MikroTik en Caiway met een eigen mediaconverter

maandag 7 maart 2022 22:24

Acties:

0 Henk 'm!

MikroTik

De config ziet er voor enkel internet oké uit.

Waar het dus misgaat is dus niet te zeggen. Dat zul je moeten achterhalen door stapsgewijs te testen. Begin eens met DNS resolven via je router of 1.1.1.1 en wat pings.

Merk je daarmee niets vreemds, dan kun je het beste Wireshark gebruiken om te kijken waarom de verbinding traag is.

dinsdag 8 maart 2022 07:03

Acties:

0 Henk 'm!

number3

Okay, dank voor de hulp. Ik ga eens kijken wat hier nu nog de oorzaak van kan zijn.

zaterdag 12 maart 2022 10:33

Acties:

0 Henk 'm!

number3

@Thralas Het is gelukt met het internet vlan. Wat heb ik uiteindelijk gedaan:

1. Backup router config (via files in webgui) en opslaan op mijn laptop.
2. Reset naar Default config (om zeker te zijn dat ik geen gekke dingen meer in mijn router config heb
3. Na reboot, minimale configuratie instellen (wifi wachtwoord en ssids), capsman even weggelaten.
4. Naar interface - vlan - add new: vlan id 100, naam: vlan-caiway-internet, interface: spf-spfplus1
5. Naar IP - DHCP client - add new: Interface - vlan-caiway-internet
6. Naar Interface - Interface List - add new: list - WAN, interface - vlan-caiway-internet

En dat is het... dan doet je internet het weer.

Dank voor het geduld, alle adviezen en meedenken. Ik wil nog na afloop als ik alles weer helemaal op orde heb toch gaan uitzoeken waarom het toevoegen van de vlan op bestaande configuratie niet werkte. Ik vermoed dat ik toch net iets verkeerd heb gedaan.

zaterdag 12 maart 2022 18:15

Acties:

0 Henk 'm!

number3

Dus nu begint het avontuur om de IPTV werkend te krijgen. Dus dit weet ik al wel na het lezen van de spec van Delta/Caiway:

Type	DHCPv4
VLAN	101
MTU	1500
IP-protocol version	IPv4
IGMP proxy	Imin IGMPv2
QoS marking	2

Dus het stappenplan so far:
1) Toevoegen van VLAN 101 (MTU 1500 is default, IPv4 ook)
2) Toevoegen van IGMP proxy
3) QoS marking... tja, dat moeten we uitzoeken

En dan komt nog de routing erbij, volgens mij zijn dit de routes die ik moet toevoegen:

code:

62.45.57.34/32
62.45.57.0/24
62.45.59.0/24
62.45.76.0/24
62.45.58.226/32
62.45.45.150/32
62.45.49.0/24
212.115.196.0/25
217.63.90.128/25
217.63.91.0/26
62.45.61.32/27
62.45.61.16/28
62.45.61.64/28
217.102.255.57/32

Wat nog niet gelukt is, is het toevoegen van de QoS marking, en de routes toevoegen moet ik ook nog even uitzoeken.

Hints zijn welkom, en ik meld me weer als ik het recept gevonden en werkend heb gekregen.

zaterdag 12 maart 2022 22:41

Acties:

0 Henk 'm!

number3

Hmmm, NPO 1/2/3 doen het goed met de regels, maar de rest niet. Ik vermoed dat ik iets fout doe met de routering.

maandag 14 maart 2022 19:21

Acties:

0 Henk 'm!

Thralas

MikroTik

number3 schreef op zaterdag 12 maart 2022 @ 22:41:
Hmmm, NPO 1/2/3 doen het goed met de regels, maar de rest niet. Ik vermoed dat ik iets fout doe met de routering.

Zou niet moeten mogen als het allemaal multicast is. Als de upstream van je IGMP proxy 0.0.0.0/0 is dan zou het moeten werken ongeacht het kanaal. Enige dat dan roet in het eten zou kunnen gooien is reverse path filtering icm. een missende route, maar dat staat standaard uit.

Controleer eens de multicast cache terwijl je zapt:
/routing/igmp-proxy/mfc/print follow detail

Voorbeeld is voor v7, desnoods omschrijven naar v6 of in Winbox bekijken

Als 't goed is zie je hem bij zappen op een andere multicast group subscriben. Ga na of dat óók gebeurt voor de niet-werkende zenders.

Indien dat het geval is, dan zou het zomaar eens iets kunnen zijn als een missende route voor iets anders dan de stream zelf (bijvoorbeeld als NPO1/2/3 geen DRM heeft en de rest wel). Dan is het nuttig om een LOG rule in je firewall toe te voegen (bovenaan!) die alles met incoming interface stb en outgoing interface internet logt.

Die lijst routes is immers zo lang dat het zomaar kan zijn dat ze wat vergeten..

vrijdag 2 september 2022 12:49

Acties:

+1 Henk 'm!

deefje76

Topicstarter

Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

code:

# sep/02/2022 12:38:16 by RouterOS 7.4
# software id = 4CIU-J7HA
#
# model = RB4011iGS+
# serial number = 968A094CE3BD
/interface bridge
add name=bridge-IOT pvid=200 vlan-filtering=yes
add admin-mac=B8:69:F4:99:95:D3 auto-mac=no comment=Bridge-LAN igmp-snooping=\
    yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment="Synology NAS LAN netwerk" \
    mac-address=E4:8D:8C:2C:30:0D
set [ find default-name=ether2 ] comment="CAM Voordeur"
set [ find default-name=ether3 ] comment="Tado Internet Bridge"
set [ find default-name=ether4 ] comment=SMILE
set [ find default-name=ether5 ] comment=PS4 speed=100Mbps
set [ find default-name=ether6 ] comment="STB Amino huiskamer"
set [ find default-name=ether7 ] comment="STB Amino werkkamer"
set [ find default-name=ether8 ] comment="Synology NAS IOTnetwerk"
set [ find default-name=ether9 ] comment="Mikrotik Access Point Werkkamer"
set [ find default-name=ether10 ] comment=\
    "Mikrotik Access Point begane grond"
set [ find default-name=sfp-sfpplus1 ] advertise="10M-half,10M-full,100M-half,\
    100M-full,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" \
    comment="Caiway Glasvezel" mac-address=B8:69:F4:99:95:D1 rx-flow-control=\
    auto speed=100Mbps tx-flow-control=auto
/interface vlan
add comment="WAN Internet VLAN 100" interface=sfp-sfpplus1 name=\
    WAN-INTERNET-100 vlan-id=100
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=yes \
    name=J&J
add bridge=bridge-IOT client-to-client-forwarding=no local-forwarding=no \
    name=SC-IOT vlan-id=200 vlan-mode=use-tag
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.100
add name=DHCP-Pool-SSTP ranges=192.168.77.2-192.168.77.10
add name=DHCP-IOT ranges=10.10.10.10-10.10.10.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp interface=bridge-lan lease-time=1w name=\
    dhcp-thuis
add add-arp=yes address-pool=DHCP-IOT interface=bridge-IOT lease-time=1w \
    name=dhcp-iot
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE bridge=bridge-lan change-tcp-mss=default dns-server=\
    192.168.76.1 local-address=192.168.77.1 remote-address=DHCP-Pool-SSTP
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether2 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether3 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether4 \
    pvid=200
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether6 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether8 \
    pvid=200
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge-lan ingress-filtering=no interface=ether1
add bridge=bridge-IOT ingress-filtering=no interface=ether7 pvid=200
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp-sfpplus1 list=WAN
/ip address
add address=192.168.76.1/24 comment=defconf interface=bridge-lan network=\
    192.168.76.0
add address=10.10.10.1/24 interface=bridge-IOT network=10.10.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add add-default-route=no comment=defconf disabled=yes interface=sfp-sfpplus1
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8 domain=IOT.local gateway=\
    10.10.10.1
add address=192.168.76.0/24 comment=defconf dns-server=192.168.76.1 domain=\
    thuis gateway=192.168.76.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=jump chain=forward comment="jump to kid-control rules" \
    jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" in-interface=\
    bridge-IOT out-interface=bridge-lan reject-with=icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" in-interface=\
    bridge-lan out-interface=bridge-IOT reject-with=icmp-network-unreachable
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara voortuin" log-prefix=block_voortuin \
    out-interface-list=WAN src-address=10.10.10.230
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara achtertuin" log-prefix=blockachtertuin \
    out-interface-list=WAN src-address=10.10.10.231
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara Terrasoverkapping" log-prefix=\
    blockwerkkamer out-interface-list=WAN src-address=10.10.10.233
add action=accept chain=input comment="SSTP VPN naar Router" dst-port=3389 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="SSTP VPN" src-address=192.168.77.0/24
add action=accept chain=forward comment="SSTP VPN" src-address=\
    192.168.77.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec conectties om ze van fasttrack uit te sluiten" \
    disabled=yes ipsec-policy=out,ipsec new-connection-mark=ipsec \
    passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec conectties om ze van fasttrack uit te sluiten" \
    disabled=yes ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=\
    yes
/ip firewall nat
add action=redirect chain=dstnat disabled=yes dst-address-type=!local \
    dst-port=53 in-interface=bridge-lan protocol=tcp to-ports=53
add action=redirect chain=dstnat disabled=yes dst-port=53 in-interface=\
    bridge-lan protocol=udp src-address-type=!local to-ports=53
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    10.10.10.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.77.0/24
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=443 \
    in-interface-list=WAN log-prefix=HTTPSNAS protocol=tcp to-addresses=\
    192.168.76.2 to-ports=443
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" disabled=yes \
    dst-port=53 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=53
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=500 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1701 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=\
    1701
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=4500 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=\
    4500
add action=dst-nat chain=dstnat protocol=gre to-addresses=192.168.76.2
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1723 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    1723
add action=dst-nat chain=dstnat comment="SSH naar NAS" disabled=yes dst-port=\
    22 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    22
add action=dst-nat chain=dstnat comment="HTTP naar NAS" disabled=yes \
    dst-port=5000 in-interface-list=WAN protocol=tcp to-addresses=\
    192.168.76.2 to-ports=5000
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" disabled=yes \
    dst-port=5001 in-interface-list=WAN protocol=tcp to-addresses=\
    192.168.76.2 to-ports=5001
add action=dst-nat chain=dstnat comment=PLEX dst-port=32400 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    32400
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=80 \
    in-interface-list=WAN log-prefix=HTTPNAS protocol=tcp to-addresses=\
    192.168.76.2 to-ports=80
add action=dst-nat chain=dstnat comment="Synology Drive" dst-port=6690 \
    in-interface-list=WAN log-prefix=SynDrive protocol=tcp to-addresses=\
    192.168.76.2 to-ports=6690
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=\
    25 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    25
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=\
    587 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=587
add action=dst-nat chain=dstnat comment="IMAP naar mailserver NAS" dst-port=\
    993 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=993
/ip kid-control device
add mac-address=FE:A6:EE:3F:1A:8E name="S10-van-Dave;2"
add mac-address=04:B4:29:56:C4:DB name="Galaxy-A40;2"
/ip proxy
set anonymous=yes
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ipv6 route
add disabled=yes dst-address=2000::/3 gateway=2001:470:1f14:f6a::1
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set cache-entries=1M interfaces=WAN-INTERNET-100
/ip upnp interfaces
add interface=WAN-INTERNET-100 type=external
add interface=bridge-lan type=internal
/ipv6 address
add address=2001:470:1f14:f6a::2 advertise=no interface=sit1
add address=2001:470:1f15:f68:: disabled=yes interface=bridge-lan
/ipv6 nd
set [ find default=yes ] disabled=yes
/snmp
set enabled=yes trap-generators=interfaces trap-interfaces=all trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
add action=remote topics=critical
add action=remote prefix=DHCP topics=dhcp
add action=remote prefix=WiFi topics=wireless
add action=remote prefix=CAPS topics=caps,debug
/system note
set note="                           (   )\
    \n                          (    )\
    \n                           (    )\
    \n                          (    )\
    \n                            )  )\
    \n                           (  (                  /\\\
    \n                            (_)                 /  \\  /\\\
    \n                    ________[_]________      /\\/    \\/  \\\
    \n           /\\      /\\        ______    \\    /   /\\/\\  /\\/\\\
    \n          /  \\    //_\\       \\    /\\    \\  /\\/\\/    \\/    \\\
    \n   /\\    / /\\/\\  //___\\       \\__/  \\    \\/\
    \n  /  \\  /\\/    \\//_____\\       \\ |[]|     \\\
    \n /\\/\\/\\/       //_______\\       \\|__|      \\\
    \n/      \\      /XXXXXXXXXX\\                  \\\
    \n        \\    /_I_II  I__I_\\__________________\\\
    \n               I_I|  I__I_____[]_|_[]_____I\
    \n               I_II  I__I_____[]_|_[]_____I\
    \n               I II__I  I     XXXXXXX     I\
    \n            ~~~~~\"   \"~~~~~~~~~~~~~~~~~~~~~~~~\
    \n\
    \n---           Toegang verboden voor onbevoegden.         ---"
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set silent-boot=yes
/tool e-mail
set address=192.168.76.2 from=router@familieelbers.nl
/tool graphing interface
add interface=WAN-INTERNET-100
add interface=sfp-sfpplus1
add interface=*5D
add interface=*5E
add interface=*5F
add interface=*60
add interface=bridge-lan
add interface=bridge-IOT
add interface=*61
add interface=*62
add interface=*63
add interface=*64
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set file-name=nsure filter-interface=WAN-INTERNET-100 filter-ip-address=\
    !83.128.169.128/32 memory-limit=1000KiB

