MikroTik en Caiway met een eigen mediaconverter

Vraag

dinsdag 12 februari 2019 08:59

Acties:

+1 Henk 'm!

Topicstarter

Mijn vraag
Sinds enige tijd ben ik weer overgestapt van Solcon naar Caiway Glasvezel internet en interactieve TV. Caiway levert nu een Genexis Platinum 7480 mediaconverter/router/access point. Deze is nogal beperkt in functionaliteit dus ik heb er via een DMZ/Exosed host mijn Mikrotik achter gehangen.
Met bovenstaande oplossing ben ik niet echt blij. Het is een extra apparaat die ik niet wil en moet twee keer natten.
Ik heb er een mediaconverter tussen gezet en daar mijn Mikrotik router rechtstreeks op aan gesloten. Heb wat hulp nodig de Miktotik goed te configureren.

Ik krijg op ether1 (WAN) een ip adres in een 10.45.0.0 netwerk.
Via de torch functie heb ik achterhaald dat er sowieso twee VLAN's opzitten. VLAN 100 en 101. Ik weet bijna zeker dat 100 internet is en 101 IPTV. Heb een VLAN interface (WAN-INTERNET-100) gemaakt met VLAN 100 en deze op ether1 gezet. Daarna een DHCP client gemaakt op deze interface. Ik krijg een publiek IP adres die lijkt te kloppen: 62.45.158.222. Nu moet ik er nog voor zorgen dat het internet verkeer in mijn LAN (192.168.76.0/24) op ether2 t/m ether8, welke in de bridge: bridge-local zitten via de WAN naar buiten kan. Daarnaast moeten de bestaande NAT rules gaan werken.
De VLAN interface WAN-INTERNET-100 heb toegevoegd aan de interface-list WAN.

De hardware:
Mikrotik RB2011iL met firmware: 6.42.11
MediaConverter: KTI Networks Model: KGC-300 met een SC SFP BiD

Iemand tips? Moet ik een route aanpassen of heeft het te maken een NAT masquerde rule of juist een firewall rule.

De Mikrotik aan de router van Caiway in de DMZ werkt met de huidige instellingen en firewall en NAT rules.

Iemand die het leuk vind om mij te helpen?

Alle reacties

dinsdag 12 februari 2019 09:29

Acties:

0 Henk 'm!

DJSmiley

Onder firewall - NAT je masquerade rule aanpassen zodat je uitgaande interface de subinterface is met vlan100 (default is dat geloof ik ether1)

dinsdag 12 februari 2019 12:25

Acties:

0 Henk 'm!

Wouter36

Tv is 102

woensdag 13 februari 2019 00:03

Acties:

0 Henk 'm!

deefje76

Topicstarter

Dank jullie wel. Heb het aan de gang gekregen. De masquerade rule was inderdaad de oplossing. Ook TV heb ik aan de gang via een bridge. Werkt goed, totdat ik iets ga downloaden. Dan schiet de CPU naar 90 tot 99% en begint het beeld en geluid te haperen.
Ether6 waar de STB aan hangt staat op HW offloading.
Iemand daar nog tips voor? De export van router staat hieronder:

code:

# nov/27/2018 22:25:42 by RouterOS 6.42.12
# software id = CQY3-X8R2
#
# model = 2011iL
# serial number = 
/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=CAIWAY
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=STB
set [ find default-name=ether10 ] full-duplex=no poe-out=off speed=1Gbps
/interface vlan
add interface=ether1 name=WAN-INTERNET-100 vlan-id=100
add interface=ether1 name=WAN-IPTV-101 vlan-id=101
/caps-man datapath
add bridge=bridge-local client-to-client-forwarding=yes local-forwarding=no name=J&J
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name="J&J WPA/WPA2"
/caps-man configuration
add country=netherlands datapath=J&J mode=ap name=J&J security="J&J WPA/WPA2" ssid="Jip en Janneke"
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz country=netherlands datapath=J&J mode=ap name=Cams security="J&J WPA/WPA2" ssid=SC
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge-local lease-time=1d name=DHCP-Thuis
/ppp profile
set *FFFFFFFE bridge=bridge-local change-tcp-mss=default dns-server=192.168.76.1 local-address=192.168.77.1 remote-address=SSTP
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes interface=any signal-range=-90..20 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=yes interface=any signal-range=-120..-91 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes package-path=/
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=J&J name-format=identity slave-configurations=Cams
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local hw=no interface=ether9
add bridge=bridge-local hw=no interface=ether10
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=ether9 list=mactel
add interface=ether10 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=ether9 list=mac-winbox
add interface=ether10 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
/interface sstp-server server
set authentication=mschap2 certificate=Server default-profile=default-encryption enabled=yes force-aes=yes pfs=yes port=3389
/ip accounting
set threshold=2560
/ip accounting web-access
set address=192.168.77.10/32
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=ether2 network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid,IPTV_RG disabled=no interface=ether1
add dhcp-options=hostname,clientid disabled=no interface=WAN-INTERNET-100
/ip dhcp-server lease
add address=192.168.76.230 comment="CAM Achtertuin" mac-address=28:F3:66:60:1F:B4
add address=192.168.76.231 comment="CAM Voortuin" mac-address=E0:B9:4D:69:3F:1F
add address=192.168.76.232 always-broadcast=yes mac-address=A0:9D:C1:D0:75:85
add address=192.168.76.233 client-id=1:0:40:8c:95:74:f3 comment="Axis cam" mac-address=00:40:8C:95:74:F3 server=DHCP-Thuis
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" domain=thuis gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=212.45.45.45,212.45.33.3
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="Blokkeer internet toegang camara voortuin" log=yes log-prefix=block_voortuin out-interface=ether1 src-address=192.168.76.230
add action=drop chain=forward comment="Blokkeer internet toegang camara achtertuin" log=yes log-prefix=blockachtertuin out-interface=ether1 src-address=192.168.76.231
add action=drop chain=forward comment="Blokkeer internet toegang camara werkkamer" disabled=yes log-prefix=blockwerkkamer out-interface=ether1 src-address=192.168.76.232
add action=accept chain=input comment="SSTP VPN naar Router" dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="HTTPS verbinding naar MikroTik beheer" disabled=yes dst-port=1976 protocol=tcp
add action=accept chain=forward comment=IGMP protocol=udp
add action=accept chain=input comment=IGMP protocol=udp
add action=accept chain=forward comment=IGMP disabled=yes protocol=igmp
add action=accept chain=input comment=IGMP protocol=igmp
add action=drop chain=input comment="default configuration" in-interface=ether1
add action=accept chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid log-prefix=ipv4_fw_drop
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="default configuration" in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" out-interface=WAN-INTERNET-100
add action=masquerade chain=srcnat comment="Default configuration" src-address=192.168.77.0/24
add action=dst-nat chain=dstnat comment="SSH naar NAS" disabled=yes dst-port=22 in-interface=ether1 protocol=tcp to-addresses=192.168.76.2 to-ports=22
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=5000 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=5000
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=5001 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=5001
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=80 in-interface=WAN-INTERNET-100 log-prefix=HTTPNAS protocol=tcp to-addresses=192.168.76.2 to-ports=80
add action=dst-nat chain=dstnat comment="Synology Drive" dst-port=6690 in-interface=WAN-INTERNET-100 log-prefix=SynDrive protocol=tcp to-addresses=192.168.76.2 to-ports=6690
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=443 in-interface=WAN-INTERNET-100 log-prefix=HTTPSNAS protocol=tcp to-addresses=192.168.76.2 to-ports=443
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=25 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=25
add action=dst-nat chain=dstnat comment=PLEX disabled=yes dst-port=32400 in-interface=ether1 protocol=tcp to-addresses=192.168.76.2 to-ports=32400
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1701 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=1701
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=500 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=4500 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=4500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1723 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=1723
/ip proxy
set anonymous=yes
/ip route
add disabled=yes distance=1 gateway=192.168.1.254
/ip service
set telnet disabled=yes
set www disabled=yes port=1976
set www-ssl disabled=no port=1976
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/ppp secret
add name=deefje profile=default-encryption service=sstp
/snmp
set contact=Dave enabled=yes location=Thuis trap-generators=*ABC0002 trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Router
/system logging
add topics=sstp
/system ntp client
set primary-ntp=130.89.0.19 secondary-ntp=216.239.35.0 server-dns-names=time1.google.com
/system package update
set channel=long-term
/system routerboard settings
set silent-boot=yes
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

[ Voor 15% gewijzigd door deefje76 op 13-02-2019 11:16 ]

woensdag 13 februari 2019 18:31

Acties:

0 Henk 'm!

Thralas

MikroTik

deefje76 schreef op woensdag 13 februari 2019 @ 00:03:
Ether6 waar de STB aan hangt staat op HW offloading.
Iemand daar nog tips voor? De export van router staat hieronder:

Yeah. Als het goed is zie je dat de bridge ports nu geen H(ardware accelerated)-vlaggetje hebben.

code:

1	/interface bridge settings set use-ip-firewall=yes

Hiermee forceer je alle bridge traffic door de firewall (die er verder als het goed is weinig mee doet), maar als side effect raak je hardware bridge offloading kwijt. Uitzetten dus.

woensdag 29 mei 2019 17:20

Acties:

0 Henk 'm!

rkrythe

deefje76 schreef op dinsdag 12 februari 2019 @ 08:59:
Mijn vraag
Sinds enige tijd ben ik weer overgestapt van Solcon naar Caiway Glasvezel internet en interactieve TV. Caiway levert nu een Genexis Platinum 7480 mediaconverter/router/access point. Deze is nogal beperkt in functionaliteit dus ik heb er via een DMZ/Exosed host mijn Mikrotik achter gehangen.
Met bovenstaande oplossing ben ik niet echt blij. Het is een extra apparaat die ik niet wil en moet twee keer natten.
Ik heb er een mediaconverter tussen gezet en daar mijn Mikrotik router rechtstreeks op aan gesloten. Heb wat hulp nodig de Miktotik goed te configureren.

Ik krijg op ether1 (WAN) een ip adres in een 10.45.0.0 netwerk.
Via de torch functie heb ik achterhaald dat er sowieso twee VLAN's opzitten. VLAN 100 en 101. Ik weet bijna zeker dat 100 internet is en 101 IPTV. Heb een VLAN interface (WAN-INTERNET-100) gemaakt met VLAN 100 en deze op ether1 gezet. Daarna een DHCP client gemaakt op deze interface. Ik krijg een publiek IP adres die lijkt te kloppen: 62.45.158.222. Nu moet ik er nog voor zorgen dat het internet verkeer in mijn LAN (192.168.76.0/24) op ether2 t/m ether8, welke in de bridge: bridge-local zitten via de WAN naar buiten kan. Daarnaast moeten de bestaande NAT rules gaan werken.
De VLAN interface WAN-INTERNET-100 heb toegevoegd aan de interface-list WAN.

De hardware:
Mikrotik RB2011iL met firmware: 6.42.11
MediaConverter: KTI Networks Model: KGC-300 met een SC SFP BiD

Iemand tips? Moet ik een route aanpassen of heeft het te maken een NAT masquerde rule of juist een firewall rule.

De Mikrotik aan de router van Caiway in de DMZ werkt met de huidige instellingen en firewall en NAT rules.

Iemand die het leuk vind om mij te helpen?

Sorry, niet gelezen. Dit bericht mag genegeerd worden....

[ Voor 4% gewijzigd door rkrythe op 29-05-2019 17:21 ]

Flickr

vrijdag 2 augustus 2019 17:09

Acties:

0 Henk 'm!

Femme

Hardwareconnaisseur

Official Jony Ive fan

Hi @deefje76, ik heb hier ook glasvezel van Caiway en probeer tv aan de gang te krijgen via een Mikrotik RB4011. Met een mediaconverter van TP-Link en de sfp uit de Genexis-rouoter werkt internet. De Amino Aria settopbox kan zenderinformatie ophalen maar we krijgen nog geen beeld via de tv-vlan.

We hebben geprobeerd om jouw config te hergebruiken maar dat werkt niet. Iemand suggesties over hoe we tv aan de gang kunnen krijgen?

Dit is de config die we gebruiken:

code:

# jan/01/1970 18:54:14 by RouterOS 6.43.10
# software id = BRHD-71EU
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 96B00A809FB6
/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes \
    name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment=CAIWAY
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=IPTV
set [ find default-name=ether10 ] full-duplex=no poe-out=off
/interface vlan
add interface=ether1 name=WAN-INTERNET-100 vlan-id=100
add interface=ether1 name=WAN-IPTV-101 vlan-id=101

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge-local lease-time=1h name=DHCP-Thuis
/ppp profile
set *FFFFFFFE change-tcp-mss=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes interface=any \
    signal-range=-90..20 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=yes interface=any \
    signal-range=-120..-91 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes package-path=/
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=J&J name-format=\
    identity slave-configurations=Cams
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local hw=no interface=ether9
add bridge=bridge-local hw=no interface=ether10
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no \
    unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=ether9 list=mactel
add interface=ether10 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=ether9 list=mac-winbox
add interface=ether10 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
/ip accounting
set threshold=2560
/ip accounting web-access
set address=192.168.77.10/32
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid,IPTV_RG disabled=no \
    interface=ether1
add dhcp-options=hostname,clientid disabled=no interface=WAN-INTERNET-100
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.76.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface=WAN-INTERNET-100
/ip firewall service-port
set sip disabled=yes
/ip proxy
set anonymous=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=1976
set ssh disabled=yes
set www-ssl port=1976
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/snmp
set contact=Dave enabled=yes location=Thuis trap-version=2
/system clock
set time-zone-name=America/Chicago
/system identity
set name=Router
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system logging
add topics=sstp
/system ntp client
set primary-ntp=130.89.0.19 secondary-ntp=216.239.35.0 server-dns-names=\
    time1.google.com
/system package update
set channel=long-term
/system routerboard settings
set silent-boot=yes
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

vrijdag 2 augustus 2019 19:16

Acties:

+1 Henk 'm!

Thralas

MikroTik

Femme schreef op vrijdag 2 augustus 2019 @ 17:09:
We hebben geprobeerd om jouw config te hergebruiken maar dat werkt niet. Iemand suggesties over hoe we tv aan de gang kunnen krijgen?
code:
1
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no unknown-unicast-flood=no

Geen idee waar al die malle vlaggetjes vandaan komen, maar dat lijkt me fishy.

Geen MAC learning (learn=no), en alle 'unknown' frames weggooien (unknown-flood settings) lijkt me ertoe leiden dat er helemaal niets naar buiten gaat op die poort.

dinsdag 20 augustus 2019 11:39

Acties:

+1 Henk 'm!

Femme

Hardwareconnaisseur

Official Jony Ive fan

Thralas schreef op vrijdag 2 augustus 2019 @ 19:16:
[...]

