Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Vraag


  • deefje76
  • Registratie: april 2005
  • Laatst online: 15-02 17:09
Mijn vraag
Sinds enige tijd ben ik weer overgestapt van Solcon naar Caiway Glasvezel internet en interactieve TV. Caiway levert nu een Genexis Platinum 7480 mediaconverter/router/access point. Deze is nogal beperkt in functionaliteit dus ik heb er via een DMZ/Exosed host mijn Mikrotik achter gehangen.
Met bovenstaande oplossing ben ik niet echt blij. Het is een extra apparaat die ik niet wil en moet twee keer natten.
Ik heb er een mediaconverter tussen gezet en daar mijn Mikrotik router rechtstreeks op aan gesloten. Heb wat hulp nodig de Miktotik goed te configureren.

Ik krijg op ether1 (WAN) een ip adres in een 10.45.0.0 netwerk.
Via de torch functie heb ik achterhaald dat er sowieso twee VLAN's opzitten. VLAN 100 en 101. Ik weet bijna zeker dat 100 internet is en 101 IPTV. Heb een VLAN interface (WAN-INTERNET-100) gemaakt met VLAN 100 en deze op ether1 gezet. Daarna een DHCP client gemaakt op deze interface. Ik krijg een publiek IP adres die lijkt te kloppen: 62.45.158.222. Nu moet ik er nog voor zorgen dat het internet verkeer in mijn LAN (192.168.76.0/24) op ether2 t/m ether8, welke in de bridge: bridge-local zitten via de WAN naar buiten kan. Daarnaast moeten de bestaande NAT rules gaan werken.
De VLAN interface WAN-INTERNET-100 heb toegevoegd aan de interface-list WAN.

De hardware:
Mikrotik RB2011iL met firmware: 6.42.11
MediaConverter: KTI Networks Model: KGC-300 met een SC SFP BiD

Iemand tips? Moet ik een route aanpassen of heeft het te maken een NAT masquerde rule of juist een firewall rule.

De Mikrotik aan de router van Caiway in de DMZ werkt met de huidige instellingen en firewall en NAT rules.

Iemand die het leuk vind om mij te helpen? :*)

Alle reacties


  • DJSmiley
  • Registratie: mei 2000
  • Laatst online: 22:46

DJSmiley

Moderator Internet & Netwerken
Onder firewall - NAT je masquerade rule aanpassen zodat je uitgaande interface de subinterface is met vlan100 (default is dat geloof ik ether1)

