staan open, dacht ik. maar dat blijkt niet zo te zijn van buiten zie ik niks op welke app dan ook.

code:

[small]# oct/19/2016 15:16:14 by RouterOS 6.37
# software id = G9V7-466X
#
/ip firewall address-list
add address=192.168.2.0/24 list=allemaal
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=\
    tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe protocol=tcp src-port=21 to-addresses=192.168.2.2
add action=dst-nat chain=dstnat dst-port=82 in-interface=pppoe protocol=tcp src-port=82 to-addresses=192.168.2.8 to-ports=82
add action=dst-nat chain=dstnat dst-port=81 in-interface=pppoe protocol=tcp src-port=81 to-addresses=192.168.2.39 to-ports=81
add action=dst-nat chain=dstnat dst-port=83 in-interface=pppoe protocol=tcp src-port=83 to-addresses=192.168.2.13 to-ports=83
[admin@MikroTik] /ip firewall> 
  [/small]

Alleen de camera op 192.168.2.8 doet het.

woensdag 19 oktober 2016 18:47

Acties:

0 Henk 'm!

MikroTik

Zet je code tussen [code][/code] tags, dat leest makkelijker

Anyhow, in je dstnat rules match je op source ports, terwijl verkeer van een willekeurige (en waarschijnlijk hoge) poort komt. Haal die weg en het werkt.

Overigens, waar heb je die firewall vandaan? Hij lijkt niet compleet, en je hebt uberhaupt geen forward chain? Misschien handig om met de MikroTik default firewall te beginnen..

woensdag 19 oktober 2016 20:16

Acties:

0 Henk 'm!

Topicstarter

Overigens, waar heb je die firewall vandaan? Hij lijkt niet compleet, en je hebt uberhaupt geen forward chain? Misschien handig om met de MikroTik default firewall te beginnen..

misschien is t handiger om de procedures van de opzet van de firewall uit te leggen.
ik ben maar getraind in systeem-ontwerp ; van de code zelf snap ik niks.

Ik ben bang dat ik de dc-jack van mijn Dell e6420 eerder heb vervangen, inclusief maand wachten op jack uit China, dan dat de Mikrotik helemaal naar wens af is. - add-.. oh het mobo van de laptop ook al vervangen en de fw is nog nie goe.

[ Voor 78% gewijzigd door Dakhaasje op 06-02-2017 11:13 . Reden: leesbaarheid ]

vrijdag 28 oktober 2016 14:44

Acties:

0 Henk 'm!

Topicstarter

Ik kan nog steeds niet bij mijn nvr en camera's van buitenaf. enig idee wat de oorzaak is? De camera's hebben over het algemeen vaste poorten. De enige die wel werkt is die op poort 82. Dit is overigens van hetzelfde merk en type als die op poort 81. Met de p2p-apps kan ik er wel bij.

code:

1	niet meer actueel

Ik zie het niet. Maak ik ergens een denkfout of doe ik het gewoon niet goed?

[ Voor 175% gewijzigd door Dakhaasje op 06-02-2017 11:07 ]

vrijdag 28 oktober 2016 15:22

Acties:

0 Henk 'm!

MikroTik

Je hebt nog niets gedaan met de constatering die ik hier deed: Thralas in "Mikrotik voor KPN experiabox op glasvezel"

maandag 31 oktober 2016 23:48

Acties:

0 Henk 'm!

Topicstarter

hmm @Thralas De camera's maken echt gebruik van die poorten(ingesteld in de camera software) , de camera's die dat niet doen, maken gebruik van upnp. overigens werken die ook niet. ze gebruiken idd meer poorten, maar dat zou door het 'related' statement ondervangen moeten worden.

[ Voor 26% gewijzigd door Dakhaasje op 05-11-2016 14:34 ]

dinsdag 1 november 2016 16:31

Acties:

0 Henk 'm!

Zoals Thralas zegt verwijder de src-port optie uit je nat regels. Je hebt alleen een dst-port nodig.
En ik ben ook met zoals eerder getipt eens ,begin met een basis firewall kijk of het dan werkt en voeg dan al je opties toe.