vrijdag 2 september 2022 16:49

Acties:

0 Henk 'm!

Pasc66

[quote]deefje76 schreef op vrijdag 2 september 2022 @ 12:49:
Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

Super!!! - dankjewel - ik ga er van het weekeinde naar kijken.

Ik heb overigens op mijn hex S zojuist de vlan 101 bridge uitgezet en IGMP snooping op de VLAN 100 bridge aangezet. Daarna de tv ontvanger van de spanning af gehaald/weer van spanning voorzien..en het lijkt gewoon te werken.

Einde van de maand overstap naar Delta en dan komt mid october de nieuwe mikrotik router (RB5009UPr+S+IN) en hAP ax2 er in (de huawei ax3 gaan er dan langzaam uit). Dan kunnen we qua router wel de komende 10 jaar vooruit :-)

dinsdag 27 september 2022 16:40

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Ik heb een vreemd probleem. Ik heb sinds deze ochtend het melkpak uit en ben over op mijn Hex RB960PGS voor internet, TV (IPTV, Coax werkt ook nog

) en Voip.

Qua instellingen heb ik geen VLAN101 ingesteld; aangezien ik las dat dit niet meer nodig is.
Nu heb ik een raar dingetje.

1 van de 2 STB's krijgt maar TV via IPTV. Degene die wel werkt had ik al een tijdje via het reguliere netwerk lopen. Die andere kan geen connectie maken. Blijft hangen op connection error. Die tweede zat dus via het melkpak verbonden.

Beide STB's zitten op dezelfde HPE switch, waar ik nu voor de zekerheid ook IGMP snooping op heb aangezet.
Beide STB's krijgen een IP uit de DHCP scope.

Waar zou het nog aan kunnen liggen?

[ Voor 3% gewijzigd door imdos op 27-09-2022 22:11 . Reden: Update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 19:05

Acties:

0 Henk 'm!

deefje76

Topicstarter

Probeer diegene die niet werkt eens een harde reset te geven. Bij bij hielp dat als ik schakelde tussen mijn netwerken.

dinsdag 27 september 2022 22:10

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

deefje76 schreef op dinsdag 27 september 2022 @ 19:05:
Probeer diegene die niet werkt eens een harde reset te geven. Bij bij hielp dat als ik schakelde tussen mijn netwerken.

Met een paperclip in de reset op de onderkant bedoel je dan? Want het apparaat is al meerdere keren van de stroom af geweest.

Update
Ik heb de paperclip er minstens 10 seconden in gehad tijdens het opstarten en voordat ik de stroom erop had. Maar nog geen succes.

Ik heb zelfs dit kastje even aan de werkende verbinding geprobeerd, maar krijg dezelfde error dat er geen connectie gemaakt kan worden. Morgen maar eens bellen met de klantenservice.

[ Voor 31% gewijzigd door imdos op 27-09-2022 23:06 . Reden: Update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 22:17

Acties:

0 Henk 'm!

MischaBoender

Pasc66 schreef op vrijdag 2 september 2022 @ 11:09:
Is het ondertussen gelukt? zo ja laat me dat svp even weten. Bij mij werkt alles zonder de specifieke routering naar vlan 101 (ik zal wel iets fout gedaan hebben, but if ain't broke, don't fix it :-) )

Ik wil desgewenst wel even mij config delen.

VLAN101 disabled, routeringen er uit gehaald en wat IGMP Proxy zooi disabled (alleen aan op de LAN bridge interface). Alles lijkt nu te werken 👌🏻.

dinsdag 27 september 2022 23:01

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op dinsdag 27 september 2022 @ 22:17:
[...]