Geen idee waar al die malle vlaggetjes vandaan komen, maar dat lijkt me fishy.

Geen MAC learning (learn=no), en alle 'unknown' frames weggooien (unknown-flood settings) lijkt me ertoe leiden dat er helemaal niets naar buiten gaat op die poort.

Thanks, het is inmiddels (nouja, al geruime tijd geleden) gelukt

zaterdag 21 maart 2020 23:31

Acties:

+1 Henk 'm!

r3mi

Femme schreef op dinsdag 20 augustus 2019 @ 11:39:
[...]

Thanks, het is inmiddels (nouja, al geruime tijd geleden) gelukt .

Hey Femme,

Hoe is het je gelukt?

Ik heb Ubiquiti hardware (Dream Machine) en zit nu te denken om de Genexis ertussenuit te halen, om dubbele NAT te voorkomen.

De SPF van Genexis in een Media Converter (FS . com Mini Gig Media Conv.) te stoppen.
Moet ik nog iets instellen qua VLAN's of zou het "gewoon gelijk" moeten werken.

Ik hoef trouwens alleen internet, geen tv / telefoon

Thanks!

woensdag 29 april 2020 14:14

Acties:

0 Henk 'm!

stefan-d

Tweakers gaming live!

Femme schreef op dinsdag 20 augustus 2019 @ 11:39:
[...]

Thanks, het is inmiddels (nouja, al geruime tijd geleden) gelukt .

Super fijn

Het was wel behulpzaam geweest als je ook had vermeld wat de oplossing was.

Ik heb net mijn Caiway modem binnen, maar zou ook graag gewoon mijn Mikrotik gebruiken. De SFP is zo te zien gewoon over te zetten rechtstreeks in mijn routerboard. Maar welke VLANs gebruikt Caiway nu?

Mijn lijn is nog niet geactiveerd, dus ik kan het nog niet testen.

woensdag 29 april 2020 14:27

Acties:

0 Henk 'm!

kalmma

stefan-d schreef op woensdag 29 april 2020 @ 14:14:
[...]

Super fijn

Het was wel behulpzaam geweest als je ook had vermeld wat de oplossing was.
Ik heb net mijn Caiway modem binnen, maar zou ook graag gewoon mijn Mikrotik gebruiken. De SFP is zo te zien gewoon over te zetten rechtstreeks in mijn routerboard. Maar welke VLANs gebruikt Caiway nu?

Mijn lijn is nog niet geactiveerd, dus ik kan het nog niet testen.

je hoeft alleen vlan 100 aan te maken op de WAN IPTV loopt nu gewoon over internet dus als je internet hebt in je netwerk dan moet dat ook gelijk gaan werken.

woensdag 29 april 2020 14:54

Acties:

0 Henk 'm!

stefan-d

Tweakers gaming live!

Dank voor je supersnelle reactie!
Waarom sturen ze dan uberhaupt nog een vlan id mee? om rotzooi in hun netwerk te voorkomen als iemand er een laptop of iets anders willekeurigs aan hangt misschien?

woensdag 29 april 2020 15:27

Acties:

0 Henk 'm!

kalmma

stefan-d schreef op woensdag 29 april 2020 @ 14:54:
Dank voor je supersnelle reactie!
Waarom sturen ze dan uberhaupt nog een vlan id mee? om rotzooi in hun netwerk te voorkomen als iemand er een laptop of iets anders willekeurigs aan hangt misschien?

ja waarschijnlijk wel ja en omdat ze nog wel wat verschillende abo varianten hebben denk ik wat ze nu nog door elkaar heen kunnen leveren

woensdag 29 april 2020 18:01

Acties:

0 Henk 'm!

BAJansen

Het gaat puur om het scheiden van de verschillende netwerken over een enkele fysieke verbinding. Hierbij is het netter om alles in tagged VLANs te doen dan alleen TV te taggen en internet untagged door te geven.

donderdag 30 april 2020 19:23

Acties:

0 Henk 'm!

r3mi

kalmma schreef op woensdag 29 april 2020 @ 14:27:
[...]

je hoeft alleen vlan 100 aan te maken op de WAN IPTV loopt nu gewoon over internet dus als je internet hebt in je netwerk dan moet dat ook gelijk gaan werken.

Yes! Na wat rondzoeken had ik dat ook gevonden en het werkt prima. 🤓

zondag 7 juni 2020 12:34

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik

Na heel veel lezen en mensen vragen, hierbij een overzicht van hoe ik mijn netwerk heb ingericht.

Van Caiway gebruikte ik een glasmodem met, van links naar rechts: telefoonaansluiting, Internet, TV, TV. Als router gebruik ik een MikroTik RB3011 waarbij poort 1 aangesloten zat op de Internet aansluiting van het glasmodem:

Afbeeldingslocatie: https://cdn.caiway.nl/-/media/images/modem_glas.png?la=nl-nl&hash=4B78DEAAB1AA45FA8B74201C8EC4A919

Afbeeldingslocatie: https://cdn.caiway.nl/-/media/images/modem_glas.png?la=nl-nl&hash=4B78DEAAB1AA45FA8B74201C8EC4A919

Omdat ik het erg leuk vind om met netwerken bezig te zijn (en om te zien of ik het kan) heb ik gekeken wat de mogelijkheden waren:

1) routed IPTV: het zou moeten werken, meerdere mensen op GoT hebben dit aan de praat gekregen. Zelf heb ik de twee STB's die ik gebruik een eigen VLAN gegeven en dit werkt...grotendeels: terugkijken, opnamen, live tv (vanaf kanaal 11). Kanaal 1 t/m 10 wilde geen live tv tonen. Contact gehad met webcare, antwoord varieerde van "niet ondersteund" tot "er speelt een centraal probleem en we nemen contact op als het opgelost is".

2) bridged IPTV: dit werkt beter dan routed, op een ding na: een van de twee STB's doet alles dat ik verwacht, de ander niet. Dit probleem speelt nog.

Korte uitleg over de overstap naar eigen SFP

Uiteindelijk heb ik ervoor gekozen om met een eigen SFP te werken in combinatie met een glasvezelkabel...zodat het glasmodem uit kan.
Wat ik gebruik:

Afbeeldingslocatie: https://img-en.fs.com/images/products_cache/550x550/74512.B.jpg

Afbeeldingslocatie: https://img-en.fs.com/images/products_cache/550x550/74512.B.jpg

Customised 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km Transceiver Module

Afbeeldingslocatie: https://img-en.fs.com/images/products_cache/550x550/41662.B.jpg

Afbeeldingslocatie: https://img-en.fs.com/images/products_cache/550x550/41662.B.jpg

LC-SC APC Simplex Single Mode Fibre Patch Lead 2.0mm PVC (OFNR) 3m

Dit gaat vrij eenvoudig: ik heb de houder, die in de glasaansluiting moet, van de kabel van het glasmodem gehaald en deze over mijn eigen glasvezelkabelkabel aansluiting geplaatst. Vervolgens de glasvezelkabel in de SFP poort van de MikroTik aangesloten en done.

Configuratie:

code:

/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-IPTV protocol-mode=none

/interface ethernet
set [ find default-name=sfp1 ] name=sfp1-WAN

/interface vlan
add interface=sfp1-WAN name=CAIW-VLAN-INTERNET vlan-id=100
add interface=sfp1-WAN name=CAIW-VLAN-IPTV vlan-id=101

/interface bridge port
add bridge=bridge-IPTV interface=ether7-tv1
add bridge=bridge-IPTV interface=ether8-tv2
add bridge=bridge-IPTV interface=CAIW-VLAN-IPTV

/interface list member
add interface=CAIW-VLAN-INTERNET list=WAN

Hopelijk heeft iemand, die in dezelfde situatie zit, iets aan deze informatie. Hopelijk wil tweaker: @Anoniem: 1174526 met me meedenken waarom een van de twee STB's geen IP adres krijgt.

Eerst het probleem, dan de oplossing

zondag 7 juni 2020 17:18

Acties:

0 Henk 'm!

scriptlab

r3mi schreef op donderdag 30 april 2020 @ 19:23:
[...]

Yes! Na wat rondzoeken had ik dat ook gevonden en het werkt prima. 🤓

Ik ben ook druk bezig met het oplossen van dit probleem ik kom er alleen niet uit hoe heb je het opgelost ik heb wel internet alleen IPTV blijft een drama dit lukt echter totaal niet

ik hoop dat er iemand zo vriendelijk is om mij er mee te willen helpen ?

m.v.g

hier mijn instellingen

code:

 jun/07/2020 17:25:09 by RouterOS 6.45.8
# software id = T75Y-35C7
#
# model = RB4011iGS+5HacQ2HnD
# serial number = D36E0C4C41EA
/interface bridge
add admin-mac=48:8F:5A:39:38:6D auto-mac=no comment=InternetBridge \
    igmp-snooping=yes name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
    country=netherlands disabled=no distance=indoors frequency=auto \
    installation=indoor mode=bridge scan-list=5ghz secondary-channel=auto ssid=\
    MikroTik_5G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=netherlands disabled=no distance=indoors frequency=auto \
    installation=indoor mode=bridge ssid=MikroTik-0B5649 wireless-protocol=\
    802.11
/interface ethernet
set [ find default-name=ether2 ] advertise=1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
    100M-half,100M-full,1000M-half,1000M-full rx-flow-control=auto \
    tx-flow-control=auto
set [ find default-name=ether4 ] loop-protect=on
set [ find default-name=ether6 ] auto-negotiation=no loop-protect=off
set [ find default-name=ether7 ] auto-negotiation=no comment="Tv boven" \
    loop-protect=off
set [ find default-name=ether8 ] comment="tv beneden"
set [ find default-name=ether9 ] loop-protect=off
set [ find default-name=ether10 ] poe-out=off
set [ find default-name=sfp-sfpplus1 ] advertise="10M-half,10M-full,100M-half,100\
    M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" \
    loop-protect=off mac-address=34:E3:80:1F:BA:10 speed=1Gbps
/interface vlan
add interface=sfp-sfpplus1 loop-protect=on name=VLAN_Internet vlan-id=100
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless channels
add band=2ghz-b/g/n frequency=2412 list=default name=ch1 width=20
add band=5ghz-a/n/ac frequency=5180 list=5ghz name=ch61 width=20
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik wpa-pre-shared-key=******* \
    wpa2-pre-shared-key=*******
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=VLAN_Internet name=defconf
add address-pool=dhcp disabled=no interface=bridge name=dhcp1
add address-pool=dhcp disabled=no name=DHCP_VLAN_IPTV
add address-pool=dhcp disabled=no name=DHCP_IPTV_BRIDGE
/queue simple
add name=queue1
/interface bridge nat
add action=accept chain=srcnat
/interface bridge port
add bridge=bridge comment=defconf interface=ether2 trusted=yes
add bridge=bridge comment=defconf interface=ether3 learn=yes trusted=yes
add bridge=bridge comment=defconf interface=ether4 learn=yes trusted=yes
add bridge=bridge comment=defconf interface=ether5 trusted=yes
add bridge=bridge comment=defconf interface=ether6 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether7 trusted=yes
add bridge=bridge comment=defconf interface=ether8 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether9 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether10 trusted=yes
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1 \
    unknown-multicast-flood=no unknown-unicast-flood=no
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1 learn=no trusted=yes unknown-multicast-flood=\
    no unknown-unicast-flood=no
/interface bridge settings
set use-ip-firewall=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="Glasvezel binnenkomst" interface=sfp-sfpplus1 list=WAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=\
    192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=Vlan_Internet dhcp-options=hostname,clientid,option60-vendorclass \
    disabled=no interface=VLAN_Internet
add dhcp-options=hostname,clientid,option60-vendorclass disabled=no interface=\
    sfp-sfpplus1
add dhcp-options=option60-vendorclass,hostname,clientid disabled=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set max-udp-packet-size=8096 servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related,new
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=accept chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
# no interface
add action=accept chain=input comment=IPTV in-interface=*11 log-prefix=iptv2 \
    protocol=igmp
# no interface
add action=accept chain=input in-interface=*11 log-prefix=iptv4 protocol=udp
add action=accept chain=output protocol=tcp
add action=accept chain=output protocol=udp
add action=accept chain=output protocol=igmp
add action=accept chain=input protocol=tcp
add action=accept chain=forward protocol=udp
add action=accept chain=forward protocol=pim
/ip firewall mangle
add action=accept chain=forward protocol=igmp
add action=accept chain=forward protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
# no interface
add action=masquerade chain=srcnat out-interface=*10
/ip firewall service-port
set sip disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip packing
add interface=VLAN_Internet
/queue simple
add name=queue2 target=*12
/routing igmp-proxy
set quick-leave=yes
/routing pim
set switch-to-spt=no
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,w\
    lan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive

[ Voor 88% gewijzigd door scriptlab op 07-06-2020 17:31 ]

maandag 8 juni 2020 14:17

Acties:

0 Henk 'm!

r3mi

scriptlab schreef op zondag 7 juni 2020 @ 17:18:
[...]