Dus trek je internet kabel er even uit pleur al je nat en firewall regels weg en begin opnieuw.
script voor default nat en firewall
http://wiki.mikrotik.com/...all.2C_NAT_and_MAC_server
Verander de interface met je internet verbinding naar de juiste naam in jouw geval pppoe

Dan je portforwards naar je cameras aanmaken.

Kijk naar de nat voorbeelden hier en lees de rest van de pagina ook.
http://wiki.mikrotik.com/...ng_to_internal_FTP_server

Wees systematisch na de default instellingen toegepast te hebben 1 portforward regel aanmaken testen bij succes verder.

woensdag 2 november 2016 16:52

Acties:

+1 Henk 'm!

En uiteraard niet vergeten de default wachtwoorden aanpassen van je camera's voor je het weet ben je onderdeel van een iot botnet.

woensdag 2 november 2016 19:20

Acties:

0 Henk 'm!

IT Security Nerd

Dakhaasje schreef op vrijdag 28 oktober 2016 @ 14:44:
Ik kan nog steeds niet bij mijn nvr en camera's van buitenaf. enig idee wat de oorzaak is? De camera's hebben over het algemeen vaste poorten. De enige die wel werkt is die op poort 82. Dit is overigens van hetzelfde merk en type als die op poort 81. Met de p2p-apps kan ik er wel bij.

code:

/ip firewall address-list
add address=192.168.2.0/24 list=allemaal
add address=192.168.2.143 list=android143
add address=192.168.2.144 list=android144
add address=192.168.2.80 list=tenda
/ip firewall filter
add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 \
    protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" log=yes log-prefix=portscan-drop src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input connection-state=invalid disabled=yes log=yes log-prefix=drop12
add action=accept chain=input in-interface=bridge-local
add action=drop chain=input disabled=yes log=yes log-prefix=drop14
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=drop chain=forward connection-state=invalid disabled=yes log=yes log-prefix=drop-invalid
add action=accept chain=forward in-interface=bridge-local
add action=accept chain=forward in-interface=bridge-iptv
add action=accept chain=forward in-interface=bridge-tel
add action=accept chain=forward in-interface=bridge-local out-interface=pppoe
add action=accept chain=forward dst-address=192.168.2.39 dst-port=81 protocol=tcp
add action=accept chain=forward dst-address=192.168.2.8 dst-port=82 protocol=tcp
add action=accept chain=forward dst-address=192.168.2.2 dst-port=21 protocol=tcp
add action=accept chain=forward dst-address=192.168.2.10 dst-port=95,2020,2021,2022,2023 protocol=tcp
add action=accept chain=forward dst-address=192.168.2.143
add action=accept chain=forward in-interface=bridge-local out-interface=pppoe
add action=accept chain=output out-interface=pppoe
add action=accept chain=forward dst-address=192.168.2.13 p2p=all-p2p
add action=accept chain=forward dst-address=192.168.2.8 p2p=all-p2p
/ip firewall mangle
add action=change-mss chain=forward dst-address=192.168.2.13 dst-port=83 in-interface=ether1-gateway log=yes log-prefix=fire- new-mss=1440 passthrough=yes \
    port="" protocol=tcp src-port="" tcp-flags=syn tcp-mss=1441-65535
add action=change-mss chain=forward in-interface=all-ppp log=yes log-prefix=fire- new-mss=1440 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1441-65535
add action=accept chain=forward dst-address=192.168.2.39 in-interface=ether1-gateway log=yes log-prefix=fire- p2p=all-p2p
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.0.0/16 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe protocol=tcp src-port=21 to-addresses=192.168.2.2
add action=dst-nat chain=dstnat dst-port=82 in-interface=pppoe protocol=tcp src-port=82 to-addresses=192.168.2.8 to-ports=82
add action=dst-nat chain=dstnat dst-port=81 in-interface=pppoe protocol=tcp src-port=81 to-addresses=192.168.2.39 to-ports=81
add action=dst-nat chain=dstnat dst-port=83 in-interface=pppoe protocol=tcp src-port=83 to-addresses=192.168.2.13 to-ports=83
add action=src-nat chain=srcnat out-interface=pppoe to-addresses=censuur
add action=dst-nat chain=dstnat dst-address=censuur dst-port=83 protocol=tcp to-addresses=192.168.2.13