VLAN101 disabled, routeringen er uit gehaald en wat IGMP Proxy zooi disabled (alleen aan op de LAN bridge interface). Alles lijkt nu te werken 👌🏻.

Ik ben heel benieuwd of jij me verder kan helpen.

Kun je je configuratie delen en heb je één of meerdere iptv kastjes?

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 23:25

Acties:

0 Henk 'm!

MischaBoender

imdos schreef op dinsdag 27 september 2022 @ 23:01:
[...]

Ik ben heel benieuwd of jij me verder kan helpen.

Kun je je configuratie delen en heb je één of meerdere iptv kastjes?

Ik, of eigenlijk mijn ouder hebben 1 TV kastje. Heb je dan nog steeds wat een mijn config?

woensdag 28 september 2022 10:18

Acties:

0 Henk 'm!

Pasc66

MischaBoender schreef op dinsdag 27 september 2022 @ 23:25:
[...]

Ik, of eigenlijk mijn ouder hebben 1 TV kastje. Heb je dan nog steeds wat een mijn config?

Ik wil m wel delen hoor - ik heb 2 iptv kastjes die domweg in mijn lan hangen - lijkt prima te werken. Geen specifieke poorten op de mikrotik nodig voor de TV kabels. Ik zal m van de week even exporteren en hier posten.

woensdag 28 september 2022 22:04

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Help; ik snap er niets meer van. Nu heb ik op het kastje wat wel werkte een error: "onverwachte fout met inloggen" en op de andere nog steeds een probleem: "connection error". Ook kan ik nu niet eens meer met een ander device (GSM/Tablet met iOS/Android) inloggen op de Caiway IPTV web-app. Terwijl ik niets heb gewijzigd met gisteren.

Vanwege alle problemen toch weer VLAN 101 en die instellingen actief gezet. Maar dat lost het probleem niet op. Daarnaast verschillende igmp settings geprobeerd. Maar het probleem blijft.

Voor de zekerheid hieronder mijn config.

code:

export 
# sep/28/2022 21:45:30 by RouterOS 7.4.1
# software id = xxx
#
# model = RB960PGS
# serial number = xxx
/interface bridge
add comment=Bridge-Voice ingress-filtering=no name=Bridge-Voice pvid=102 \
    vlan-filtering=yes
add name=bridge-IOT pvid=200 vlan-filtering=yes
add comment=Bridge-IPTV disabled=yes igmp-snooping=yes ingress-filtering=no \
    mld-version=2 name=bridge-iptv pvid=101 vlan-filtering=yes
add comment=Bridge-LAN igmp-snooping=yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment=uplink
set [ find default-name=ether2 ] comment="Unifi_1 meterkast"
set [ find default-name=ether3 ] comment="Unifi_2 kamer"
set [ find default-name=ether4 ] comment="Unifi_3 werkkamer"
set [ find default-name=ether5 ] comment=unused
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    "Caiway Glasvezel" rx-flow-control=auto tx-flow-control=auto
/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan
add comment="WAN Voice VLAN" interface=sfp1 name="WAN Voice VLAN" vlan-id=102
add arp=proxy-arp comment="WAN Internet VLAN 100" interface=sfp1 \
    loop-protect=on name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" disabled=yes interface=sfp1 name=WAN-IPTV-101 \
    vlan-id=101
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add name=ike2-privado.io responder=no src-address-list=NaarVPN
/ip ipsec policy group
add name=ike2-privado.io
/ip ipsec profile
add dh-group=ecp256 enc-algorithm=aes-256 name=ike2-privado.io
/ip ipsec peer
add address=ams-003.vpn.privado.io disabled=yes exchange-mode=ike2 name=\
    ike2-privado.io-client profile=ike2-privado.io
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 name=ike2-privado.io
/ip kid-control
add name=kid1
/ip pool
add name=dhcp_pool0 ranges=192.168.22.10-192.168.22.254
add name=vpn_pool ranges=192.168.23.2-192.168.23.20
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=2d name=dhcp-N22
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge nat
add action=accept chain=srcnat disabled=yes out-bridge-list=WAN \
    out-interface=ether5
add action=accept chain=srcnat disabled=yes out-bridge=bridge-iptv \
    out-interface=ether1
/interface bridge port
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether5 \
    trusted=yes
add bridge=bridge-iptv disabled=yes ingress-filtering=no interface=\
    WAN-IPTV-101 pvid=101 trusted=yes
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-iptv tagged=ether1 vlan-ids=101
add bridge=bridge-iptv disabled=yes tagged=ether1 vlan-ids=100
add bridge=bridge-lan vlan-ids=100
/interface detect-internet
set lan-interface-list=LAN wan-interface-list=WAN
/interface ethernet switch vlan
add independent-learning=no ports=ether1 switch=switch1 vlan-id=101
add independent-learning=no ports=ether1,ether2,ether3,ether4,ether5 switch=\
    switch1 vlan-id=100
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface="WAN Voice VLAN" list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp1 list=WAN
add interface=WAN-IPTV-101 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=192.168.23.10/32 interface=wireguard1 public-key=\
    "xxx"
add allowed-address=192.168.23.20/32 comment=ste-win007 interface=wireguard1 \
    public-key="xxx"
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge-lan network=\
    192.168.22.0
add address=192.168.23.1/24 interface=wireguard1 network=192.168.23.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
add add-default-route=no dhcp-options=clientid_duid disabled=yes interface=\
    sfp1 use-peer-dns=no use-peer-ntp=no
add disabled=yes interface=ether1
add add-default-route=no interface="WAN Voice VLAN" use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=no disabled=yes interface=WAN-IPTV-101 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.22.230 client-id=1:0:3:e6:c0:86:50 comment="STB beneden" \
    mac-address=00:03:E6:C0:86:50 server=dhcp-N22
add address=192.168.22.200 comment=raspi-test mac-address=B8:27:EB:88:68:F7 \
    server=dhcp-N22
add address=192.168.22.3 comment=rpi3-domotica mac-address=B8:27:EB:48:79:65 \
    server=dhcp-N22
add address=192.168.22.2 comment=rpi4b mac-address=DC:A6:32:AC:AF:89 server=\
    dhcp-N22
add address=192.168.2.231 client-id=1:0:3:E6:C1:C8:12 comment="STB boven" \
    mac-address=00:03:E6:C1:C8:12 server=dhcp-N22
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf dns-server=192.168.22.2 domain=\
    router.lan gateway=192.168.22.1 netmask=24 wins-server=192.168.22.1
/ip dns
set allow-remote-requests=yes servers=192.168.22.2
/ip dns static
add address=192.168.22.1 name=router.lan
add address=192.168.22.2 name=pihole.router.lan
add address=192.168.22.2 name=pi.hole
/ip firewall address-list
add address=192.168.22.2 list=DNS
add address=192.168.22.200 list=DNS
add address=192.168.22.3 list=DNS
/ip firewall filter
add action=accept chain=input dst-port=51820 protocol=udp
add action=accept chain=forward in-interface=wireguard1
add action=drop chain=input comment="Drop traffic to router from guest" \
    disabled=yes dst-address=192.168.23.1 src-address=192.168.23.0/24
add action=drop chain=forward comment="Drop traffic from guest to home" \
    disabled=yes dst-address=192.168.22.0/24 src-address=192.168.23.0/24
add action=jump chain=forward comment="jump to kid-control rules" disabled=\
    yes jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" disabled=yes \
    in-interface=bridge-IOT out-interface=bridge-lan reject-with=\
    icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" disabled=yes \
    in-interface=bridge-lan out-interface=bridge-IOT reject-with=\
    icmp-network-unreachable
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked in-interface=sfp1
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid in-interface=sfp1
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid in-interface-list=WAN
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=udp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=udp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=tcp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=tcp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.23.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.22.0/24
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
/ip ipsec identity
add auth-method=eap certificate=privado.io.der_0 eap-methods=eap-mschapv2 \
    generate-policy=port-strict mode-config=ike2-privado.io peer=\
    ike2-privado.io-client policy-template-group=ike2-privado.io username=\
    unlcuqzfsswe
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-privado.io proposal=ike2-privado.io \
    src-address=0.0.0.0/0 template=yes
/ip kid-control device
add mac-address=04:CF:8C:8F:9A:0B name=lumi-gateway-v3_miio131869405
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=\
    WAN-IPTV-101 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=WAN-INTERNET-100 \
    upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge-lan
add disabled=yes interface=ether1
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes
/system ntp client servers
add address=nl.pool.ntp.org
/system routerboard settings
set silent-boot=yes