Ik ben ook druk bezig met het oplossen van dit probleem ik kom er alleen niet uit hoe heb je het opgelost ik heb wel internet alleen IPTV blijft een drama dit lukt echter totaal niet

ik hoop dat er iemand zo vriendelijk is om mij er mee te willen helpen ?

m.v.g

hier mijn instellingen

code:

 jun/07/2020 17:25:09 by RouterOS 6.45.8
# software id = T75Y-35C7
#
# model = RB4011iGS+5HacQ2HnD
# serial number = D36E0C4C41EA
/interface bridge
add admin-mac=48:8F:5A:39:38:6D auto-mac=no comment=InternetBridge \
    igmp-snooping=yes name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
    country=netherlands disabled=no distance=indoors frequency=auto \
    installation=indoor mode=bridge scan-list=5ghz secondary-channel=auto ssid=\
    MikroTik_5G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=netherlands disabled=no distance=indoors frequency=auto \
    installation=indoor mode=bridge ssid=MikroTik-0B5649 wireless-protocol=\
    802.11
/interface ethernet
set [ find default-name=ether2 ] advertise=1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
    100M-half,100M-full,1000M-half,1000M-full rx-flow-control=auto \
    tx-flow-control=auto
set [ find default-name=ether4 ] loop-protect=on
set [ find default-name=ether6 ] auto-negotiation=no loop-protect=off
set [ find default-name=ether7 ] auto-negotiation=no comment="Tv boven" \
    loop-protect=off
set [ find default-name=ether8 ] comment="tv beneden"
set [ find default-name=ether9 ] loop-protect=off
set [ find default-name=ether10 ] poe-out=off
set [ find default-name=sfp-sfpplus1 ] advertise="10M-half,10M-full,100M-half,100\
    M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" \
    loop-protect=off mac-address=34:E3:80:1F:BA:10 speed=1Gbps
/interface vlan
add interface=sfp-sfpplus1 loop-protect=on name=VLAN_Internet vlan-id=100
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless channels
add band=2ghz-b/g/n frequency=2412 list=default name=ch1 width=20
add band=5ghz-a/n/ac frequency=5180 list=5ghz name=ch61 width=20
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik wpa-pre-shared-key=******* \
    wpa2-pre-shared-key=*******
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=VLAN_Internet name=defconf
add address-pool=dhcp disabled=no interface=bridge name=dhcp1
add address-pool=dhcp disabled=no name=DHCP_VLAN_IPTV
add address-pool=dhcp disabled=no name=DHCP_IPTV_BRIDGE
/queue simple
add name=queue1
/interface bridge nat
add action=accept chain=srcnat
/interface bridge port
add bridge=bridge comment=defconf interface=ether2 trusted=yes
add bridge=bridge comment=defconf interface=ether3 learn=yes trusted=yes
add bridge=bridge comment=defconf interface=ether4 learn=yes trusted=yes
add bridge=bridge comment=defconf interface=ether5 trusted=yes
add bridge=bridge comment=defconf interface=ether6 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether7 trusted=yes
add bridge=bridge comment=defconf interface=ether8 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether9 learn=no trusted=yes
add bridge=bridge comment=defconf interface=ether10 trusted=yes
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1 \
    unknown-multicast-flood=no unknown-unicast-flood=no
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1 learn=no trusted=yes unknown-multicast-flood=\
    no unknown-unicast-flood=no
/interface bridge settings
set use-ip-firewall=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="Glasvezel binnenkomst" interface=sfp-sfpplus1 list=WAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=\
    192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=Vlan_Internet dhcp-options=hostname,clientid,option60-vendorclass \
    disabled=no interface=VLAN_Internet
add dhcp-options=hostname,clientid,option60-vendorclass disabled=no interface=\
    sfp-sfpplus1
add dhcp-options=option60-vendorclass,hostname,clientid disabled=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set max-udp-packet-size=8096 servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related,new
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=accept chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
# no interface
add action=accept chain=input comment=IPTV in-interface=*11 log-prefix=iptv2 \
    protocol=igmp
# no interface
add action=accept chain=input in-interface=*11 log-prefix=iptv4 protocol=udp
add action=accept chain=output protocol=tcp
add action=accept chain=output protocol=udp
add action=accept chain=output protocol=igmp
add action=accept chain=input protocol=tcp
add action=accept chain=forward protocol=udp
add action=accept chain=forward protocol=pim
/ip firewall mangle
add action=accept chain=forward protocol=igmp
add action=accept chain=forward protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
# no interface
add action=masquerade chain=srcnat out-interface=*10
/ip firewall service-port
set sip disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip packing
add interface=VLAN_Internet
/queue simple
add name=queue2 target=*12
/routing igmp-proxy
set quick-leave=yes
/routing pim
set switch-to-spt=no
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,w\
    lan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive

Ik heb zelf alleen internet en geen IPTV, dus kan je helaas niet helpen.

maandag 8 juni 2020 16:59

Acties:

+1 Henk 'm!

scriptlab

r3mi schreef op maandag 8 juni 2020 @ 14:17:
[...]

Ik heb zelf alleen internet en geen IPTV, dus kan je helaas niet helpen.

geen enkel probleem, ik blijf gewoon door proberen als iemand anders nog een oplossing heeft is van harte welkom

maandag 8 juni 2020 17:03

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

scriptlab schreef op maandag 8 juni 2020 @ 16:59:
geen enkel probleem, ik blijf gewoon door proberen als iemand anders nog een oplossing heeft is van harte welkom

Heb je mijn bridged aanpak al geprobeerd?

Eerst het probleem, dan de oplossing

maandag 8 juni 2020 17:06

Acties:

0 Henk 'm!

scriptlab

lier schreef op maandag 8 juni 2020 @ 17:03:
[...]

Heb je mijn bridged aanpak al geprobeerd?

Bij jou werkt IPtv wel ?

maandag 8 juni 2020 17:07

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

scriptlab schreef op maandag 8 juni 2020 @ 17:06:
Bij jou werkt IPtv wel ?

De tweede STB krijgt (nog) geen IP adres, maar de eerste doet het prima.

Eerst het probleem, dan de oplossing

maandag 8 juni 2020 17:10

Acties:

0 Henk 'm!

scriptlab

lier schreef op maandag 8 juni 2020 @ 17:07:
[...]

De tweede STB krijgt (nog) geen IP adres, maar de eerste doet het prima.

misschien kan ik jou wel helpen en jij mij

ik heb 2 x een Bridge 1 voor internet en 1 x bridge-IPTV
op de bridge-IPTV komt niks binnen ik snap niet hoe dit kan

die heb ik overigens aan VLAN 101 gehangen maar niks inkomend

maandag 8 juni 2020 18:19

Acties:

0 Henk 'm!

scriptlab

lier schreef op maandag 8 juni 2020 @ 17:07:
[...]

De tweede STB krijgt (nog) geen IP adres, maar de eerste doet het prima.

ik zie overigens wel het menu (EPG) maar geen beeld of geluid

maandag 8 juni 2020 21:08

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Werkt kanaal 11 (of hoger), @scriptlab? Kan je je config delen (eventueel via een PB)?

Eerst het probleem, dan de oplossing

maandag 8 juni 2020 22:07

Acties:

0 Henk 'm!

deefje76

Topicstarter

Hier werkt het prima. Overigens zou het bij Caiway inmiddels niet meer nodig moeten zijn om apart vlan te configureren.

Ik zal een export maken van mijn config. En deze hier plaatsen. Even uitzoeken hoe ik ook alweer een export maak waar alle wachtwoorden etc uit zijn.

Heb overigens zelfde opzet als Lier.

[ Voor 6% gewijzigd door deefje76 op 08-06-2020 22:08 ]

maandag 8 juni 2020 22:24

Acties:

0 Henk 'm!

scriptlab

deefje76 schreef op maandag 8 juni 2020 @ 22:07:
Hier werkt het prima. Overigens zou het bij Caiway inmiddels niet meer nodig moeten zijn om apart vlan te configureren.

Ik zal een export maken van mijn config. En deze hier plaatsen. Even uitzoeken hoe ik ook alweer een export maak waar alle wachtwoorden etc uit zijn.

Heb overigens zelfde opzet als Lier.

Dat zou super zijn ik ga zelf ook nog even door zoeken hebben jullie ook de amino a7x ?

maandag 8 juni 2020 22:26

Acties:

+1 Henk 'm!

deefje76

Topicstarter

Volgens mij zijn dit de relevante instellingen, als ik het mij goed herriner was de Masquade nat rule relevant en ook de wijze waarop ik de interface list gemaakt had:

code:

/interface bridge
add comment=Bridge-IPTV fast-forward=no name=bridge-iptv protocol-mode=none
add comment=Bridge-LAN name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ]
set [ find default-name=ether2 ] 
set [ find default-name=ether5 ] 
set [ find default-name=ether6 ] comment="STB Amino huiskamer"
set [ find default-name=ether7 ] comment="STB Amino werkkamer"
set [ find default-name=ether10 ] 
set [ find default-name=sfp-sfpplus1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full comment="Caiway Glasvezel" rx-flow-control=auto speed=100Mbps tx-flow-control=auto
/interface vlan
add comment="WAN Internet VLAN 100" interface=sfp-sfpplus1 name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" interface=sfp-sfpplus1 name=WAN-IPTV-101 vlan-id=101
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=dhcp ranges=192.168.76.10-192.168.76.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-lan lease-time=1d name=dhcp-thuis
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-iptv comment=defconf interface=ether6
add bridge=bridge-lan comment=defconf interface=ether8
add bridge=bridge-lan comment=defconf interface=ether9
add bridge=bridge-lan comment=defconf interface=ether10
add bridge=bridge-iptv interface=WAN-IPTV-101 trusted=yes
add bridge=bridge-lan interface=ether1
add bridge=bridge-iptv interface=ether7
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
/ip address
add address=192.168.76.1/24 comment=defconf interface=bridge-lan network=192.168.76.0
/ip dhcp-client
add add-default-route=no comment=defconf disabled=no interface=sfp-sfpplus1
add dhcp-options=clientid,hostname disabled=no interface=WAN-INTERNET-100 use-peer-dns=no
/ip dhcp-server network
add address=192.168.76.0/24 comment=defconf dns-server=192.168.76.1 gateway=192.168.76.1
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

[ Voor 4% gewijzigd door deefje76 op 08-06-2020 22:29 ]

maandag 8 juni 2020 22:53

Acties:

0 Henk 'm!

scriptlab

deefje76 schreef op maandag 8 juni 2020 @ 22:26:
Volgens mij zijn dit de relevante instellingen, als ik het mij goed herriner was de Masquade nat rule relevant en ook de wijze waarop ik de interface list gemaakt had:

code:

/interface bridge
add comment=Bridge-IPTV fast-forward=no name=bridge-iptv protocol-mode=none
add comment=Bridge-LAN name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ]
set [ find default-name=ether2 ] 
set [ find default-name=ether5 ] 
set [ find default-name=ether6 ] comment="STB Amino huiskamer"
set [ find default-name=ether7 ] comment="STB Amino werkkamer"
set [ find default-name=ether10 ] 
set [ find default-name=sfp-sfpplus1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full comment="Caiway Glasvezel" rx-flow-control=auto speed=100Mbps tx-flow-control=auto
/interface vlan
add comment="WAN Internet VLAN 100" interface=sfp-sfpplus1 name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" interface=sfp-sfpplus1 name=WAN-IPTV-101 vlan-id=101
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=dhcp ranges=192.168.76.10-192.168.76.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-lan lease-time=1d name=dhcp-thuis
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-iptv comment=defconf interface=ether6
add bridge=bridge-lan comment=defconf interface=ether8
add bridge=bridge-lan comment=defconf interface=ether9
add bridge=bridge-lan comment=defconf interface=ether10
add bridge=bridge-iptv interface=WAN-IPTV-101 trusted=yes
add bridge=bridge-lan interface=ether1
add bridge=bridge-iptv interface=ether7
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
/ip address
add address=192.168.76.1/24 comment=defconf interface=bridge-lan network=192.168.76.0
/ip dhcp-client
add add-default-route=no comment=defconf disabled=no interface=sfp-sfpplus1
add dhcp-options=clientid,hostname disabled=no interface=WAN-INTERNET-100 use-peer-dns=no
/ip dhcp-server network
add address=192.168.76.0/24 comment=defconf dns-server=192.168.76.1 gateway=192.168.76.1
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Ik heb jou/u versie er in gestopt helaas alleen zonder resultaat wel internet geen iptv

ik ga nog eens goed kinen naar de interface list volg orde dat maakt verschil ?

Ik heb wel menu als ik bij menu naar caiway -> multiscreen tv zie ik wel mijn inlog gevens en wachtwoord voor telefoon maar beeld geen zin helaas

zondag 21 juni 2020 11:36

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Thanks voor de tips. Ik ga het binnenkort proberen. Zijn er ook Tweakers met telefonie en dus weten hoe ze VOIP moeten doorzetten/routeren?

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

maandag 22 juni 2020 09:31

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

imdos schreef op zondag 21 juni 2020 @ 11:36:
Thanks voor de tips. Ik ga het binnenkort proberen. Zijn er ook Tweakers met telefonie en dus weten hoe ze VOIP moeten doorzetten/routeren?

In (volgens mij) het Caiway topic staat een oplossing met een apart kastje.

Eerst het probleem, dan de oplossing

woensdag 24 juni 2020 17:26

Acties:

0 Henk 'm!

scriptlab

@lier is dat niet via vlan 102 ? Te benaderen ???
Dat zal wel even vogelen worden

woensdag 24 juni 2020 20:09

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

scriptlab schreef op woensdag 24 juni 2020 @ 17:26:
@lier is dat niet via vlan 102 ? Te benaderen ???
Dat zal wel even vogelen worden

Dat is ook wat ik weet. Maar het hangt ervan af via welke route je het doet (of je het via Caiway laat lopen of niet). Als alternatief kan je een willekeurige voip provider nemen.

Eerst het probleem, dan de oplossing

dinsdag 11 augustus 2020 11:16

Acties:

0 Henk 'm!

Pasc66

Ik wil dus ook van de dubbele NAT af

Wellicht een stomme vraag maar ik waag het er maar op: Aannemende dat VLANs niet meer nodig zijn voor TV en ik nu een tp-link media converter (met juiste gbic + SFP) aan de Caiway kabel hang met daarachter mijn Asus router (RT-AC68U).. gaat dat dan werken of moet daar dan nog "iets" (mikrotik?) tussen ?

dinsdag 11 augustus 2020 11:29

Acties:

0 Henk 'm!

Pasc66

zijn de frequenties van je bidi /GBIC wel goed? Moet dat niet 1310nm-TX/1490nm-RX zijn (FS.com artikel nummer #15535)?

lier schreef op zondag 7 juni 2020 @ 12:34:
Na heel veel lezen en mensen vragen, hierbij een overzicht van hoe ik mijn netwerk heb ingericht.

Van Caiway gebruikte ik een glasmodem met, van links naar rechts: telefoonaansluiting, Internet, TV, TV. Als router gebruik ik een MikroTik RB3011 waarbij poort 1 aangesloten zat op de Internet aansluiting van het glasmodem:

[Afbeelding]

Omdat ik het erg leuk vind om met netwerken bezig te zijn (en om te zien of ik het kan) heb ik gekeken wat de mogelijkheden waren:

1) routed IPTV: het zou moeten werken, meerdere mensen op GoT hebben dit aan de praat gekregen. Zelf heb ik de twee STB's die ik gebruik een eigen VLAN gegeven en dit werkt...grotendeels: terugkijken, opnamen, live tv (vanaf kanaal 11). Kanaal 1 t/m 10 wilde geen live tv tonen. Contact gehad met webcare, antwoord varieerde van "niet ondersteund" tot "er speelt een centraal probleem en we nemen contact op als het opgelost is".

2) bridged IPTV: dit werkt beter dan routed, op een ding na: een van de twee STB's doet alles dat ik verwacht, de ander niet. Dit probleem speelt nog.

Korte uitleg over de overstap naar eigen SFP

Uiteindelijk heb ik ervoor gekozen om met een eigen SFP te werken in combinatie met een glasvezelkabel...zodat het glasmodem uit kan.
Wat ik gebruik:

[Afbeelding]

Customised 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km Transceiver Module

[Afbeelding]

LC-SC APC Simplex Single Mode Fibre Patch Lead 2.0mm PVC (OFNR) 3m

Dit gaat vrij eenvoudig: ik heb de houder, die in de glasaansluiting moet, van de kabel van het glasmodem gehaald en deze over mijn eigen glasvezelkabelkabel aansluiting geplaatst. Vervolgens de glasvezelkabel in de SFP poort van de MikroTik aangesloten en done.

Configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-IPTV protocol-mode=none

/interface ethernet
set [ find default-name=sfp1 ] name=sfp1-WAN

/interface vlan
add interface=sfp1-WAN name=CAIW-VLAN-INTERNET vlan-id=100
add interface=sfp1-WAN name=CAIW-VLAN-IPTV vlan-id=101

/interface bridge port
add bridge=bridge-IPTV interface=ether7-tv1
add bridge=bridge-IPTV interface=ether8-tv2
add bridge=bridge-IPTV interface=CAIW-VLAN-IPTV

/interface list member
add interface=CAIW-VLAN-INTERNET list=WAN
Hopelijk heeft iemand, die in dezelfde situatie zit, iets aan deze informatie. Hopelijk wil tweaker: @Anoniem: 1174526 met me meedenken waarom een van de twee STB's geen IP adres krijgt.

dinsdag 11 augustus 2020 11:55

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

@Pasc66 Al het verkeer wordt door Caiw in VLAN's aangeboden. De mediaconverter doet zelf niets anders dan het medium omzetten, de router die je erachter hangt moet VLAN ondersteuning hebben. Ik ken Asus spullen niet goed, dus dat zal je zelf uit moeten zoeken. Maar je kan uiteraard elk willekeurig merk router gebruiken.

Ten aanzien van de SFP, deze heb ik (op basis van informatie van eerdere posts) besteld en werkt naar behoren.

Eerst het probleem, dan de oplossing

dinsdag 11 augustus 2020 13:46

Acties:

0 Henk 'm!

Pasc66

@lier Dank!

Even een vraag: wellicht dat de frequentie afhankelijk van het gebied waar we in zitten - zelf zit in het westland (gravenzande). Ik zie dat jij in Doorn zit.

Groet,

Pascal

[ Voor 12% gewijzigd door Pasc66 op 11-08-2020 13:47 ]

dinsdag 11 augustus 2020 14:01

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Klopt @Pasc66 , je zou kunnen overwegen om beiden aan te schaffen (zo duur zijn ze niet). Of anders contact opnemen met Caiw, via de chat werden al mijn vragen direct doorgestuurd naar de technische afdeling. Paar keer te horen gekregen dat het niet ondersteund wordt, maar voldoende welwillend om bijvoorbeeld VLAN informatie te conformeren en om te tracen op de STB problemen die ik had.

Eerst het probleem, dan de oplossing

dinsdag 11 augustus 2020 14:13

Acties:

0 Henk 'm!

Pasc66

Dank @lier Ik ben idd al in contact met Caiway.. maar het schijnt even te duren. Ik denk dat ik ze allebei ga bestellen. Had jij nog bijzondere aanpassing aan je GBIC gedaan of gewoon de default genomen?

dinsdag 11 augustus 2020 14:26

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Als je custom selecteert kan je ingeven voor welk merk het is...ik zie echter TP-Link niet terug. Ik weet wel dat er een topic op GoT is waarbij iemand met een Ubiquiti router en een mediaconverter werkt. Ik zal eens zoeken...

Xanthorax in "[Caiway glasvezel] Ervaringen & Discussie"

[ Voor 16% gewijzigd door lier op 11-08-2020 14:30 ]

Eerst het probleem, dan de oplossing

dinsdag 11 augustus 2020 14:30

Acties:

0 Henk 'm!

Pasc66

Ja - die had ik al gevonden - die heeft deze opgegeven (en welke ik ook besteld heb): Cisco Linksys MGBBX1 Compatible 1000BASE-BX-U BiDi SFP 1310nm-TX/1490nm-RX 20km DOM Transceiver Module #15535

In een oudere post wordt overigens aangegeven dan beide frequenties werken.. ben beniewd:

wian in "[Caiway glasvezel] Ervaringen & Discussie"

dinsdag 11 augustus 2020 16:15

Acties:

0 Henk 'm!

Pasc66

Caiway heeft zojuist bevestigd dat in Gravenzande het om 1310nm-TX/1550nm-RX gaat.

maandag 17 augustus 2020 18:58

Acties:

0 Henk 'm!

wiljums

Is iemand hier nog verder gekomen om iptv ook werkend te krijgen?

13420 Wp 44x JA Solar / GW15KN-DT PVOutput - AIT SWCV92K3 W/W warmtepomp

maandag 17 augustus 2020 20:37

Acties:

0 Henk 'm!

r3mi

wiljums schreef op maandag 17 augustus 2020 @ 18:58:
Is iemand hier nog verder gekomen om iptv ook werkend te krijgen?

Was de oplossing niet gewoon de juiste VLAN toekennen?

Glasvezel naar managed switch en 1 poort vlan 100 voor internet andere poort vlan IPTV?

dinsdag 18 augustus 2020 10:19

Acties:

0 Henk 'm!

Pasc66

Ik heb ondertussen de hardware aangesloten: MikroTik Hex S (in bridge mode) met de genoemde hardware, software en config zoals door @lier opgegeven. Ik krijg alleen geen internet dus ik doe nog iets fout. Kan iemand mijn hierin helpen (ben wel redelijk beginner). Dit is wat ik nu zie:

Afbeeldingslocatie: https://tweakers.net/i/jaJJ_7z65e2KQNidY177T8qnzSM=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/YGnFgSkEhXBAbwdb77fOMTif.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/jaJJ_7z65e2KQNidY177T8qnzSM=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/YGnFgSkEhXBAbwdb77fOMTif.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/Amiflkll8R77jvzEFFw1hu5E7Wk=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/g9e6SPOOSWDXJqu2u6of5oaU.jpg?f=user_large

Qua config heb ik dit overgenomen:
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-IPTV protocol-mode=none

/interface vlan
add interface=sfp1 name=CAIW-VLAN-INTERNET vlan-id=100
add interface=sfp1 name=CAIW-VLAN-IPTV vlan-id=101

/interface bridge port
add bridge=bridge-IPTV interface=ether4
add bridge=bridge-IPTV interface=ether5
add bridge=bridge-IPTV interface=CAIW-VLAN-IPTV

/interface list member
add interface=CAIW-VLAN-INTERNET list=WAN

Als ik dan mijn pc aan ether 1 hang heb ik nog geen internet - ik doe dus nog iets fout.. vraag is wat?

dinsdag 18 augustus 2020 10:31

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Kan je een complete export posten? Door middel van /export hide-sensitive file=router
Ik heb het idee dat je nog niets met Internet routing hebt ingesteld...

O ja...gebruik überhaupt nooit Quick Set (laat staan daar veranderingen doorvoeren).

Eerst het probleem, dan de oplossing

dinsdag 18 augustus 2020 10:31

Acties:

0 Henk 'm!

Pasc66

r3mi schreef op maandag 17 augustus 2020 @ 20:37:
[...]

Was de oplossing niet gewoon de juiste VLAN toekennen?

Glasvezel naar managed switch en 1 poort vlan 100 voor internet andere poort vlan IPTV?

Ik weet niet of het helpt, maar ik kan mijn twee ip-tv kastjes overal in mijn netwerk aansluiten (ik heb achter de genexis router mijn asus RT-AC68U staan). Betekent dat dat de ip-tv vlans niet meer aan een aantal specifieke poorten toegekend zijn?
Nu heb ik totaal geen verstand van Vlan's dus het zou natuurlijk goed kunnen dat dit normaal is...

dinsdag 18 augustus 2020 10:44

Acties:

0 Henk 'm!

Pasc66

lier schreef op dinsdag 18 augustus 2020 @ 10:31:
Kan je een complete export posten? Door middel van /export hide-sensitive file=router
Ik heb het idee dat je nog niets met Internet routing hebt ingesteld...

O ja...gebruik überhaupt nooit Quick Set (laat staan daar veranderingen doorvoeren).

@lier Dank voor de snelle reactie: Hier is de export:

code:

# aug/18/2020 08:07:46 by RouterOS 6.46.3
# software id = ECBP-PPX7
#
# model = RB760iGS
# serial number = A36A0C2E9120
/interface bridge
add admin-mac=48:8F:5A:2D:9E:6D auto-mac=no comment=defconf name=bridge
add fast-forward=no igmp-snooping=yes name=bridge-IPTV
/interface ethernet
set [ find default-name=sfp1 ] mac-address=34:E3:80:AB:06:80
/interface vlan
add interface=sfp1 name=CAIW-VLAN-INTERNET vlan-id=100
add interface=sfp1 name=CAIW-VLAN-IPTV vlan-id=101
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp ranges=0.0.0.1-0.0.0.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=dhcp disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge interface=ether1
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=CAIW-VLAN-INTERNET list=WAN
add interface=ether1 list=WAN
add interface=sfp1 list=LAN
/ip address
add address=192.168.1.19/24 comment=defconf disabled=yes interface=ether1 \
    network=192.168.1.0
/ip dhcp-client
add disabled=no interface=bridge
/ip dhcp-server network
add address=0.0.0.0/24 comment=defconf gateway=0.0.0.0 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.19 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 0% gewijzigd door rens-br op 19-08-2020 20:55 . Reden: Quote en code tags toegevoegd ]

dinsdag 18 augustus 2020 10:46

Acties:

0 Henk 'm!

Pasc66

[ Voor 98% gewijzigd door Pasc66 op 18-08-2020 10:47 ]

dinsdag 18 augustus 2020 11:03

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Pfoe...daar is best wel het nodige mis mee:

DHCP scope klopt niet: add name=dhcp ranges=0.0.0.1-0.0.0.254
Bridge "dhcp1" bestaat niet: add address-pool=dhcp disabled=no interface=bridge name=dhcp1
sfp1 zou niet in een bridge moeten zitten
brdige-IPTV bevat helemaal geen interfaces
ehter1 wil je denk ik in de LAN brdige (en dus LAN address list): add interface=ether1 list=WAN[l/i]
IP Address koppel je aan een bridge en niet aan een interface: add address=192.168.1.19/24 comment=defconf disabled=yes interface=ether1 \
network=192.168.1.0

En zo zijn er nog veel meer zaken...

Denk dat je beter met een default config kan starten en die aanpassen.

Eerst het probleem, dan de oplossing

dinsdag 18 augustus 2020 11:30

Acties:

0 Henk 'm!

Pasc66

@lier Hah - ik ben echt een absolute beginner met dit ding - ik ga dat ding even terugzetten in default settings en overniew beginnen, probeer het nogmaals en kom dan bij je terug :-)

dinsdag 18 augustus 2020 11:58

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Pasc66 schreef op dinsdag 18 augustus 2020 @ 11:30:
@lier Hah - ik ben echt een absolute beginner met dit ding - ik ga dat ding even terugzetten in default settings en overniew beginnen, probeer het nogmaals en kom dan bij je terug :-)

Mag altijd! PM kan ook. Als je hier post is het handig om de code-tags te gebruiken, maakt het geheel ook wat leesbaarder:

code:

1	[code]de config[/code]

Eerst het probleem, dan de oplossing

woensdag 19 augustus 2020 20:49

Acties:

0 Henk 'm!

Pasc66

Update: ik kreeg zowaar even verbinding via de Mikrotik Hex S - via netwerkkabel op mijn laptop aangesloten. Speedtest gedaan en krant geopend. Wel een raar ip adres gekregen op mijn laptop

IPv4 Address. . . . . . . . . . . : 159.180.20.244
Subnet Mask . . . . . . . . . . . : 255.255.240.0
Default Gateway . . . . . . . . . : 159.180.16.1

Nadat ik de Mikrotik opnieuw opgestart had was de verbinding met Caiway weer weg.. heeft iemand enig idee wat er aan de hand kan zijn ? Is er een controle op mac adressen?

woensdag 19 augustus 2020 21:06

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Geen controle op mac, DHCP server lease moet eerst verlopen voordat die aan een andere interface toegekend kan worden. Blijkbaar had je geen NAT aan staan, maar draaide je in bridge. Had je de STP met VLAN 100 aan je LAN bridge gekoppeld?

Eerst het probleem, dan de oplossing

donderdag 20 augustus 2020 12:38

Acties:

0 Henk 'm!

Pasc66

Ja - dat had ik en het is idd de bedoeling om in transparante bridge te draaien.. ik ga eens even rustig verder prutsen (gelukkig neemt het inzicht elke dat weer toe :-) )

woensdag 26 augustus 2020 09:44

Acties:

0 Henk 'm!

Pasc66

Zo - ik heb internet werkend (nu iptv moet nog) - de volgende stap wordt nu om te kijken hoe ik hiervan een transparante bridge kan maken zodat het caiway ip adres doorgestuurd wordt naar de achterliggende router...heb jij een idee waar ik meet info kan vinden? Of moet ik het in de DHCP relay hoek zoeken?

[ Voor 7% gewijzigd door Pasc66 op 26-08-2020 14:39 ]

donderdag 27 augustus 2020 14:00

Acties:

0 Henk 'm!

Pasc66

Caiway doet wel rare dingen op hun netwerk (of ik ben gek)..maar het externe ip adres van caiway (whatsmyip) is van de IPTV vlan, niet van de internetvlan. Verder lijkt het erop dat ze het IPTV vlan verkeer op de lokale router untagged doorgeven oid - want als ik de mikrotik er aan hang kan ik maar een deel van zenders zien, itt de genexis: daar kan ik alle internetverkeer gewoon via mijn thuis lan zien...

donderdag 27 augustus 2020 14:38

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Pasc66 schreef op donderdag 27 augustus 2020 @ 14:00:
Caiway doet wel rare dingen op hun netwerk (of ik ben gek)..

Ik vind er niet zo veel raars aan...

Blijkbaar heb je je masquerade rule aan de IPTV VLAN gekoppeld en niet aan het Internet VLAN.

[ Voor 18% gewijzigd door lier op 27-08-2020 14:39 ]

Eerst het probleem, dan de oplossing

donderdag 27 augustus 2020 15:33

Acties:

0 Henk 'm!

Pasc66

Ha - weer wat te leren.
Ik heb iig de volgdende zaken dus nog te doen:
1) IPTV aan de gang krijgen zodat deze over hetzelfde LAN gaat als internet/lan verkeer
2) De hele boel als Transparent bridge opzetten zodat ik NAT kan elimineren

Het publieke ip adres van Caiway is voor mij niet zo relevant dus dat laat ik maar even zitten.

vrijdag 11 september 2020 13:37

Acties:

0 Henk 'm!

Pasc66

Ik heb ondertussen het internet deel aan de praat, nu het iptv deel - doel is om iptv op over lan te laten lopen zonder dat ik een specifieke kabel in een specifieke poort moet prikken....

Ondertussen een andere vraag: volgense de mikrotik documentatie is de wijze waarop we bridge en interfaces maken onjuist - zie

https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table

waarin verwezen wordt naar dit artikel

https://wiki.mikrotik.com...with_a_physical_interface

Vraag: hoe denken de medetweakers hierover en heeft iemand nog een RouterOS config waarme ik iptv gewoon over het lan kan laten lopen ?