  • Wouter36
  • Registratie: maart 2013
  • Laatst online: 21:01
Tv is 102

  • deefje76
  • Registratie: april 2005
  • Laatst online: 15-02 17:09
Dank jullie wel. Heb het aan de gang gekregen. De masquerade rule was inderdaad de oplossing. Ook TV heb ik aan de gang via een bridge. Werkt goed, totdat ik iets ga downloaden. Dan schiet de CPU naar 90 tot 99% en begint het beeld en geluid te haperen.
Ether6 waar de STB aan hangt staat op HW offloading.
Iemand daar nog tips voor? De export van router staat hieronder:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
# nov/27/2018 22:25:42 by RouterOS 6.42.12
# software id = CQY3-X8R2
#
# model = 2011iL
# serial number = 
/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=CAIWAY
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=STB
set [ find default-name=ether10 ] full-duplex=no poe-out=off speed=1Gbps
/interface vlan
add interface=ether1 name=WAN-INTERNET-100 vlan-id=100
add interface=ether1 name=WAN-IPTV-101 vlan-id=101
/caps-man datapath
add bridge=bridge-local client-to-client-forwarding=yes local-forwarding=no name=J&J
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name="J&J WPA/WPA2"
/caps-man configuration
add country=netherlands datapath=J&J mode=ap name=J&J security="J&J WPA/WPA2" ssid="Jip en Janneke"
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz country=netherlands datapath=J&J mode=ap name=Cams security="J&J WPA/WPA2" ssid=SC
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge-local lease-time=1d name=DHCP-Thuis
/ppp profile
set *FFFFFFFE bridge=bridge-local change-tcp-mss=default dns-server=192.168.76.1 local-address=192.168.77.1 remote-address=SSTP
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes interface=any signal-range=-90..20 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=yes interface=any signal-range=-120..-91 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes package-path=/
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=J&J name-format=identity slave-configurations=Cams
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local hw=no interface=ether9
add bridge=bridge-local hw=no interface=ether10
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=ether9 list=mactel
add interface=ether10 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=ether9 list=mac-winbox
add interface=ether10 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge-local list=discover
/interface sstp-server server
set authentication=mschap2 certificate=Server default-profile=default-encryption enabled=yes force-aes=yes pfs=yes port=3389
/ip accounting
set threshold=2560
/ip accounting web-access
set address=192.168.77.10/32
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=ether2 network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid,IPTV_RG disabled=no interface=ether1
add dhcp-options=hostname,clientid disabled=no interface=WAN-INTERNET-100
/ip dhcp-server lease
add address=192.168.76.230 comment="CAM Achtertuin" mac-address=28:F3:66:60:1F:B4
add address=192.168.76.231 comment="CAM Voortuin" mac-address=E0:B9:4D:69:3F:1F
add address=192.168.76.232 always-broadcast=yes mac-address=A0:9D:C1:D0:75:85
add address=192.168.76.233 client-id=1:0:40:8c:95:74:f3 comment="Axis cam" mac-address=00:40:8C:95:74:F3 server=DHCP-Thuis
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" domain=thuis gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=212.45.45.45,212.45.33.3
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="Blokkeer internet toegang camara voortuin" log=yes log-prefix=block_voortuin out-interface=ether1 src-address=192.168.76.230
add action=drop chain=forward comment="Blokkeer internet toegang camara achtertuin" log=yes log-prefix=blockachtertuin out-interface=ether1 src-address=192.168.76.231
add action=drop chain=forward comment="Blokkeer internet toegang camara werkkamer" disabled=yes log-prefix=blockwerkkamer out-interface=ether1 src-address=192.168.76.232
add action=accept chain=input comment="SSTP VPN naar Router" dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="HTTPS verbinding naar MikroTik beheer" disabled=yes dst-port=1976 protocol=tcp
add action=accept chain=forward comment=IGMP protocol=udp
add action=accept chain=input comment=IGMP protocol=udp
add action=accept chain=forward comment=IGMP disabled=yes protocol=igmp
add action=accept chain=input comment=IGMP protocol=igmp
add action=drop chain=input comment="default configuration" in-interface=ether1
add action=accept chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid log-prefix=ipv4_fw_drop
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="default configuration" in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" out-interface=WAN-INTERNET-100
add action=masquerade chain=srcnat comment="Default configuration" src-address=192.168.77.0/24
add action=dst-nat chain=dstnat comment="SSH naar NAS" disabled=yes dst-port=22 in-interface=ether1 protocol=tcp to-addresses=192.168.76.2 to-ports=22
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=5000 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=5000
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=5001 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=5001
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=80 in-interface=WAN-INTERNET-100 log-prefix=HTTPNAS protocol=tcp to-addresses=192.168.76.2 to-ports=80
add action=dst-nat chain=dstnat comment="Synology Drive" dst-port=6690 in-interface=WAN-INTERNET-100 log-prefix=SynDrive protocol=tcp to-addresses=192.168.76.2 to-ports=6690
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=443 in-interface=WAN-INTERNET-100 log-prefix=HTTPSNAS protocol=tcp to-addresses=192.168.76.2 to-ports=443
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=25 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=25
add action=dst-nat chain=dstnat comment=PLEX disabled=yes dst-port=32400 in-interface=ether1 protocol=tcp to-addresses=192.168.76.2 to-ports=32400
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1701 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=1701
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=500 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=4500 in-interface=WAN-INTERNET-100 protocol=udp to-addresses=192.168.76.2 to-ports=4500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1723 in-interface=WAN-INTERNET-100 protocol=tcp to-addresses=192.168.76.2 to-ports=1723
/ip proxy
set anonymous=yes
/ip route
add disabled=yes distance=1 gateway=192.168.1.254
/ip service
set telnet disabled=yes
set www disabled=yes port=1976
set www-ssl disabled=no port=1976
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/ppp secret
add name=deefje profile=default-encryption service=sstp
/snmp
set contact=Dave enabled=yes location=Thuis trap-generators=*ABC0002 trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Router
/system logging
add topics=sstp
/system ntp client
set primary-ntp=130.89.0.19 secondary-ntp=216.239.35.0 server-dns-names=time1.google.com
/system package update
set channel=long-term
/system routerboard settings
set silent-boot=yes
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

deefje76 wijzigde deze reactie 13-02-2019 11:16 (15%)


  • Thralas
  • Registratie: december 2002
  • Laatst online: 21:26
deefje76 schreef op woensdag 13 februari 2019 @ 00:03:
Ether6 waar de STB aan hangt staat op HW offloading.
Iemand daar nog tips voor? De export van router staat hieronder:
Yeah. Als het goed is zie je dat de bridge ports nu geen H(ardware accelerated)-vlaggetje hebben.


code:
1
/interface bridge settings set use-ip-firewall=yes



Hiermee forceer je alle bridge traffic door de firewall (die er verder als het goed is weinig mee doet), maar als side effect raak je hardware bridge offloading kwijt. Uitzetten dus.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True