Ik zie het niet. Maak ik ergens een denkfout of doe ik het gewoon niet goed?

De Action bij je NAT-Rules hoost dst-nat te zijn, die zie ik niet.
Probeer eens:

code:

1	/ip firewall nat add chain=dstnat dst-address=JouwAdres dst-port=83 protocol=tcp to-addresses=192.168.2.13 to-ports=jouwinternepoort action=dst-nat

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 4 november 2016 18:45

Acties:

0 Henk 'm!

Topicstarter

ik ga er eens naar kijken. nu even niet, hond is ziek en zijn camera is de enige die het goed doet nu.
@ShadowAS1: geen effect met dst-nat. helemaal opnieuw beginnen komt nu eerst. ik gok op t weekend met de planning.t wordt

een spoedklus: kpn quarantainenet...

code:

# Onderstaande regels zorgen dat bijvoorbeeld de webinterface en de ssh poort niet van buitenaf te bereiken zijn.
# Ook sluit je een eventuele DNS server af voor de buitenwereld.
# Neem je de volgende twee regels niet mee in je eigen configuratie dan krijg je vanzelf bericht van KPN
# dat je verbinding is geblokkeeerd vanwege een "open DNS" of soortgelijke reden. Dan heb je geen internet meer.
# Voorkom dit dus vooral en neem deze basis firewall regels mee in je configuratie.
#
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable
#

moet je dus niet zomaar verwijderen

Nieuwe firewall opgebouwd.

wel raar. op de udp poort komt ongeveer 2 KiB/s binnen.

lijkt alsof hiermee iets belangrijks geblokkeerd wordt. De camera's gebruiken ook udp voor hun p2p en cloud services.

[ Voor 112% gewijzigd door Dakhaasje op 09-11-2016 10:22 ]

vrijdag 4 november 2016 18:47

Acties:

0 Henk 'm!

Topicstarter

kaaas schreef op woensdag 02 november 2016 @ 16:52:
En uiteraard niet vergeten de default wachtwoorden aanpassen van je camera's voor je het weet ben je onderdeel van een iot botnet.

dat is t eerste wat er altijd gebeurt met nieuwe apparatuur :-). (monteur KPN stond wel even raar op zijn neus te kijken toen hij glasvezel kwam aanleggen en de xperiabox niet in kwam...)

[ Voor 17% gewijzigd door Dakhaasje op 04-11-2016 18:50 ]

woensdag 9 november 2016 19:38

Acties:

0 Henk 'm!

Topicstarter

Dat ging goed! (not!)
ik gooi igmp regels weg, kpn sluit mij af, ik sluit xperiabox weer aan, gooi nieuwe standaard firewall in mikrotik.. en alles zou moeten werken,
niet dus. kpn sluit mij weer aan. xperiabox er weer tussenuit na paar uur, geen internet, wel ppp connect.
backup van oude code er weer in.. en hij loopt als n zonnetje.
Terug bij af!

zondag 20 november 2016 15:13

Acties:

0 Henk 'm!

Topicstarter

Hé, ik ben er net achter dat ctrl-v verantwoordelijk was voor dat wat het doet.

zondag 20 november 2016 15:26

Acties:

0 Henk 'm!

Topicstarter

kaaas schreef op dinsdag 01 november 2016 @ 16:31:

http://wiki.mikrotik.com/...all.2C_NAT_and_MAC_server
Verander de interface met je internet verbinding naar de juiste naam in jouw geval pppoe

Dan je portforwards naar je cameras aanmaken.