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 29 september 2022 10:22

Acties:

0 Henk 'm!

MischaBoender

@imdos

Hier zie ik wel wat vreemds:

code:

/interface bridge vlan
add bridge=bridge-iptv tagged=ether1 vlan-ids=101
add bridge=bridge-iptv disabled=yes tagged=ether1 vlan-ids=100
add bridge=bridge-lan vlan-ids=100

Aan je LAN bridge hangt VLAN 100 (wat internet is) en je hebt aan ether1 nog een VLAN tag hangen (geen idee of zo'n TV kastje daar iets mee doet).

donderdag 29 september 2022 10:29

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op donderdag 29 september 2022 @ 10:22:

Aan je LAN bridge hangt VLAN 100 (wat internet is) en je hebt aan ether1 nog een VLAN tag hangen (geen idee of zo'n TV kastje daar iets mee doet).

Ja, ik heb echt van alles gewijzigd gisterenavond; aangezien ineens er paniek was omdat het 2e kastje ook niets meer deed. Mogelijk heb ik die over het hoofd gezien. Ik zal die nog even disablen.

Ik heb trouwens zojuist contact gehad met de klantenservice en die medewerker gaf aan dat alles met de IPTV kastjes opgelost zou zijn door het registreren van mijn Mikrotik.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 29 september 2022 10:30

Acties:

0 Henk 'm!

MischaBoender

Hier mijn (wat opgeschoonde) config:

code:

/interface bridge
add igmp-snooping=yes name=bridge-lan protocol-mode=none
/interface vlan
add interface=sfp1 name=sfp1-wan-vlan100 vlan-id=100
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorclassidentifier value="'IPTV_RG'"
/ip pool
add name=pool-lan ranges=172.17.4.100-172.17.4.199
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=server-lan
/interface bridge port
add bridge=bridge-lan ingress-filtering=no interface=ether2
add bridge=bridge-lan ingress-filtering=no interface=ether3
add bridge=bridge-lan ingress-filtering=no interface=ether4
add bridge=bridge-lan ingress-filtering=no interface=ether5
add bridge=bridge-lan ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/ip address
add address=172.17.4.254/24 interface=bridge-lan network=172.17.4.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=sfp1-wan-vlan100
/ip dhcp-server network
add address=172.17.4.0/24 dns-server=172.17.4.254 gateway=172.17.4.254
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=sfp1-wan-vlan100
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1-wan-vlan100
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add action=remote topics=critical
add action=remote topics=error
/system ntp client
set enabled=yes
/system ntp client servers
add address=162.159.200.123
add address=162.159.200.1

donderdag 29 september 2022 11:13

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik neem aan dat je firewall rules ook onder "opgeschoond" vallen?

Eerst het probleem, dan de oplossing

donderdag 29 september 2022 20:31

Acties:

0 Henk 'm!

MischaBoender

lier schreef op donderdag 29 september 2022 @ 11:13:
Ik neem aan dat je firewall rules ook onder "opgeschoond" vallen?