Groet

[ Voor 6% gewijzigd door Pasc66 op 11-09-2020 13:38 ]

vrijdag 11 september 2020 13:49

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik gebruik altijd 1 bridge en pas daar vlan filtering op toe. Een (veel) betere tutorial (over vlan's) is deze:
https://forum.mikrotik.com/viewtopic.php?t=143620

offtopic:
Helaas is op dit moment het forum offline...

Eerst het probleem, dan de oplossing

woensdag 16 september 2020 15:40

Acties:

0 Henk 'm!

Pasc66

Hi Femme,

Ik heb hetzelfde probleem als jij - wel zender informatie maar geen beeld (dzw: bij sommige kanalen wel, anderen niet). Hoe heb jij dit opgelost?

Groet,

Pasc66

Femme schreef op vrijdag 2 augustus 2019 @ 17:09:
Hi @deefje76, ik heb hier ook glasvezel van Caiway en probeer tv aan de gang te krijgen via een Mikrotik RB4011. Met een mediaconverter van TP-Link en de sfp uit de Genexis-rouoter werkt internet. De Amino Aria settopbox kan zenderinformatie ophalen maar we krijgen nog geen beeld via de tv-vlan.

We hebben geprobeerd om jouw config te hergebruiken maar dat werkt niet. Iemand suggesties over hoe we tv aan de gang kunnen krijgen?

Dit is de config die we gebruiken:

code:

# jan/01/1970 18:54:14 by RouterOS 6.43.10
# software id = BRHD-71EU
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 96B00A809FB6
/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes \
    name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment=CAIWAY
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=IPTV
set [ find default-name=ether10 ] full-duplex=no poe-out=off
/interface vlan
add interface=ether1 name=WAN-INTERNET-100 vlan-id=100
add interface=ether1 name=WAN-IPTV-101 vlan-id=101

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge-local lease-time=1h name=DHCP-Thuis
/ppp profile
set *FFFFFFFE change-tcp-mss=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes interface=any \
    signal-range=-90..20 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=yes interface=any \
    signal-range=-120..-91 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes package-path=/
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=J&J name-format=\
    identity slave-configurations=Cams
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local hw=no interface=ether9
add bridge=bridge-local hw=no interface=ether10
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no \
    unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=ether9 list=mactel
add interface=ether10 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=ether9 list=mac-winbox
add interface=ether10 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
/ip accounting
set threshold=2560
/ip accounting web-access
set address=192.168.77.10/32
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid,IPTV_RG disabled=no \
    interface=ether1
add dhcp-options=hostname,clientid disabled=no interface=WAN-INTERNET-100
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.76.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface=WAN-INTERNET-100
/ip firewall service-port
set sip disabled=yes
/ip proxy
set anonymous=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=1976
set ssh disabled=yes
set www-ssl port=1976
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/snmp
set contact=Dave enabled=yes location=Thuis trap-version=2
/system clock
set time-zone-name=America/Chicago
/system identity
set name=Router
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system logging
add topics=sstp
/system ntp client
set primary-ntp=130.89.0.19 secondary-ntp=216.239.35.0 server-dns-names=\
    time1.google.com
/system package update
set channel=long-term
/system routerboard settings
set silent-boot=yes
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

donderdag 8 oktober 2020 19:30

Acties:

0 Henk 'm!

Sir_Benito

Hallo,

Is er iemand die mijn kan helpen, ik heb de volgende configuratie in mijn Mikrotik 960PGS draaien.
Ik heb wel internet maar ik krijg er geen IPTV uit, de amino aria 7x maakt wel verbinding maar krijg geen beeld.

# oct/08/2020 17:04:19 by RouterOS 6.47.4
# software id = N11Y-F1N6
#
# model = 960PGS
# serial number = 78D207ECB07F
/interface l2tp-server

/interface bridge
add fast-forward=no igmp-snooping=yes name=Bridge_Lan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment="Uplink to IPTV" l2mtu=1592
set [ find default-name=ether2 ] arp=proxy-arp comment="Uplink to SW01"
set [ find default-name=ether3 ] comment="Uplink to SW02"
set [ find default-name=ether4 ] comment="Uplink to NAS"
set [ find default-name=ether5 ] comment="Camera Voordeur"
set [ find default-name=sfp1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface gre
add allow-fast-path=no comment="Tunnel to Home" ipsec-secret=\
hANdYcXLzTeYDXdHIYub !keepalive name=gre-tunnel0 remote-address=\
d1260bbc50cb.sn.mynetname.net
/interface vlan
add arp=proxy-arp comment=Internet interface=sfp1 loop-protect=off name=\
sfp1.100 vlan-id=100
add comment=IPTV interface=sfp1 loop-protect=off name=sfp1.101 vlan-id=101
add interface=Bridge_Lan name=vlan1218 vlan-id=1218
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip dhcp-server option
add code=28 name=option28-broadcast value="'192.168.6.255'"
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip pool
add name=dhcp ranges=192.168.6.100-192.168.6.200
add name=VPN_L2TP ranges=192.168.7.100-192.168.7.200
/ip dhcp-server
add address-pool=dhcp dhcp-option-set=IPTV disabled=no interface=Bridge_Lan \
lease-time=1h30m name=dhcp-lan
/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.7.0 name=VPN_L2TP \
remote-address=VPN_L2TP use-encryption=required
set *FFFFFFFE dns-server=8.8.8.8,8.8.4.4
/routing bgp instance
set default disabled=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=Bridge_Lan interface=ether2
add bridge=Bridge_Lan interface=ether3
add bridge=Bridge_Lan interface=ether4
add bridge=Bridge_Lan interface=ether5
add bridge=Bridge_Lan hw=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set caller-id-type=number default-profile=VPN_L2TP enabled=yes ipsec-secret=\
use-ipsec=required
/interface ovpn-server server
set auth=sha1 cipher=aes256
/ip address
add address=192.168.6.1/24 comment=Lan interface=Bridge_Lan network=192.168.6.0
add address=10.16.16.1/30 comment="Test GRE" interface=gre-tunnel0 network=\
10.16.16.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add default-route-distance=210 dhcp-options=IPTV_RG,hostname,clientid disabled=\
no interface=sfp1.101 use-peer-dns=no use-peer-ntp=no
add disabled=no interface=sfp1.100
/ip dhcp-server lease
add address=192.168.6.2 client-id=1:f0:9f:c2:f6:71:79 comment=\
"AP1 Begane Grond" mac-address=F0:9F:C2:F6:71:79 server=dhcp-lan
add address=192.168.6.3 client-id=1:f0:9f:c2:f3:b4:94 comment=\
"AP2 1ste Verdieping" mac-address=F0:9F:C2:F3:B4:94 server=dhcp-lan
add address=192.168.6.108 always-broadcast=yes client-id=1:0:3:e6:e9:5e:50 \
mac-address=00:03:E6:E9:5E:50 server=dhcp-lan
/ip dhcp-server network
add address=192.168.6.0/24 comment=Lan dhcp-option-set=IPTV dns-server=\
8.8.8.8,8.8.4.4 domain=thuis.local gateway=192.168.6.1 netmask=24 \
ntp-server=192.168.6.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.6.0/24 comment="Local Lan subnet" list=local
/ip firewall filter
add action=accept chain=input comment="Accept input GRE Tunnel" in-interface=\
gre-tunnel0
add action=accept chain=input comment=L2TP_VPN dst-port=1701 protocol=udp
add action=accept chain=input comment=L2TP_VPN dst-port=4500 protocol=udp
add action=accept chain=input comment=L2TP_VPN dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=forward protocol=ipsec-esp
add action=accept chain=input dst-port=25461 protocol=udp
add action=drop chain=input comment="drop BLACK LIST input chain" \
src-address-list=blacklist
add action=accept chain=input comment="Full access to SUPPORT" log-prefix=\
SUPPORT src-address-list=support
add action=add-src-to-address-list address-list=knock address-list-timeout=15s \
chain=input dst-port=5235 protocol=tcp
add action=add-src-to-address-list address-list=safe address-list-timeout=15m \
chain=input dst-port=5325 protocol=tcp src-address-list=knock
add action=accept chain=input comment="accept established connection packets" \
connection-state=established
add action=accept chain=input comment="accept related connection packets" \
connection-state=related
add action=drop chain=input comment="drop invalid packets" connection-state=\
invalid
add action=accept chain=input comment=\
"Allow access to router from known network" src-address-list=safe
add action=drop chain=input comment="detect and drop port scan connections" \
protocol=tcp psd=21,3s,3,1
add action=tarpit chain=input comment="suppress DoS attack" connection-limit=\
3,32 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input comment="detect DoS attack" \
connection-limit=10,32 protocol=tcp
add action=jump chain=input comment="jump to chain ICMP" jump-target=ICMP \
protocol=icmp
add action=jump chain=input comment="jump to chain services" jump-target=\
services
add action=accept chain=input comment="Allow Broadcast Traffic" \
dst-address-type=broadcast
add action=accept chain=input src-address=192.168.7.100-192.168.7.200
add action=drop chain=input comment="drop everything else"
add action=log chain=input log-prefix=Filter:
add action=accept chain=ICMP comment="0:0 and limit for 5pac/s" icmp-options=\
0:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="3:3 and limit for 5pac/s" icmp-options=\
3:3 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="3:4 and limit for 5pac/s" icmp-options=\
3:4 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="8:0 and limit for 5pac/s" icmp-options=\
8:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="11:0 and limit for 5pac/s" icmp-options=\
11:0-255 limit=5,5:packet protocol=icmp
add action=drop chain=ICMP comment="Drop everything else" protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="Lan to Wan NAT" out-interface=\
sfp1.100
add action=masquerade chain=srcnat comment="NAT L2TP/IPsec" out-interface=\
sfp1.100 src-address=192.168.7.0/24
# l2tp-in1 not ready
add action=masquerade chain=srcnat out-interface=l2tp-in1 src-address=\
192.168.6.0/24
add action=dst-nat chain=dstnat comment="NAT Synology Cam" dst-port=9901 \
in-interface=sfp1.100 protocol=tcp to-addresses=192.168.6.114 to-ports=9901
add action=dst-nat chain=dstnat comment="NAT Synology Cam" dst-port=5001 \
in-interface=sfp1.100 protocol=tcp to-addresses=192.168.6.114 to-ports=5001
add action=masquerade chain=srcnat comment="Hairpin NAT -> Synology NVR" \
dst-address=192.168.6.114 dst-port=9901 out-interface=Bridge_Lan protocol=\
tcp src-address=192.168.6.0/24
add action=dst-nat chain=dstnat comment="Hairpin NAT -> Synology NVR" \
dst-address=163.158.12.138 dst-port=9901 in-interface=Bridge_Lan protocol=\
tcp src-address=192.168.6.0/24 to-addresses=192.168.6.114 to-ports=9901
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=\
217.166.0.0/16 out-interface=sfp1.101
add action=masquerade chain=srcnat dst-address=213.75.112.0/21 out-interface=\
sfp1.101
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add comment="GRE-Route naar Home" distance=1 dst-address=192.168.16.0/24 \
gateway=10.16.16.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=Benito password=******* profile=VPN_L2TP service=l2tp
/radius incoming
set accept=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=sfp1.101 upstream=yes
add interface=Bridge_Lan
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=drthl6-gw01
/system ntp client
set enabled=yes primary-ntp=213.109.127.82 secondary-ntp=213.154.236.182 \
server-dns-names=0.nl.pool.ntp.org,1.nl.pool.ntp.org
/tool romon
set enabled=yes

donderdag 5 november 2020 22:19

Acties:

0 Henk 'm!

stefan-d

Tweakers gaming live!

Sir_Benito schreef op donderdag 8 oktober 2020 @ 19:30:
Hallo,

Is er iemand die mijn kan helpen, ik heb de volgende configuratie in mijn Mikrotik 960PGS draaien.
Ik heb wel internet maar ik krijg er geen IPTV uit, de amino aria 7x maakt wel verbinding maar krijg geen beeld.

# oct/08/2020 17:04:19 by RouterOS 6.47.4
# software id = N11Y-F1N6
#
# model = 960PGS
# serial number = 78D207ECB07F
/interface l2tp-server