Kijk naar de nat voorbeelden hier en lees de rest van de pagina ook.
http://wiki.mikrotik.com/...ng_to_internal_FTP_server

Lijkt allemaal mooi en aardig, maar in praktijk lijkt het er wel op alsof het alleen geldt voor binnenkomend verkeer. De antwoorden hierop komen simpelweg niet aan bij de p2p host.

Ik overweeg alsnog een andere router te kopen. Het moet gewoon werken. De Mikrotik kwam omdat er altijd gekloot was met de stabiliteit. Nu is het ook stabiel: het werkt niet. Daarbij krijg ik de wifi niet goed gekoppeld aan de rest; een los AP aan een utp poort werkt beter.

Wel jammer.. ik heb het idee dat ik er bijna ben.. tv en telefonie werken uitstekend.
_{(Ik vermoed dat mijn analytisch en hbo denk- en werkvermogen verleden tijd is. Het komt simpelweg niet meer aan. Vroeger had ik het allang geleerd. Ik zal eens navragen bij mijn neuroloog of het bij het ziektebeeld hoort. )}

[ Voor 13% gewijzigd door Dakhaasje op 20-11-2016 16:02 ]

zondag 20 november 2016 16:46

Acties:

0 Henk 'm!

Topicstarter

code:

# Neem je de volgende twee regels niet mee in je eigen configuratie dan krijg je vanzelf bericht van KPN
# dat je verbinding is geblokkeeerd vanwege een "open DNS" of soortgelijke reden. Dan heb je geen internet meer.
# Voorkom dit dus vooral en neem deze basis firewall regels mee in je configuratie.
#
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable

zorgt ervoor dat praktisch alles geblokkeerd wordt als ik even op de wifi van de buren al mijn camera's tegelijk raadpleeg.
logboek:

code:

16:42:52 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04..., proto TCP (SYN), 43.241.220.147:60839->mijnip:8088, prio 1-
>0, len 40 
16:43:42 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04:....., proto TCP (SYN), 122.116.240.203:41012->mijnip, prio 1->
0, len 40 
16:43:49 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04:..., proto TCP (SYN), 139.162.168.200:50745->mijnip:55554, prio 
1->0, len 40 
16:44:23 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04..., proto TCP (RST), 45.58.74.161:443->mijnip:57399, prio 1->0,
 len 40

Dat moet toch anders kunnen...

[ Voor 4% gewijzigd door Dakhaasje op 20-11-2016 16:50 ]

zondag 20 november 2016 17:47

Acties:

0 Henk 'm!

MikroTik

Dakhaasje schreef op zondag 20 november 2016 @ 16:46:

code:

# Neem je de volgende twee regels niet mee in je eigen configuratie dan krijg je vanzelf bericht van KPN
# dat je verbinding is geblokkeeerd vanwege een "open DNS" of soortgelijke reden. Dan heb je geen internet meer.
# Voorkom dit dus vooral en neem deze basis firewall regels mee in je configuratie.
#
add action=reject chain=input in-interface=pppoe protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe protocol=udp reject-with=icmp-port-unreachable

zorgt ervoor dat praktisch alles geblokkeerd wordt als ik even op de wifi van de buren al mijn camera's tegelijk raadpleeg.

Daar geloof ik niets van. Naast het feit dat ik geen idee heb wat je met 'praktisch alles geblokkeerd wordt' bedoelt, omvatten die twee regels de input chain. Verkeer naar je camera's gaat daar in ieder geval nooit overheen.

Je kunt die twee regels beter vervangen voor één enkele DROP zonder voorwaarden (tcp, udp). Nu laat je alsnog non-tcp/udp-verkeer toe.