Port knocking, winbox toegang, vpn e.d. heb ik er inderdaad uit gehaald. Alleen nu ik nogmaal kijk mis ik eigenlijk nog een "forward drop indien geen NAT" rule op de WAN interface.

Of heb ik nog iets anders over het hoofd gezien wat ik misschien echt niet heb in mijn firewall.

donderdag 29 september 2022 21:35

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik heb voorkeur met afsluiten van de input en forward chain met drop all. Dan moet je wel zorgen dat je nog toegang hebt via een accept rule op de input chain.

Kan je ook niets vergeten...

Eerst het probleem, dan de oplossing

donderdag 29 september 2022 21:44

Acties:

0 Henk 'm!

MischaBoender

lier schreef op donderdag 29 september 2022 @ 21:35:
Ik heb voorkeur met afsluiten van de input en forward chain met drop all. Dan moet je wel zorgen dat je nog toegang hebt via een accept rule op de input chain.

Kan je ook niets vergeten...

Daar heb je zeker een punt ja. Heb ik in mijn eigen router wel gedaan, met net daar voor een log rule voor verkeer met RFC1918 als source. In deze router van mijn ouders ben ik een beetje lui geweest...

dinsdag 4 oktober 2022 13:15

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

@lier en @MischaBoender Ik heb een nieuw IPTV kastje opgestuurd gekregen vanuit Caiway, die in eerste instantie niet gekoppeld was aan mijn account. Dat is uiteindelijk in het weekend gebeurd.

Maar die wil niet verbinden via de routed optie (zoals mijn kastje in de huiskamer, die dit wel kan). Ik heb weer contact daarover gehad met Caiway en die geven aan dat ik het toch moet proberen via het melkpak en de bridged methode dus via vlan 101.

Nu heb ik echt van alles zitten doen; maar ik krijg het niet werkend. Ik zie vast iets over het hoofd. Heeft iemand een idee?

code:

# oct/04/2022 12:59:11 by RouterOS 7.4.1
/interface bridge
add comment=Bridge-Voice ingress-filtering=no name=Bridge-Voice pvid=102 \
    vlan-filtering=yes
add name=bridge-IOT pvid=200 vlan-filtering=yes
add comment=Bridge-IPTV igmp-snooping=yes ingress-filtering=no mld-version=2 \
    name=bridge-iptv pvid=101 vlan-filtering=yes
add comment=Bridge-LAN igmp-snooping=yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment=uplink
set [ find default-name=ether2 ] comment="Unifi_1 meterkast"
set [ find default-name=ether3 ] comment="Unifi_2 kamer"
set [ find default-name=ether4 ] comment="Unifi_3 werkkamer"
set [ find default-name=ether5 ] comment=unused
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    "Caiway Glasvezel" rx-flow-control=auto tx-flow-control=auto
/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan
add comment="WAN Voice VLAN" interface=sfp1 name="WAN Voice VLAN" vlan-id=102
add arp=proxy-arp comment="WAN Internet VLAN 100" interface=sfp1 \
    loop-protect=on name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" interface=sfp1 name=WAN-IPTV-101 vlan-id=101
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorclassidentifier value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.24.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip ipsec mode-config
add name=ike2-privado.io responder=no src-address-list=NaarVPN
/ip ipsec policy group
add name=ike2-privado.io
/ip ipsec profile
add dh-group=ecp256 enc-algorithm=aes-256 name=ike2-privado.io
/ip ipsec peer
add address=ams-003.vpn.privado.io disabled=yes exchange-mode=ike2 name=\
    ike2-privado.io-client profile=ike2-privado.io
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 name=ike2-privado.io
/ip kid-control
add name=kid1
/ip pool
add name=dhcp_pool0 ranges=192.168.22.10-192.168.22.254
add name=vpn_pool ranges=192.168.23.2-192.168.23.20
add name=iptv-pool ranges=192.168.24.2-192.168.24.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=2d name=dhcp-N22
add address-pool=iptv-pool dhcp-option-set=IPTV interface=bridge-iptv \
    lease-time=1d name=dhcp-iptv
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge nat
add action=accept chain=srcnat out-bridge=bridge-iptv out-interface=ether5
add action=accept chain=srcnat disabled=yes out-bridge=bridge-iptv \
    out-interface=ether1
/interface bridge port
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-iptv comment=defconf ingress-filtering=no interface=ether5 \
    pvid=101 trusted=yes
add bridge=bridge-iptv ingress-filtering=no interface=WAN-IPTV-101 pvid=101 \
    trusted=yes
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-iptv tagged=ether5 vlan-ids=101
add bridge=bridge-lan vlan-ids=100
/interface detect-internet
set lan-interface-list=LAN wan-interface-list=WAN
/interface ethernet switch vlan
add independent-learning=no ports=ether5 switch=switch1 vlan-id=101
add independent-learning=no ports=ether1,ether2,ether3,ether4 switch=switch1 \
    vlan-id=100
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface="WAN Voice VLAN" list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp1 list=WAN
add interface=WAN-IPTV-101 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=192.168.23.10/32 interface=wireguard1 public-key=\
    "YHCPcCy2Mx4hoCADk0pukUmeEmFcxkirZTKkT3+6qF8="
add allowed-address=192.168.23.20/32 comment=ste-win007 interface=wireguard1 \
    public-key="CtOOgELFOl/a8CEecuJkPvitM2/6+70M31f9LYOGWgc="
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge-lan network=\
    192.168.22.0
add address=192.168.23.1/24 interface=wireguard1 network=192.168.23.0
add address=192.168.24.1 interface=bridge-iptv network=192.168.24.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
add add-default-route=no dhcp-options=clientid_duid disabled=yes interface=\
    sfp1 use-peer-dns=no use-peer-ntp=no
add disabled=yes interface=ether1
add add-default-route=no interface="WAN Voice VLAN" use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=no disabled=yes interface=WAN-IPTV-101 use-peer-ntp=no
add add-default-route=no dhcp-options=hostname,clientid,vendorclassidentifier \
    interface=bridge-iptv use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.22.230 client-id=1:0:3:e6:c0:86:50 comment="STB beneden" \
    mac-address=00:03:E6:C0:86:50 server=dhcp-N22
add address=192.168.22.200 comment=raspi-test mac-address=B8:27:EB:88:68:F7 \
    server=dhcp-N22
add address=192.168.22.3 comment=rpi3-domotica mac-address=B8:27:EB:48:79:65 \
    server=dhcp-N22
add address=192.168.22.2 comment=rpi4b mac-address=DC:A6:32:AC:AF:89 server=\
    dhcp-N22
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf dns-server=192.168.22.2 domain=\
    router.lan gateway=192.168.22.1 netmask=24 wins-server=192.168.22.1
add address=192.168.24.0/24 comment=iptv gateway=192.168.24.1
/ip dns
set allow-remote-requests=yes servers=192.168.22.2
/ip dns static
add address=192.168.22.1 name=router.lan
add address=192.168.22.2 name=pihole.router.lan
add address=192.168.22.2 name=pi.hole
/ip firewall address-list
add address=192.168.22.2 list=DNS
add address=192.168.22.200 list=DNS
add address=192.168.22.3 list=DNS
/ip firewall filter
add action=accept chain=input dst-port=51820 protocol=udp
add action=accept chain=forward in-interface=wireguard1
add action=drop chain=input comment="Drop traffic to router from guest" \
    disabled=yes dst-address=192.168.23.1 src-address=192.168.23.0/24
add action=drop chain=forward comment="Drop traffic from guest to home" \
    disabled=yes dst-address=192.168.22.0/24 src-address=192.168.23.0/24
add action=jump chain=forward comment="jump to kid-control rules" disabled=\
    yes jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" disabled=yes \
    in-interface=bridge-IOT out-interface=bridge-lan reject-with=\
    icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" disabled=yes \
    in-interface=bridge-lan out-interface=bridge-IOT reject-with=\
    icmp-network-unreachable
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked in-interface=sfp1
add action=accept chain=input comment=test in-interface=bridge-iptv
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid in-interface=WAN-INTERNET-100
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid in-interface-list=WAN
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=udp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=udp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=tcp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=tcp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=WAN-INTERNET-100
add action=masquerade chain=srcnat out-interface=WAN-INTERNET-100 \
    src-address=192.168.23.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.22.0/24
add action=masquerade chain=srcnat log=yes out-interface=bridge-iptv \
    src-address=192.168.24.0/24
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
/ip kid-control device
add mac-address=04:CF:8C:8F:9A:0B name=lumi-gateway-v3_miio131869405
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=\
    WAN-IPTV-101 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10 vrf-interface=bridge-iptv
/ip service
set telnet disabled=yes
set ftp disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=WAN-INTERNET-100 \
    upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge-lan
add disabled=yes interface=ether1
add interface=bridge-iptv
/system clock
set time-zone-name=Europe/Amsterdam