/interface bridge
add fast-forward=no igmp-snooping=yes name=Bridge_Lan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment="Uplink to IPTV" l2mtu=1592
set [ find default-name=ether2 ] arp=proxy-arp comment="Uplink to SW01"
set [ find default-name=ether3 ] comment="Uplink to SW02"
set [ find default-name=ether4 ] comment="Uplink to NAS"
set [ find default-name=ether5 ] comment="Camera Voordeur"
set [ find default-name=sfp1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface gre
add allow-fast-path=no comment="Tunnel to Home" ipsec-secret=\
hANdYcXLzTeYDXdHIYub !keepalive name=gre-tunnel0 remote-address=\
d1260bbc50cb.sn.mynetname.net
/interface vlan
add arp=proxy-arp comment=Internet interface=sfp1 loop-protect=off name=\
sfp1.100 vlan-id=100
add comment=IPTV interface=sfp1 loop-protect=off name=sfp1.101 vlan-id=101
add interface=Bridge_Lan name=vlan1218 vlan-id=1218
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip dhcp-server option
add code=28 name=option28-broadcast value="'192.168.6.255'"
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip pool
add name=dhcp ranges=192.168.6.100-192.168.6.200
add name=VPN_L2TP ranges=192.168.7.100-192.168.7.200
/ip dhcp-server
add address-pool=dhcp dhcp-option-set=IPTV disabled=no interface=Bridge_Lan \
lease-time=1h30m name=dhcp-lan
/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.7.0 name=VPN_L2TP \
remote-address=VPN_L2TP use-encryption=required
set *FFFFFFFE dns-server=8.8.8.8,8.8.4.4
/routing bgp instance
set default disabled=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=Bridge_Lan interface=ether2
add bridge=Bridge_Lan interface=ether3
add bridge=Bridge_Lan interface=ether4
add bridge=Bridge_Lan interface=ether5
add bridge=Bridge_Lan hw=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set caller-id-type=number default-profile=VPN_L2TP enabled=yes ipsec-secret=\
use-ipsec=required
/interface ovpn-server server
set auth=sha1 cipher=aes256
/ip address
add address=192.168.6.1/24 comment=Lan interface=Bridge_Lan network=192.168.6.0
add address=10.16.16.1/30 comment="Test GRE" interface=gre-tunnel0 network=\
10.16.16.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add default-route-distance=210 dhcp-options=IPTV_RG,hostname,clientid disabled=\
no interface=sfp1.101 use-peer-dns=no use-peer-ntp=no
add disabled=no interface=sfp1.100
/ip dhcp-server lease
add address=192.168.6.2 client-id=1:f0:9f:c2:f6:71:79 comment=\
"AP1 Begane Grond" mac-address=F0:9F:C2:F6:71:79 server=dhcp-lan
add address=192.168.6.3 client-id=1:f0:9f:c2:f3:b4:94 comment=\
"AP2 1ste Verdieping" mac-address=F0:9F:C2:F3:B4:94 server=dhcp-lan
add address=192.168.6.108 always-broadcast=yes client-id=1:0:3:e6:e9:5e:50 \
mac-address=00:03:E6:E9:5E:50 server=dhcp-lan
/ip dhcp-server network
add address=192.168.6.0/24 comment=Lan dhcp-option-set=IPTV dns-server=\
8.8.8.8,8.8.4.4 domain=thuis.local gateway=192.168.6.1 netmask=24 \
ntp-server=192.168.6.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.6.0/24 comment="Local Lan subnet" list=local
/ip firewall filter
add action=accept chain=input comment="Accept input GRE Tunnel" in-interface=\
gre-tunnel0
add action=accept chain=input comment=L2TP_VPN dst-port=1701 protocol=udp
add action=accept chain=input comment=L2TP_VPN dst-port=4500 protocol=udp
add action=accept chain=input comment=L2TP_VPN dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=forward protocol=ipsec-esp
add action=accept chain=input dst-port=25461 protocol=udp
add action=drop chain=input comment="drop BLACK LIST input chain" \
src-address-list=blacklist
add action=accept chain=input comment="Full access to SUPPORT" log-prefix=\
SUPPORT src-address-list=support
add action=add-src-to-address-list address-list=knock address-list-timeout=15s \
chain=input dst-port=5235 protocol=tcp
add action=add-src-to-address-list address-list=safe address-list-timeout=15m \
chain=input dst-port=5325 protocol=tcp src-address-list=knock
add action=accept chain=input comment="accept established connection packets" \
connection-state=established
add action=accept chain=input comment="accept related connection packets" \
connection-state=related
add action=drop chain=input comment="drop invalid packets" connection-state=\
invalid
add action=accept chain=input comment=\
"Allow access to router from known network" src-address-list=safe
add action=drop chain=input comment="detect and drop port scan connections" \
protocol=tcp psd=21,3s,3,1
add action=tarpit chain=input comment="suppress DoS attack" connection-limit=\
3,32 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input comment="detect DoS attack" \
connection-limit=10,32 protocol=tcp
add action=jump chain=input comment="jump to chain ICMP" jump-target=ICMP \
protocol=icmp
add action=jump chain=input comment="jump to chain services" jump-target=\
services
add action=accept chain=input comment="Allow Broadcast Traffic" \
dst-address-type=broadcast
add action=accept chain=input src-address=192.168.7.100-192.168.7.200
add action=drop chain=input comment="drop everything else"
add action=log chain=input log-prefix=Filter:
add action=accept chain=ICMP comment="0:0 and limit for 5pac/s" icmp-options=\
0:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="3:3 and limit for 5pac/s" icmp-options=\
3:3 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="3:4 and limit for 5pac/s" icmp-options=\
3:4 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="8:0 and limit for 5pac/s" icmp-options=\
8:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="11:0 and limit for 5pac/s" icmp-options=\
11:0-255 limit=5,5:packet protocol=icmp
add action=drop chain=ICMP comment="Drop everything else" protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="Lan to Wan NAT" out-interface=\
sfp1.100
add action=masquerade chain=srcnat comment="NAT L2TP/IPsec" out-interface=\
sfp1.100 src-address=192.168.7.0/24
# l2tp-in1 not ready
add action=masquerade chain=srcnat out-interface=l2tp-in1 src-address=\
192.168.6.0/24
add action=dst-nat chain=dstnat comment="NAT Synology Cam" dst-port=9901 \
in-interface=sfp1.100 protocol=tcp to-addresses=192.168.6.114 to-ports=9901
add action=dst-nat chain=dstnat comment="NAT Synology Cam" dst-port=5001 \
in-interface=sfp1.100 protocol=tcp to-addresses=192.168.6.114 to-ports=5001
add action=masquerade chain=srcnat comment="Hairpin NAT -> Synology NVR" \
dst-address=192.168.6.114 dst-port=9901 out-interface=Bridge_Lan protocol=\
tcp src-address=192.168.6.0/24
add action=dst-nat chain=dstnat comment="Hairpin NAT -> Synology NVR" \
dst-address=163.158.12.138 dst-port=9901 in-interface=Bridge_Lan protocol=\
tcp src-address=192.168.6.0/24 to-addresses=192.168.6.114 to-ports=9901
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=\
217.166.0.0/16 out-interface=sfp1.101
add action=masquerade chain=srcnat dst-address=213.75.112.0/21 out-interface=\
sfp1.101
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add comment="GRE-Route naar Home" distance=1 dst-address=192.168.16.0/24 \
gateway=10.16.16.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=Benito password=******* profile=VPN_L2TP service=l2tp
/radius incoming
set accept=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=sfp1.101 upstream=yes
add interface=Bridge_Lan
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=drthl6-gw01
/system ntp client
set enabled=yes primary-ntp=213.109.127.82 secondary-ntp=213.154.236.182 \
server-dns-names=0.nl.pool.ntp.org,1.nl.pool.ntp.org
/tool romon
set enabled=yes

Had je toevallig ondertussen de oplossing al gevonden?
Zou je die dan hier willen posten?

donderdag 5 november 2020 22:24

Acties:

0 Henk 'm!

stefan-d

Tweakers gaming live!

Ik ben met een soortgelijk probleem bezig op een DELTA fiber aansluiting. Ook hier geven sommige set-top-boxen (STB) wel beeld en geluid en sommige alleen de zenderinformatie/programmagids maar geen beeld.

Hier is ook het genexismodem vervangen voor een mikrotik routerboard met sfp slot.

En deze doet masq-nat over die vlan100.

Stom genoeg werken die Delta STB zenders zelfs met een wifi client bridge over een mobiele hotspot op mijn vodafone telefoon. Dus ik vind het ongeloofwaardig dat ze perse op een vlan gerouteerd moeten worden als ze op het delta netwerk zitten.
Ook van buiten het delta netwerk werkt het .. of misschien wel juist van buiten?

Ik heb geen controle over op welke poorten op de mikrotik de stb's worden aangesloten. Er zit ook een stuk domme switches tussen. Maar door middel van de DHCP server heb ik de STB's wel in een aparte IP reeks.

Wat is nu de juiste manier om ze het vlan101 op te trappen? moeten ze een ip krijgen van de dhcp server van caiway/delta, of moet ik die aparte reeks waar ze nu al in hangen apart masquaraden?

En wat is de deal met de igmp snooping ? en ik heb ook wat voorbij zien komen over traffic mangle... maar nergens een compleet antwoord hiervoor.

donderdag 5 november 2020 23:19

Acties:

0 Henk 'm!

mfransen

Heb je hier wat aan? Is dan wel voor pfsense maar idee is hetzelfde:
BlijeGub in "[Caiway glasvezel] Ervaringen & Discussie"

Ik ga dit binnenkort ook uitproberen.

[ Voor 11% gewijzigd door mfransen op 12-11-2020 17:26 ]

donderdag 12 november 2020 17:24

Acties:

0 Henk 'm!

mfransen

Ik heb met de instructies van de link de boel ingesteld (moest wel een iets groter ip-bereik includen in de route, bleek uit wireshark logs, maar ik krijg geen beeld (en ook geen foutmeldingen)). (Dit is wel DELTA, maar dat is identiek aan Caiway, mijn IP-adres valt zelfs in een oud kabelfoon reeks

)
Iemand enig idee wat er aan de hand is?

Aansluiting: SFP in switch, vlans 100 en 101 doorgezet naar eth0 van de mikrotik. eth1 hangt aan de rest van het thuisnetwerk.

code:

# nov/12/2020 17:20:12 by RouterOS 6.47.7
# software id = xxx
#
# model = RB760iGS
# serial number = xxxx
/interface bridge
add admin-mac=48:8F:5A:50:6C:4C auto-mac=no comment=Thuisnetwerk \
    igmp-snooping=yes name=Thuisnetwerk
/interface ethernet
set [ find default-name=ether1 ] comment=WAN-Switch
set [ find default-name=ether2 ] comment=LAN-Switch
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full comment=LAN-VOIP-N300A speed=\
    100Mbps
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full disabled=yes poe-out=off speed=\
    100Mbps
set [ find default-name=sfp1 ] auto-negotiation=no comment=WAN-Glas disabled=\
    yes
/interface vlan
add comment=Glasvezel-TV interface=ether1 name=DELTA-IPTV vlan-id=101
add comment=Glasvezel-Internet interface=ether1 name=DELTA-Internet vlan-id=\
    100
add interface=Thuisnetwerk name=Gast-Vlan vlan-id=5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IPTV
/ip pool
add name=thuis-dhcp ranges=10.50.1.1-10.50.1.254
add name=gast-dhcp ranges=10.70.0.10-10.70.0.254
/ip dhcp-server
add address-pool=thuis-dhcp disabled=no interface=Thuisnetwerk lease-time=1h \
    name=Thuisnetwerk
add address-pool=gast-dhcp disabled=no interface=Gast-Vlan lease-time=1h \
    name=Gastnetwerk
/interface bridge port
add bridge=Thuisnetwerk comment=defconf interface=ether2
add bridge=Thuisnetwerk comment=defconf disabled=yes interface=ether3
add bridge=Thuisnetwerk comment=defconf interface=ether4
add bridge=Thuisnetwerk comment=defconf disabled=yes interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set internet-interface-list=WAN lan-interface-list=LAN
/interface list member
add comment=defconf interface=Thuisnetwerk list=LAN
add comment="DELTA Internet" interface=DELTA-Internet list=WAN
add interface=DELTA-IPTV list=IPTV
/ip address
add address=10.50.0.1/23 comment=defconf interface=Thuisnetwerk network=\
    10.50.0.0
add address=10.70.0.1/24 interface=Gast-Vlan network=10.70.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1h
/ip dhcp-client
add disabled=no interface=DELTA-Internet
add add-default-route=no disabled=no interface=DELTA-IPTV use-peer-ntp=no
/ip dhcp-server lease
add address=10.50.0.22 client-id=1:0:3:e6:fa:fd:f4 comment=\
    "TV-Ontvanger Woonkamer" mac-address=00:03:E6:FA:FD:F4 server=\
    Thuisnetwerk
/ip dhcp-server network
add address=10.50.0.0/23 comment=defconf domain=fransen.local gateway=\
    10.50.0.1
add address=10.70.0.0/24 comment=Gastnetwerk domain=fransen-gast.local \
    gateway=10.70.0.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=10.50.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=drop chain=input comment="Drop traffic to router from guest" \
    dst-address=10.70.0.1 src-address=10.70.0.0/24
add action=drop chain=forward comment="Dtrop traffic from guest to home" \
    dst-address=10.50.0.0/16 src-address=10.70.0.0/24
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related log-prefix=fast
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked log-prefix=established
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid log-prefix=invalid
add action=accept chain=input comment="defconf: accept ICMP" log=yes \
    log-prefix=icmp1 protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log-prefix=notlan
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid log-prefix=droprule
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes
/ip route
add distance=1 dst-address=62.45.0.0/16 gateway=DELTA-IPTV
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=RouterGlas
/system ntp client
set enabled=yes server-dns-names=nl.pool.ntp.org
/system routerboard settings
set silent-boot=yes

Wireshark geeft dit soort foutmeldingen:

code:

151 4.914078    10.50.0.1   10.50.0.22  ICMP    102 Destination unreachable (Host unreachable)  151
152 4.914078    10.50.0.1   10.50.0.22  ICMP    102 Destination unreachable (Host unreachable)  152
153 4.914078    10.50.0.1   10.50.0.22  ICMP    102 Destination unreachable (Host unreachable)  153
154 4.914078    10.50.0.22  62.45.61.39 TCP 74  [TCP Retransmission] 34582 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=25527 TSecr=0 WS=128 154

[ Voor 9% gewijzigd door mfransen op 12-11-2020 19:05 ]

vrijdag 4 december 2020 22:50

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Kan iemand mij verder helpen. Ik heb onderstaande dingen gekocht, maar krijg de sfp kabel van fs.com via zo'n leeg wit omhulsel niet in dat witte kastje van caiway waar die oude genexis live kabel uit kwam.

Dat verwijderen van de glas kabel ging ook niet zo gemakkelijk trouwens. Enig idee of het zelf gaat lukken of moet ik een storing bij caiway melden?

MikroTik hEX PoE RB960PGS + MikroTik AC Adapter
https://www.fs.com/products/39135.html
https://www.fs.com/products/41662.html

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

zaterdag 5 december 2020 08:57

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik

Maak even een foto, wellicht zit de stekker gedraaid in de omhulsel.

Eerst het probleem, dan de oplossing

zaterdag 5 december 2020 14:07

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

lier schreef op zaterdag 5 december 2020 @ 08:57:
Maak even een foto, wellicht zit de stekker gedraaid in de omhulsel.

Ik doe het exact zoals het is op mijn oude huis.
Maar er zit speling op de connector. Bij mijn oude huis zat deze muurvast in die witte huls.

Afbeeldingslocatie: https://tweakers.net/i/vXcHx8GWCg_hiW4oZDISyd81qoM=/x800/filters:strip_icc():strip_exif()/f/image/lO5LTL6DyQQQP40SDOfWPPy3.jpg?f=fotoalbum_large

Is dit de goede kant die u zou willen zien?

Uiteindelijk een storing aangemeld. Want ik mag niet aan de ftu (dat ding van cif) zitten. Maar dat gaat misschien nog weken duren en dan heb ik geen internet of TV.

[ Voor 10% gewijzigd door imdos op 05-12-2020 22:20 ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

zondag 6 december 2020 20:50

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Maakt het trouwens uit of ik de dummy connector gebruik om de kabel van fs.com in te doen of moet ik die van caiway demonteren? Ik zie visueel geen verschil.

Net nog even geprobeerd, maar de glasvezel van fs met de dummy connector werkt ook niet in mijn oude huis, waar de genexis kabel wel met gemak werkt.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

woensdag 23 december 2020 21:18

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Oke; sinds vandaag internet werkend. Maar IPTV lukt nog niet. Ik heb af en toe de gids gezien; maar nog geen beeld of iets kunnen terugkijken.