Doe datzelfde op je FORWARD chain, want al die tientallen rules die je nu hebt hebben geen enkel effect - alles dat geen rule matchet wordt namelijk geaccepteerd.

logboek:

code:

16:42:52 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04..., proto TCP (SYN), 43.241.220.147:60839->mijnip:8088, prio 1-
>0, len 40 
16:43:42 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04:....., proto TCP (SYN), 122.116.240.203:41012->mijnip, prio 1->
0, len 40 
16:43:49 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04:..., proto TCP (SYN), 139.162.168.200:50745->mijnip:55554, prio 
1->0, len 40 
16:44:23 firewall,info reject_ input: in:pppoe out:(none), src-mac 94:04..., proto TCP (RST), 45.58.74.161:443->mijnip:57399, prio 1->0,
 len 40

Dat moet toch anders kunnen...

Waar zie jij hier relevant verkeer? Ik zie internetruis en een RST van Dropbox die hoogstwaarschijnlijk op de INPUT chain belandt omdat connection tracking die connectie alweer vergeten was.

maandag 21 november 2016 10:28

Acties:

0 Henk 'm!

Dakhaasje

Ben je er van op de hoogte dat hij van boven naar beneden door de firewall regels heen gaat.
De eerste hit die hij heeft wordt toegepast alles wat daarna komt bekijkt hij niet meer.
Als jij je drop regel boven je uitzonderingen hebt komt hij dus nooit bij de uitzonderingen van je camera.
Ik weet niet of dat aan de hand is maar het zou een hoop kunnen verklaren

maandag 21 november 2016 14:46

Acties:

0 Henk 'm!

Topicstarter

ehm. verwijderen?

[ Voor 95% gewijzigd door Dakhaasje op 21-11-2016 14:54 . Reden: dubbelpost ]

maandag 21 november 2016 14:53

Acties:

0 Henk 'm!

Topicstarter

Thralas schreef op zondag 20 november 2016 @ 17:47:

Waar zie jij hier relevant verkeer? Ik zie internetruis en een RST van Dropbox die hoogstwaarschijnlijk op de INPUT chain belandt omdat connection tracking die connectie alweer vergeten was.

zag ik maar ergens relevant verkeer...

oké, het is maar 0,5% wat ie reject. (10% van de packets) maar dat is wel veel teveel! In het complete log zullen vast wel wat relevante regels zitten; er wordt zoveel gedropt/gereject dat ik enkel de laatste paar hier maar als voorbeeld heb genomen.

Één regel resulteerde in zoveel drops dat ik hem maar als forward accept heb gezet.. en zo ook in log opgenomen.

mijn hostingprovider doet moeilijk.

ftp ligt er ook uit (wel betaald!) verlenging misgegaan.

[ Voor 17% gewijzigd door Dakhaasje op 19-01-2017 18:07 . Reden: plaatjeshost ]

maandag 21 november 2016 15:31

Acties:

0 Henk 'm!

Topicstarter

kaaas schreef op maandag 21 november 2016 @ 10:28:
Dakhaasje

Ben je er van op de hoogte dat hij van boven naar beneden door de firewall regels heen gaat.
De eerste hit die hij heeft wordt toegepast alles wat daarna komt bekijkt hij niet meer.

meteen aangepast. ik zie al wel meer effect bij de forwards. Documenteren en ordenen resulteert in wat meer effectieve regels. Die simpele dingen...

$_/-\o_$

[ Voor 10% gewijzigd door Dakhaasje op 21-11-2016 18:05 ]

maandag 21 november 2016 17:03

Acties:

0 Henk 'm!

Topicstarter

hoe kan ik snel adressen blokkeren/ toestaan? het lijkt handig gewoon mijn telefoon of de camera bij de buren toegang te geven. hier op de prairie is dat vast niet zo gevaarlijk als in the big city zoals Doetinchem of zo.