De scripts en ipsec policy heb ik verwijderd.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 4 oktober 2022 13:29

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Het nadeel van meerdere bridges dat er (vooralsnog) maar op een HW offloading gedaan kan worden. Daarnaast is je opzet met VLAN's en filtering niet helemaal juist. Misschien kan je dit topic eens lezen:

https://forum.mikrotik.com/viewtopic.php?f=23&t=143620

Volgens mij kan je een virtuele interface aanmaken op de eth1 (zeg eth1.101) die je toevoegt aan de bridge met VLAN 101. Als je deze doorzet naar de poorten waarop de STB's zitten dan ben je al klaar.

Eerst het probleem, dan de oplossing

woensdag 5 oktober 2022 01:53

Acties:

0 Henk 'm!

MischaBoender

@imdos, misschien een domme vraag, maar werken ze wel beide tegelijk via de apparatuur van Caiway zelf?

Ik weet trouwens ook niet wat je met dat "melkpak" bedoeld.

woensdag 5 oktober 2022 10:27

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op woensdag 5 oktober 2022 @ 01:53:
@imdos, misschien een domme vraag, maar werken ze wel beide tegelijk via de apparatuur van Caiway zelf?

Ik weet trouwens ook niet wat je met dat "melkpak" bedoeld.

melkpak is de Genexis hybrid live titanium.

Ik heb het caiway modem er nog niet in geprikt. Die is nu een weekje oud. In de oude situatie had ik 1 iptv ontvanger (van de woonkamer) al omgeprikt en zat die op poort 1 van het Caiway modem (via mijn mikrotik en switch); dus VLAN 100. Maar die andere, oudere iptv (van de slaapkamer) heb ik nooit omgeprikt.

Alleen toen ik vorige week ben geswitched en mijn telefonie (2x Siemens gigaset en caiway modem) er uitgegooid heb (o.a. vanwege stroombesparing). Voip komt nog wel terug op mijn raspberrypi overigens. Kwam ik er dus achter dat het 2e kastje niet werkte.

Maar die heb ik dus laten vervangen in de verwachting dat hiermee het probleem opgelost zou zijn. Maar dat lijkt er nog niet op. Dus nu probeer ik mijn VLAN101 goed te laten functioneren.

Ik wil vanavond eens proberen of ik het oude modem kan terughangen en daardoor die 2de kan activeren (incl. verplichte firmware update van 20.2.88_build4-bbl => 20.2.98.1-build4 ).

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 6 oktober 2022 18:59

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Nou; weer 1 stap vooruit en 2 achteruit vandaag. Met het melkpak en het nieuwe iptv kastje aan poortje 2 niets. Met de oude, die nog niet was teruggestuurd, de firmware kunnen bijwerken naar de huidige versie. Toen die een reboot ging doen meteen omgehangen naar poort 1; dus vlan 100 only, toen werkte die.