Hierbij mijn config. Al diverse iteraties verder. @deefje76 @lier Zien jullie hier nog iets vreemds aan of moet ik nog iets toevoegen?

ether1 = een uplink naar mijn Netgear (GS108Ev3 - 8-Port Gigabit Ethernet Smart Managed Plus Switch) welke 2 poorten heeft voor de STB's. Dus zowel vlan 100 als 101 moeten hierop uitkomen.

code:

# dec/23/2020 21:13:34 by RouterOS 6.48
#
# model = RB960PGS
/interface bridge
add comment=Bridge-IPTV fast-forward=no igmp-snooping=yes igmp-version=3 \
    name=bridge-iptv pvid=101 vlan-filtering=yes
add comment=Bridge-LAN name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment=uplink
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" comment=\
    "Caiway Glasvezel" rx-flow-control=auto speed=100Mbps tx-flow-control=\
    auto
/interface vlan
add arp=proxy-arp comment="WAN Internet VLAN 100" interface=sfp1 \
    loop-protect=off name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" interface=sfp1 name=WAN-IPTV-101 vlan-id=101
/interface ethernet switch port
set 0 default-vlan-id=101 vlan-header=add-if-missing vlan-mode=check
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip pool
add name=dhcp_pool0 ranges=192.168.22.10-192.168.22.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-lan lease-time=1d \
    name=dhcp-N22
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether1
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-iptv interface=WAN-IPTV-101 trusted=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface ethernet switch vlan
add independent-learning=yes ports=ether1 switch=switch1 vlan-id=101
add independent-learning=yes ports=ether1,ether2,ether3,ether4,ether5 switch=\
    switch1 vlan-id=100
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge-lan network=\
    192.168.22.0
/ip dhcp-client
add comment=defconf disabled=no interface=sfp1
add dhcp-options=clientid,hostname disabled=no interface=WAN-INTERNET-100
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf dns-server=192.168.22.1 domain=\
    router.lan gateway=192.168.22.1 netmask=24 wins-server=192.168.22.1
/ip dns
set allow-remote-requests=yes servers=192.168.22.1
/ip dns static
add address=192.168.22.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=yes distance=1 dst-address=62.45.0.0/16 gateway=WAN-IPTV-101
/system clock
set time-zone-name=Europe/Amsterdam

Wat wel werkt is als ik ether5 als bridge-iptv configureer. Maar die heb ik nog nodig voor nog een ubiquiti AP (die nog in bestelling staat).

[ Voor 1% gewijzigd door imdos op 04-10-2022 13:08 . Reden: gevoelige info verwijderd ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

woensdag 23 december 2020 21:27

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Op welke poort wil je de STB aansluiten? Want nu zie ik dat je alleen VLAN101 op de brige hebt gekoppeld.

Ergens heb ik gelezen (denk in het Caiway topic) dat je ervoor kan kiezen om alleen het verkeer van de STB over VLAN101 eruit te sturen. Je zou daar ook nog even naar kunnen zoeken.

Eerst het probleem, dan de oplossing

woensdag 23 december 2020 22:08

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

lier schreef op woensdag 23 december 2020 @ 21:27:
Op welke poort wil je de STB aansluiten? Want nu zie ik dat je alleen VLAN101 op de brige hebt gekoppeld.

Ergens heb ik gelezen (denk in het Caiway topic) dat je ervoor kan kiezen om alleen het verkeer van de STB over VLAN101 eruit te sturen. Je zou daar ook nog even naar kunnen zoeken.

Op ether1. Daar zit de 8 poorts netgear managed switch op. Ik heb het nu even snel werkend gekregen door ether5 op een unmanaged tp-link te zetten en daar de twee stb's op. Probleem is dus dat ik geen vrije poort over heb om de stb's op een eigen poort te zetten. Dus moet er een poort met twee vlans komen.

Update: het lijkt er op dat maar 1 van de stb's werkt op de tplink switch.

[ Voor 5% gewijzigd door imdos op 23-12-2020 22:53 ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

maandag 4 januari 2021 14:51

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Even een update; ik heb op kerstavond de oude Genexis (Live!) aangesloten en de STB's daar direct op poortje 2 en 3. Daarna internet op de mikrotik omgegooid naar ether1. Op een gegeven moment had ik geen STB meer online en kreeg ik het ook niet werkend anders dan de gids.

Ik heb een HP V1910-24G-PoE die een poort kan mirroren. Zodra ik die switch kan beheren ( ik ga die nog een factory reset geven) en stil genoeg heb (6* 40*40*20mm fans die nog niet stiller kunnen) ga ik eens goed sniffen op het IPTV netwerk d.m.v. packet sniffen.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

woensdag 13 januari 2021 21:59

Acties:

0 Henk 'm!

cossy nl

Ik hoop mij de aankomende dagen bij deze mooie subgroep te kunnen aansluiten. Twee MikroTiks zijn onderweg (toevallig een tweedhand een set met beide een SFP poort), gewoon kijken welke het lekkerste werkt.

Maar rest mij nog een vraag, ik hier sinds april 2020 dus Delta als provider, en ik nam even voor het gemak aan dat het het zelfde is als Caiway, gebruikt iedereen hier de zelfde SFP module?
De "Customised 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km Transceiver Module"?

Delta zelf, althans de dame van de support afdeling, kon daar geen antwoord op geven.

Of iemand nog een tip hoe ik er achter kom welke ik zou moeten hebben?

donderdag 14 januari 2021 09:18

Acties:

0 Henk 'm!

Aotearoa

cossy nl schreef op woensdag 13 januari 2021 @ 21:59:
Maar rest mij nog een vraag, ik hier sinds april 2020 dus Delta als provider, en ik nam even voor het gemak aan dat het het zelfde is als Caiway, gebruikt iedereen hier de zelfde SFP module?
De "Customised 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km Transceiver Module"?

Die gebruik ik ook op een Delta glasvezelverbinding (Cogas glasvezelbuitenaf netwerk omgeving Vechtdal/Twenterand) in een Mikrotik router (RB960PGS).
Om precies te zijn heb ik deze module: https://www.fs.com/de-en/products/37667.html
Volgens de website van fs is deze inmiddels opgevolgd door een nieuw model, maar de opvolger zal ongetwijfeld ook werken.

donderdag 14 januari 2021 11:01

Acties:

0 Henk 'm!

cossy nl

Aotearoa schreef op donderdag 14 januari 2021 @ 09:18:
[...]

Die gebruik ik ook op een Delta glasvezelverbinding (Cogas glasvezelbuitenaf netwerk omgeving Vechtdal/Twenterand) in een Mikrotik router (RB960PGS).
Om precies te zijn heb ik deze module: https://www.fs.com/de-en/products/37667.html
Volgens de website van fs is deze inmiddels opgevolgd door een nieuw model, maar de opvolger zal ongetwijfeld ook werken.

Thanks, de dingen besteld, alles moet rond 1 feb binnen zijn, eens kijken of het beter/stabieler werkt dan hun standaard modem.. iets flexibeler verwacht ik.
Daarnaast neem ik alleen internet af en geen televisie of telefonie. Verwacht dat het qua settings wel mee valt.

donderdag 28 januari 2021 19:25

Acties:

+3 Henk 'm!

cossy nl

Na 2 weken rustig wachten waren de componeten binnen

Dus na een uur+ (werden er 3) werkte alles naar behoren, de vernieuwde SFP module werkt prima. En idem zoals sommige andere hier, de fiber kabel zit wat losser in de grijze behuizing, maar werkt prima eenmaal in de aansluiting op de muur.

In MikroTik netjes alles herkend, VLAN ingericht zoals in de voorbeelden hier, Firewall rules er in, DHCP, DNS, Bridge etc ingericht en gaan.

Hoewel speedtest.net aangeeft dat de ping tijden niet sneller zijn 5 a 6ms en de snelheden (up en down) het zelfde lijken voelt alles wel soepeler, reden? zelf geen idee,

Zal kijken of ik wat screenshots kan maken en misschien kleine tutorial voor meer mensen die dit ook willen.

zondag 21 februari 2021 23:14

Acties:

0 Henk 'm!

deefje76

Topicstarter

Inmiddels gebruik ik het aparte vlan en bridge niet meer. Het is al een tijdje mogelijk om de entone gewoon aan te sluiten in je standaard netwerk. Wat wel nodig is om IGMP Snooping aan te zetten op de bridge.

dinsdag 2 maart 2021 16:02

Acties:

0 Henk 'm!

cossy nl

@deefje76 en @lier draait een van jullie toevallig ook op ipv6? Ik krijg het hier nog niet lopende en was opzoek naar iemand die het wel werkend heeft. Delta schijnt het te ondersteunen.

dinsdag 2 maart 2021 16:04

Acties:

+1 Henk 'm!

mfransen

Voor zover ik weet levert Delta over glasvezel (nog) geen IPV6. Alleen hun kabelnetwerk (Zeelandnet) heeft IPV6...

dinsdag 2 maart 2021 16:05

Acties:

0 Henk 'm!

cossy nl

mfransen schreef op dinsdag 2 maart 2021 @ 16:04:
Voor zover ik weet levert Delta over glasvezel (nog) geen IPV6. Alleen hun kabelnetwerk (Zeelandnet) heeft IPV6...

Dat zou wel verklaren dat ik geen ip op mijn mikrotik krijg idd.

Antwoord van Delta: nee nog niet. Ook nog geen plannen bekend voor IPv6. Jammer.

[ Voor 12% gewijzigd door cossy nl op 02-03-2021 16:06 . Reden: Antwoord van Delta Fiber afdeling ]

dinsdag 2 maart 2021 21:36

Acties:

0 Henk 'm!

deefje76

Topicstarter

Klopt. Caiway ondersteund ook nog geen IPv6 en doet ook geen uitspraken over wanneer wel jammer genoeg.

vrijdag 28 januari 2022 18:08

Acties:

+1 Henk 'm!

deefje76

Topicstarter

Wat fijn dat er eindelijk vrije keus is. Het werkt bij mij prima nu, maar ben wel benieuwd wat de voordelen zijn van de routering die ze adviseren en hoe dit dan precies te configureren. Wordt weer lekker knutselen de komende dagen. Eerste poging al gefaald 🥴

https://www.caiway.nl/klantenservice/vrije-modemkeuze

vrijdag 4 maart 2022 14:01

Acties:

0 Henk 'm!

number3

Nu de informatie is vrijgegeven door CAIway (en ik eindelijk aangesloten ben), heb ik de stap gezet om mijn mikrotik van een mediaconverter te voorzien. Een extra glasvezel kabel en het macadres van de mediaconverter aangemeld (een fs.com SFP+ mediaconverter).

Tot hier gaat ie goed, de mediaconverter herkend het signaal. En in de GUI zie ik ook werkelijk pakkets aankomen. Echter, dan de configuratie... mijn doel is simpel, ik wil een zo eenvoudig mogelijke configuratie, maar na alles gelezen te hebben en al wat experimenten gedaan te hebben vraag ik af wat de eenvoudigste oplossing is.

Voorheen was het ether1 waar internet op binnen kwam (via de router van Ziggo, in bridgemode en nu van CAIway routed mode, dubbel NAT). Dus, mijn idee is heel simpel eigenlijk, waarschijnlijk veel te simpel. Maar ik zou heel graag de VLAN100 (internet) gewoon uit laten komen op exact hetzelfde punt als ether1 al jaren uitkomt. Dan zou mijn internet het weer moeten doen.

Is mijn gedachte juist? En zo ja, wat is dan de eenvoudigste configuratie aanpassing die ik zou moeten doen?

Wie kan me helpen?

vrijdag 4 maart 2022 14:04

Acties:

0 Henk 'm!

ndonkersloot

number3 schreef op vrijdag 4 maart 2022 @ 14:01:
Nu de informatie is vrijgegeven door CAIway (en ik eindelijk aangesloten ben), heb ik de stap gezet om mijn mikrotik van een mediaconverter te voorzien. Een extra glasvezel kabel en het macadres van de mediaconverter aangemeld (een fs.com SFP+ mediaconverter).

Tot hier gaat ie goed, de mediaconverter herkend het signaal. En in de GUI zie ik ook werkelijk pakkets aankomen. Echter, dan de configuratie... mijn doel is simpel, ik wil een zo eenvoudig mogelijke configuratie, maar na alles gelezen te hebben en al wat experimenten gedaan te hebben vraag ik af wat de eenvoudigste oplossing is.

Voorheen was het ether1 waar internet op binnen kwam (via de router van Ziggo, in bridgemode en nu van CAIway routed mode, dubbel NAT). Dus, mijn idee is heel simpel eigenlijk, waarschijnlijk veel te simpel. Maar ik zou heel graag de VLAN100 (internet) gewoon uit laten komen op exact hetzelfde punt als ether1 al jaren uitkomt. Dan zou mijn internet het weer moeten doen.

Is mijn gedachte juist? En zo ja, wat is dan de eenvoudigste configuratie aanpassing die ik zou moeten doen?

Wie kan me helpen?

Ik heb toevallig van de week Caiway rechtstreeks op een CCR1009 aangesloten.
Onder interfaces > VLAN een VLAN aanmaken met id 100 en die aan je interface port hangen waar het glas op binnenkomt. Daarna onder IP > Firewall > NAT de masquerade rule aanpassen van ether 1 naar vlan 100.

Als het goed is werkt het nu.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

vrijdag 4 maart 2022 14:44

Acties:

0 Henk 'm!

number3

@ndonkersloot dat is praktisch wat ik gedaan had, ik heb het als volgt nu:
- Interfaces - VLANs aangemaakt met de id's 100 (internet), 101 (iptv) en 102 (voip) en aangesloten op spf-plus+

code:

/interface vlan
add interface=sfp-sfpplus1 name=caiway-internet-vlan-100 vlan-id=100
add interface=sfp-sfpplus1 name=caiway-iptv-vlan-101 vlan-id=101
add interface=sfp-sfpplus1 name=caiway-voip-vlan-102 vlan-id=102

- In de firewall zijn de rules gekoppeld aan WAN, niet specifiek aan ether1. Dus heb ik de VLANs in de WAN list opgenomen:

code:

/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=caiway-internet-vlan-100 list=WAN
add interface=caiway-iptv-vlan-101 list=WAN
add interface=caiway-voip-vlan-102 list=WAN
add interface=bridge-caiway-internet list=LAN
add interface=bridge-caiway-iptv list=LAN
add interface=bridge-caiway-voip list=LAN
add interface=ether1 list=WAN

- dit zijn de regels op de firewall...

code:

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

Dat zou dus dan toch genoeg moeten zijn om het internet verkeer op vlan 100 naar binnen te krijgen, toch?

Wat ik alleen echt niet snap, is hoe het internet verkeer het juiste VLAN in gerouteerd gaat worden, dat gaat volgens mij niet werken op deze manier. Dus wat zie ik over het hoofd?

[ Voor 4% gewijzigd door number3 op 04-03-2022 14:51 . Reden: een vraag toegevoegd ]

vrijdag 4 maart 2022 15:07

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

WAN is in jouw geval alleen VLAN100, de rest moet je weghalen (anders krijg je hele rare situatie). Daarnaast begrijp ik het nut van de identieke regels niet en de ipsec-policy is volgens mij helemaal niet nodig. Heb je de vpn traffic rule bewust aangemaakt?