[ Voor 65% gewijzigd door Dakhaasje op 19-01-2017 18:07 ]

maandag 21 november 2016 18:43

Acties:

0 Henk 'm!

MikroTik

kaaas schreef op maandag 21 november 2016 @ 10:28:
Dakhaasje

Ben je er van op de hoogte dat hij van boven naar beneden door de firewall regels heen gaat.
De eerste hit die hij heeft wordt toegepast alles wat daarna komt bekijkt hij niet meer.
Als jij je drop regel boven je uitzonderingen hebt komt hij dus nooit bij de uitzonderingen van je camera.
Ik weet niet of dat aan de hand is maar het zou een hoop kunnen verklaren

Een goede opmerking, en TS claimt hierboven ook dat het geholpen heeft.

Máár, alle DROP rules in de laatste firewall config dump van TS zijn disabled of zitten helemaal niet op de FORWARD chain. Dat klopt dus voor geen meter.

Ik stel voor dat TS dit advies (en mijn eerdere post) ter harte neemt, en als er nog iets is ons allereerst van een actuele representatie van z'n firewall config voorziet, anders ben ik er wel een beetje klaar mee, ben geen waarzegger.

maandag 21 november 2016 19:06

Acties:

0 Henk 'm!

Ik ben het helemaal met Thralas eens. Het is met deze losse flarden vrij lastig door de bomen door het bos te zien.
Ik wil best een set firewall regels voor je maken als je me genoeg info geeft.
Ik zal er zo veel mogelijk commentaar in proppen zodat je een idee hebt hoe het werkt.
Dan kun je daarna alles aanpassen naar wens, maar dan heb je in ieder geval een werkende basis. En misschien genoeg voorbeelden om uit te dokteren wat je moet doen.

Thralas heb je zin om mee te helpen het is altijd fijn als er 2 mensen naar kijken zeker als ik hem zelf niet kan testen.

Wat ik graag zou willen is je huidige volledige firewall, dan kan ik ongeveer zien wat je van plan was.
Dan zou ik graag in tekst willen wat je daadwerkelijk van plan bent, Inclusief poorten ip adressen enz
Graag ook de interface waar je internet aansluiting aan zit.
En vast nog dingen die ik ben vergeten.

Dan post ik hier wel een aangepaste versie die je kunt gebruiken. Ik heb anders het idee dat het nog vrij lang gaat duren voordat we er uit zijn.

Voor het exporteren van je firewall typ:

code:

1	ip firewall export

Gaarne hier plakken

Het gebruiken van mac adressen om door de firewall heen te komen zal niet lukken als je van buiten je eigen netwerk komt. Als je van buiten jouw netwerk komt, komt jouw mac adres helemaal niet bij je firewall aan. Ik zou voor dat soort zaken naar een vpn kijken.

[ Voor 10% gewijzigd door kaaas op 22-11-2016 08:47 ]

woensdag 23 november 2016 14:02

Acties:

0 Henk 'm!

Topicstarter

Gaarne hier plakken

*verwijderd* d'r gebeurt niks mee.

[ Voor 98% gewijzigd door Dakhaasje op 06-02-2017 11:06 . Reden: leesbaarheid ]

woensdag 23 november 2016 14:11

Acties:

0 Henk 'm!

Topicstarter

firewall effect:

Afbeeldingslocatie: https://i.imgsafe.org/1143d9307b.jpg

[code][admin@MikroTik] /ip>> arp export
# nov/23/2016 14:16:37 by RouterOS 6.37
# software id = G9V7-466X
#

[/quote]
Wenselijke situatie: de camera's van buiten en binnen te bekijken met ispy, nvr, ipcam app, en p2p apps.
FTP werkend van buiten en binnen.
ispy server bereikbaar van buiten,
goede verbinding van de android apparaten(voorrang?).
dat was het wel denk ik.

[ Voor 236% gewijzigd door Dakhaasje op 06-02-2017 11:04 . Reden: tbv leesbaarheid ]

donderdag 24 november 2016 18:57

Acties:

+1 Henk 'm!

Ik ga er volgende week mee bezig. Ik zit nu midden in een verhuizing/klussen.

zondag 27 november 2016 16:36

Acties:

0 Henk 'm!

Topicstarter

Het maakt niet uit welke acces point ik gebruik, met wifi kom ik gewoon internet niet op, met geen enkele android / w10- tablet of zelfs w10pc met wifistick. met kabel wel; ook met kabel op die ap.
Dat is toch raar... Maakt niet uit of ik bij de ap dns instel of niet.
geteste ap's:
netgear wnr3500v2
asus n56
tenda
tp-link c2 / 1034nd

ik doe eens wat raars: voeg 192.168.2.0/24 toe aan 'veilig'lijst. hé ik krijg beeld op destentor.nl! hebben we vogelgriep in nederland?
maw. firewal is het probleem.

plaatjes in mijn posts werken even niet. hostingprovider heeft domein leeg gemaakt..

[ Voor 155% gewijzigd door Dakhaasje op 03-12-2016 00:50 ]

vrijdag 9 december 2016 18:07

Acties:

0 Henk 'm!

Dat zijn allemaal routers. Dat is iets heel anders dan een accespoint.
Ik neem aan dat wifi van je routerboard wel functioneert?

Kijk eens of je een handleiding kunt vinden om een van die apparaten als acces point te configureren.
dat wil zeggen:
geen dhcp
geen firewall
geen nat

zondag 11 december 2016 17:36

Acties:

0 Henk 'm!

Topicstarter

kaaas schreef op vrijdag 9 december 2016 @ 18:07:
Dat zijn allemaal routers. Dat is iets heel anders dan een accespoint.
Ik neem aan dat wifi van je routerboard wel functioneert?

Kijk eens of je een handleiding kunt vinden om een van die apparaten als acces point te configureren.
dat wil zeggen:
geen dhcp
geen firewall
geen nat

Er is maar 1 met fw/dhcp /nat : de mikrotik. de rest staat in bridge/ap.

wifi van mikrotik werkt wel maar omdat het in de gui configureren van de andere routers tot ap gemakkelijker gaat staat de wifi van de mikrotik uit.
Er is ook een camera(vd13) , die op wifi niet lekker loopt, via een utpkabel aangesloten op een extender die via wifi werkt. Dat werkt niet stabiel via de mikrotik wifi, schijnbaar heeft de fw daar een probleem mee. Nu het buiten de Mikrotik om loopt, gaat het intern veel beter (alles in bridge).

(wat op zich dan weer capaciteitsproblemen met zich meebrengt; misschien tijd voor een vlan voor die dingen... ook iets voor 2018)

Ik wil wel graag utp naar de schuur leggen, maar dat project staat ergens voor 2018 gepland.

voorbeeldje logboek:https://1drv.ms/i/s!AokPy43LPl4lpBHhgx8ydR_sw3U0

[ Voor 10% gewijzigd door Dakhaasje op 24-12-2016 11:16 ]

donderdag 5 januari 2017 22:45

Acties:

0 Henk 'm!

Trek je internet kabel er uit.
Verwijder al je firewall en nat regels.

Vervang ze voor deze gestripte firewall en nat regels.

De firewall is het minimale wat je nodig hebt. Begin hiermee zorg er voor dat je camera's werken en ga dan pas aan je firewall sleutelen. Ik denk dat je hier eigenlijk wel uit de voeten kunt. Wat er in je vorige firewall stond was lichtelijk overkill voor wat je aan het doen bent. Als je toch iets wilt doen isoleer het doe een actie kijk of alles werkt en ga dan pas het volgende aan passen. Je maakt anders je config zo ingewikkeld dat je geen idee hebt waar het mis gaat en waarom.