Heb je trouwens Internet only of heb je een bundel tv/internet/telefoon? Bij Internet Only kan je VLAN 101 en 102 weghalen, in het tweede geval zal je ook iets met die VLAN.

Eerst het probleem, dan de oplossing

vrijdag 4 maart 2022 15:42

Acties:

0 Henk 'm!

number3

Nope, de VPN rulez zijn aangemaakt door het gebruik van de webconfig, waar ik de VPN heb geconfigureerd. Dat werkte uitstekend totdat er dubbel NAT is natuurlijk, dus ik wil graag terug naar de oude situatie.

Ok, dus ik kan maar 1 interface in de WAN list zetten, wat is het nu van de interface list WAN dan, als er daar toch maar 1 interface mag zijn. #justasking

Ik zou graag een configuratie hebben, waarbij ik in geval van issues met mijn mikrotik configuratie, ik altijd terug kan naar aansluiten van de caiway router op ether1. Vooral als backup methode, terwijl ik de configuratie voor de nieuwe situatie maak. En als ik later gedoe krijgt met caiway en ik moet aantonen dat het niet aan mijn mikrotik router ligt.

Inderdaad heb ik momenteel de 3triple-play bundel, maar twijfel daar nog over. Echter, dat is de reden dat ik 3 vlans wilde configureren.

Zelf had ik bedacht dat ik elke vlan moet laten landen in een eigen vlan-bridge, en dan de losse bridges via de firewall met elkaar laten communniceren, zodat ik ook routes van mijn lan naar de verschillende VLAN's kan maken. Maar, mijn simpele gedachte is, laten we eerst internet maar eens goed werkend krijgen...

Zit ik er dan ver naast?

vrijdag 4 maart 2022 19:11

Acties:

0 Henk 'm!

Thralas

MikroTik

number3 schreef op vrijdag 4 maart 2022 @ 15:42:
Ok, dus ik kan maar 1 interface in de WAN list zetten, wat is het nu van de interface list WAN dan, als er daar toch maar 1 interface mag zijn. #justasking

Nee, daar kunnen gewoon meerdere interfaces in, ik kan zo 123 geen situatie bedenken waarin dat elkaar bijt. Meerdere masquerade rules zijn ook geen probleem, die hitten toch maar één keer.

Je kunt de fysieke interface wel weglaten uit de WAN list, je hebt immers VLANs waarover de services lopen.

Voor de netheid zou ik die masquerade rules voor je VPN wel omschrijven zodat ze alleen matchen op outgoing interface. Iedere keer dat iemand een source IP range gebruikt op masquerade sterft er een puppy.

Met andere woorden: je probleem zit waarschijnlijk elders. Post je config eens?

zaterdag 5 maart 2022 11:58

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Thralas schreef op vrijdag 4 maart 2022 @ 19:11:
Nee, daar kunnen gewoon meerdere interfaces in, ik kan zo 123 geen situatie bedenken waarin dat elkaar bijt. Meerdere masquerade rules zijn ook geen probleem, die hitten toch maar één keer.

Hoe weet de router over welke interface geNAT moet worden? Ook via het IPTV vlan kan geinternet worden, alleen dan met een hele lage snelheid.

Eerst de basis (internet) goed werkend hebben, daarna kan je uitbreiden met IPTV werkend maken. Hoe ga je telefoon doen, @number3 ?

Eerst het probleem, dan de oplossing

zaterdag 5 maart 2022 12:49

Acties:

0 Henk 'm!

Thralas

MikroTik

lier schreef op zaterdag 5 maart 2022 @ 11:58:
Hoe weet de router over welke interface geNAT moet worden? Ook via het IPTV vlan kan geinternet worden, alleen dan met een hele lage snelheid.

Routes. Of je wel of niet het source adress omschrijft (masquerade) staat daar los van.

Als het goed is heb je maar één default gateway: op het internet-vlan. Op andere interfaces moet je ervoor zorgen dat je geen default route oppikt. Dat gaat bij KPN c.s. vanzelf goed (in ieder geval voor IPTV).

Dat is dus ook iets om te controleren (de routetabel) als je méér dan een DHCP client hebt.

zaterdag 5 maart 2022 18:52

Acties:

0 Henk 'm!

number3

@lier Ok, ik ga eerst voor de goed werkende internet vlan. En dan uitbreiden, dat is een uitstekende aanpak natuurlijk.

Ik heb een Gigaset Dect SIP basis station, het is mijn bedoeling om die aan de praat te krijgen met mijn eigen telefoonnummer. Volgens mij is het eenvoudigst als ik dat Vlan rechtstreeks op een fysieke access poort ga laten uitkomen.

@Thralas De config volgt, nadat ik even geprobeerd heb met vlan 100 in de wan het werkend te krijgen.

zaterdag 5 maart 2022 19:37

Acties:

0 Henk 'm!

number3

@Thralas nou, ik heb de configuratie tot het bare minimum teruggebracht. Dat wil zeggen een vlan100 die in de WLAN interface lijst is opgenomen. Even vlan 101 en vlan 102 verwijderd. En een extra NAT rule aangemaakt, rechtstreeks naar VLAN interface.

En helaas, niet werken... Ik zal wel iets over het hoofd zien, dus hierbij mijn hele config. De config bevat ook mijn CAPman configuratie (2 seperate CAP-devices op elke verdieping). Plus ik heb een VPN van buiten toegestaan, dat heeft altijd gewerkt.

Mogelijk dat je nog iets van een vervuiling ziet van de poging om drie bridges te maken (voor elke vlan 1, met dhcp adresspace).

Dus ik ben benieuwd wat ik kan aanpassen om het wel werkend te krijgen. Elke hulp is welkom, wijze lessen, leerzame fouten, alles wat ik kan leren, graag... doel is een werkende config die eenvoudig is en herhaalbaar.

code:

# mar/05/2022 20:11:46 by RouterOS 7.1.3
# software id = KATI-IVDX
#
# model = RB4011iGS+5HacQ2HnD
# serial number = B8E80B55708A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
/interface bridge
add admin-mac=C4:AD:34:19:17:99 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] comment=caiway-link
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-XX country=netherlands disabled=no distance=indoors frequency=5520 installation=indoor mode=ap-bridge ssid=KeepOut5 \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n country=netherlands disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=KeepOut2 wireless-protocol=802.11
/interface vlan
add interface=sfp-sfpplus1 name=vlan-caiway-internet vlan-id=100
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
/caps-man rates
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
/caps-man configuration
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=Zolder
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=dhcp_pool2 ranges=0.0.0.2-255.255.255.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=23h59m59s name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
add name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
add name=homeassistant policy=read,test,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikapp,!rest-api
/caps-man manager
set enabled=yes
/caps-man manager interface
add interface=bridge
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
add bridge=bridge disabled=yes ingress-filtering=no interface=ether1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=ether1 list=WAN
add interface=vlan-caiway-internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless cap
set bridge=bridge interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip arp
add address=192.168.88.200 interface=bridge mac-address=48:0B:B2:55:F4:12
add address=192.168.88.254 interface=bridge mac-address=00:11:32:A9:3D:B0
add address=192.168.88.5 interface=bridge mac-address=4C:5E:0C:2C:88:45
add address=192.168.88.6 interface=bridge mac-address=C4:AD:34:FE:E5:3D
add address=192.168.88.10 interface=bridge mac-address=2C:F4:32:57:D7:7C
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add comment=defconf interface=bridge
# DHCP client can not run on slave interface!
add interface=sfp-sfpplus1
add interface=ether1
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:c4:ad:34:fe:e5:3d mac-address=C4:AD:34:FE:E5:3D server=defconf
add address=192.168.88.5 client-id=1:4c:5e:c:2c:88:45 mac-address=4C:5E:0C:2C:88:45 server=defconf
add address=192.168.88.10 mac-address=2C:F4:32:57:D7:7C server=defconf
add address=192.168.88.45 mac-address=A4:CF:12:86:4B:C8 server=defconf
add address=192.168.88.254 mac-address=00:11:32:A9:3D:B0 server=defconf
add address=192.168.88.100 mac-address=2A:C2:86:FC:84:E1 server=defconf
add address=192.168.88.102 client-id=1:72:2b:31:af:d5:a0 mac-address=72:2B:31:AF:D5:A0 server=defconf
add address=192.168.88.101 client-id=1:66:f7:38:ca:3e:dc mac-address=66:F7:38:CA:3E:DC server=defconf
add address=192.168.88.103 client-id=1:ee:ce:9:7d:1a:7 mac-address=EE:CE:09:7D:1A:07 server=defconf
add address=192.168.88.104 mac-address=9A:91:2D:AF:F3:45 server=defconf
add address=192.168.88.200 mac-address=48:0B:B2:55:F4:12 server=defconf
add address=192.168.88.21 mac-address=DC:4F:22:56:EF:BC server=defconf
/ip dhcp-server network
add gateway=0.0.0.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1,9.9.9.9
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=caiway-internet-NAT-rule ipsec-policy=out,none out-interface=vlan-caiway-internet
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=beganegrond
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set auto-upgrade=yes
/system watchdog
set ping-timeout=10s watch-address=1.1.1.1 watchdog-timer=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 103% gewijzigd door number3 op 05-03-2022 20:17 . Reden: Update met meer context en opgeschoonde-niet-werkende-config ]

zaterdag 5 maart 2022 22:37

Acties:

0 Henk 'm!

Thralas

MikroTik

Je hebt geen DHCP client op vlan-caiway-internet?

En op de andere interfaces lijkt 't me nu juist niet nodig..

zondag 6 maart 2022 12:49

Acties:

0 Henk 'm!

number3

@Thralas waarom heb ik dhcp nodig op het ingress vlan 100?

Ik probeer te snappen wat ik moet doen, het is een vlan, dat middels een trunk op mijn router uitkomt.

Moet ik dan dat vlan laten uitkomen op een “bridge” met een eigen dhcp address range?

zondag 6 maart 2022 13:23

Acties:

0 Henk 'm!

Thralas

MikroTik

Nee, je moet alleen een DHCP client toevoegen op dat VLAN. Een bridge komt er niet aan te pas. Nu heeft je router geen adres aan de WAN-kant. Dat los je op door er een te vragen aan je ISP via DHCP.

Zie ook: Caiway FTTH Point-to-Point (PtP) Interface Specification

The PtP FTTH modem MUST get an IPv4 address via DHCPv4 [5] for every VLAN [4] that the customer is intending to use

Begin wel met enkel internet en zorg dat dat werkt. Bij IPTV en telefonie moet je mogelijk add-default-route=no zetten om te voorkomen dat je een default route over die interfaces krijgt.

zondag 6 maart 2022 19:43

Acties:

0 Henk 'm!

number3

Yep, check, dhcp client toegevoegd. En zowaar krijg ik een ip adres. Met enige moeite doet internet het ook nog, want nu.nl resolved wel. Maar het duurt wel erg lang, ik heb het idee dat er toch nog iets fout zit in de configuratie.

code:

# mar/06/2022 19:42:55 by RouterOS 7.1.3
# software id = KATI-IVDX
#
# model = RB4011iGS+5HacQ2HnD
# serial number = B8E80B55708A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
/interface bridge
add admin-mac=C4:AD:34:19:17:99 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] comment=caiway-link
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-XX country=netherlands disabled=no distance=indoors frequency=5520 installation=indoor mode=ap-bridge ssid=KeepOut5 \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n country=netherlands disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=KeepOut2 wireless-protocol=802.11
/interface vlan
add interface=sfp-sfpplus1 name=vlan-caiway-internet vlan-id=100
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
/caps-man rates
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
/caps-man configuration
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=Zolder
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=23h59m59s name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
add name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
add name=homeassistant policy=read,test,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikapp,!rest-api
/caps-man manager
set enabled=yes
/caps-man manager interface
add interface=bridge
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
add bridge=bridge disabled=yes ingress-filtering=no interface=ether1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=ether1 list=WAN
add interface=vlan-caiway-internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless cap
set bridge=bridge interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip arp
add address=192.168.88.200 interface=bridge mac-address=48:0B:B2:55:F4:12
add address=192.168.88.254 interface=bridge mac-address=00:11:32:A9:3D:B0
add address=192.168.88.5 interface=bridge mac-address=4C:5E:0C:2C:88:45
add address=192.168.88.6 interface=bridge mac-address=C4:AD:34:FE:E5:3D
add address=192.168.88.10 interface=bridge mac-address=2C:F4:32:57:D7:7C
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add comment=defconf interface=bridge
# DHCP client can not run on slave interface!
add interface=sfp-sfpplus1
add interface=ether1
add interface=vlan-caiway-internet
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:c4:ad:34:fe:e5:3d mac-address=C4:AD:34:FE:E5:3D server=defconf
add address=192.168.88.5 client-id=1:4c:5e:c:2c:88:45 mac-address=4C:5E:0C:2C:88:45 server=defconf
add address=192.168.88.10 mac-address=2C:F4:32:57:D7:7C server=defconf
add address=192.168.88.45 mac-address=A4:CF:12:86:4B:C8 server=defconf
add address=192.168.88.254 mac-address=00:11:32:A9:3D:B0 server=defconf
add address=192.168.88.100 mac-address=2A:C2:86:FC:84:E1 server=defconf
add address=192.168.88.102 client-id=1:72:2b:31:af:d5:a0 mac-address=72:2B:31:AF:D5:A0 server=defconf
add address=192.168.88.101 client-id=1:66:f7:38:ca:3e:dc mac-address=66:F7:38:CA:3E:DC server=defconf
add address=192.168.88.103 client-id=1:ee:ce:9:7d:1a:7 mac-address=EE:CE:09:7D:1A:07 server=defconf
add address=192.168.88.104 mac-address=9A:91:2D:AF:F3:45 server=defconf
add address=192.168.88.200 mac-address=48:0B:B2:55:F4:12 server=defconf
add address=192.168.88.21 mac-address=DC:4F:22:56:EF:BC server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1,9.9.9.9
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=caiway-internet-NAT-rule ipsec-policy=out,none out-interface=vlan-caiway-internet
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
add interface=vlan-caiway-internet type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=beganegrond
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set auto-upgrade=yes
/system watchdog
set automatic-supout=no ping-timeout=10s watch-address=1.1.1.1 watchdog-timer=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Wat gaat er fout...? DNS resolving is wel heel traag nu, denk aan enkele seconden... tot nog veel langer. Uiteindelijk doen sites als nu.nl, nos.nl en google.com het wel, maar niet normaal hoe lang.

Dus ben ik weer terug naar de dubbele NAT situate, om te zorgen dat het gaat werken ;-)

Alvast dank voor jullie hulp...

[ Voor 2% gewijzigd door number3 op 06-03-2022 19:45 . Reden: update met wat er fout gaat ]

Pagina: 1 2 Volgende Laatste

Reageer

Onderwerpen

Vraag

Alle reacties