Ik heb 2 portforwards toegevoegd voor 2 camera's je kunt deze kopiëren een aanpassen voor de rest van de camera's

code:

/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept establieshed,related" \
    connection-state=established,related
add action=drop chain=input comment="drop all from WAN" \
    in-interface=pppoe
add action=fasttrack-connection chain=forward comment=" fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=" accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=pppoe

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=pppoe
add action=dst-nat chain=dstnat dst-port=81 in-interface=pppoe protocol=\
    tcp to-addresses=192.168.2.39 to-ports=81
add action=dst-nat chain=dstnat dst-port=82 in-interface=pppoe protocol=\
    tcp to-addresses=192.168.2.8 to-ports=82

zaterdag 7 januari 2017 11:04

Acties:

0 Henk 'm!

Topicstarter

Waarom werkt mijn ftp niet? de mikrotik neemt het over en zo bereik ik mijn server niet eens oke dat was niet moeilijk, maar ik kan nog steeds niet bij mijn server

[ Voor 29% gewijzigd door Dakhaasje op 07-01-2017 11:34 ]

maandag 9 januari 2017 16:55

Acties:

0 Henk 'm!

sommige providers vangen ftp porten af zoek even of je provider dat doet.

dinsdag 10 januari 2017 09:13

Acties:

0 Henk 'm!

Topicstarter

kijk eens naar doorgestreepte tekst.

[ Voor 81% gewijzigd door Dakhaasje op 10-01-2017 12:02 ]

woensdag 11 januari 2017 17:50

Acties:

0 Henk 'm!

kun je van binnen wel over ftp op je server komen.
Doe eens een poortscan van buiten af om te kijken wat er precies open staat
Heb je beide poorten voor ftp open staan? port 20+21

Waarom wil je ftp open hebben trouwens? Ftp staat niet echt bekend omdat het zo veilig is.

[ Voor 20% gewijzigd door kaaas op 11-01-2017 17:52 ]

maandag 16 januari 2017 00:32

Acties:

0 Henk 'm!

Topicstarter

sitrep:

Wenselijke situatie: de camera's van buiten en binnen te bekijken met ispy, nvr, ipcam app, en p2p apps.
FTP werkend van buiten en binnen.
ispy server bereikbaar van buiten,
goede verbinding van de android apparaten(voorrang?).

FTP: werkt

*
ispy server bereikbaar: met app.

via deze app zijn camera's ook te bekijken zolang je betaalt... *
voorrang android apparaten? nog niet
media streamen naar de buren? nee *
camera's p2p? nee, belangrijkste cam staat op wifi buren, rest met utp.
camera's nvr? intern werkt. onstabiel Nieuwe Hiseeu NVR, werkt vlot bij benadering met pc.(verwerkt van 6 camera's plm 1 Mb/s/cam).

ehm. HELLUP!

nog doen: code opschonen: t is een zooitje.

*)
wifi op eigen netwerk werkt wel, maar is zo traag dat appjes niet eens doorkomen. hierbij maakt het niet uit welk AP gebruikt wordt.
Kan de Mikrotik het dan echt niet aan dat 2 gebruikers continu 50 mbit van 6 cams verstoken intern op gigabit netwerk... zodat er voor een simpele wifi gebruiker niets overblijft? volgens mij is dat meer een voorrangs-kwestie

hoe regel ik voorrang voor ip-adressen 192.168.2.140 tot en met 192.168.2.180 ? (de wifi gebruikers-range)

[ Voor 165% gewijzigd door Dakhaasje op 30-01-2017 16:46 ]

maandag 6 februari 2017 11:15

Acties:

0 Henk 'm!

Topicstarter

Thralas schreef op vrijdag 28 oktober 2016 @ 15:22:
Je hebt nog niets gedaan met de constatering die ik hier deed: Thralas in "Mikrotik voor KPN experiabox op glasvezel"

ehm, ja al eens bij 0 begonnen, kreeg hem daarna niet meer werkend.
Dus backup van werkend terug gezet.
ik ga aan de slag met de suggestie van 5 januari.. ftp zijn we uit

Je maakt anders je config zo ingewikkeld dat je geen idee hebt waar het mis gaat en waarom.

[ Voor 19% gewijzigd door Dakhaasje op 06-02-2017 11:21 ]

Pagina: 1

Reageer