Mijn mikrotik er weer aangehangen en de dhcp lease afgewacht voor een nieuwe werkdag. Deden ineens beide iptv kastjes het niet ivm fout in de aanmelding. Gemeld bij Caiway en die gingen er mee aan de slag; zsm (wat dat mag betekenen).

Blijkt dat er maar 1 kastje actief lijkt te zijn; nota bene de 2de die al tijden kuren vertoonde en de andere was verdwenen. Echt een mysterie.

Update; gisterenavond deed mijn caiway app het weer en vanochtend beide iptv kastjes. Alsof er na een extra registratie of error daarin een bepaalde timeout zit, waarnaar het weer gewoon gaat werken.

[ Voor 12% gewijzigd door imdos op 07-10-2022 11:25 . Reden: update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 15 november 2022 16:57

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op vrijdag 2 september 2022 @ 16:49:
[quote]deefje76 schreef op vrijdag 2 september 2022 @ 12:49:
Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

Super!!! - dankjewel - ik ga er van het weekeinde naar kijken.

Ik heb overigens op mijn hex S zojuist de vlan 101 bridge uitgezet en IGMP snooping op de VLAN 100 bridge aangezet. Daarna de tv ontvanger van de spanning af gehaald/weer van spanning voorzien..en het lijkt gewoon te werken.

Einde van de maand overstap naar Delta en dan komt mid october de nieuwe mikrotik router (RB5009UPr+S+IN) en hAP ax2 er in (de huawei ax3 gaan er dan langzaam uit). Dan kunnen we qua router wel de komende 10 jaar vooruit :-)

Heb je deze RB5009UPr+S+IN toevallig al in gebruik met delta?

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

dinsdag 15 november 2022 17:01

Acties:

0 Henk 'm!

Pasc66

Nog niet - hij is onderweg en kan elk moment binnenkomen. Volgende aanschaf wordt 1 of 2 hap ax3 (de bestelling met de ax2 heb ik gecancelled - de hap ax3 past beter bij de rb5009)

dinsdag 15 november 2022 17:10

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op dinsdag 15 november 2022 @ 17:01:
Nog niet - hij is onderweg en kan elk moment binnenkomen. Volgende aanschaf wordt 1 of 2 hap ax3 (de bestelling met de ax2 heb ik gecancelled - de hap ax3 past beter bij de rb5009)

Ik ben benieuwd of je de SFP werkend krijgt in de RB5009. Ik krijg het namelijk niet voor elkaar. De config klopt, want met een externe mediaconverter werkt het wel, maar de FS BiDi SFP (en ook een originele MikroTik) krijg ik niet werkend. Hij wordt wel gedetecteerd en komt up met 1G FD, maar de Rx blijft op 0 staan en ik krijg dan geen ip.

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

dinsdag 15 november 2022 22:34

Acties:

0 Henk 'm!

Pasc66

Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

[ Voor 16% gewijzigd door Pasc66 op 15-11-2022 22:37 ]

woensdag 16 november 2022 09:41

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op dinsdag 15 november 2022 @ 22:34:
Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

Ok dank

. Ik heb ook de RB5009UPr+S+IN trouwens. Nu dan icm een TP-link mc220L

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 18 november 2022 11:26

Acties:

0 Henk 'm!

henleu

Pasc66 schreef op dinsdag 15 november 2022 @ 22:34:
Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

Het glas ligt hier net in de straat en het is inderdaad de bedoeling om het rechtstreeks op de RB5009 nieuwe variant aan te sluiten. De verwachting is dat de aansluiting in huis door Delta nog wel een paar maanden op zich laat wachten. Ik ben benieuwd.

vrijdag 18 november 2022 11:57

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

3dmaster schreef op dinsdag 15 november 2022 @ 17:10:
Hij wordt wel gedetecteerd en komt up met 1G FD, maar de Rx blijft op 0 staan en ik krijg dan geen ip.

Moeten we nog even naar je config kijken? Heb je de de VLAN op de juiste manier aangemaakt?

Eerst het probleem, dan de oplossing

vrijdag 18 november 2022 15:18

Acties:

0 Henk 'm!

3dmaster

lier schreef op vrijdag 18 november 2022 @ 11:57:
[...]

Moeten we nog even naar je config kijken? Heb je de de VLAN op de juiste manier aangemaakt?

Dat mag, ik heb ff wat zaken mbt tot mijn vpn's er uit gehaald.

code:

# oct/22/2022 20:35:45 by RouterOS 7.6
# software id = 32DG-W5CB
#
# model = RB5009UPr+S+
# serial number = HCY08D45X7X
/interface bridge
add admin-mac=18:FD:74:78:53:89 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full  speed=1Gbps \
/interface wireguard
add listen-port=51820 mtu=1420 name=WG0
/interface vlan
add interface=sfp-sfpplus1 loop-protect=off name=DeltaInternet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 pfs-group=modp2048
/ip pool
add name=dhcp ranges=10.10.0.100-10.10.0.200
add name=openvpn ranges=10.10.11.10-10.10.11.100
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=8h10m name="Default LAN DHCP"
/ppp profile
add local-address=10.10.11.1 name=openvpn remote-address=openvpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=DeltaInternet list=WAN
add interface=WG0 list=LAN
/interface ovpn-server server
set certificate=gateway cipher=blowfish128,aes128,aes192,aes256 default-profile=openvpn enabled=yes protocol=udp
/ip address
add address=10.10.0.254/24 comment=defconf interface=bridge network=10.10.0.0
add address=10.10.100.1/24 interface=WG0 network=10.10.100.0
/ip dhcp-client
add interface=DeltaInternet use-peer-ntp=no
/ip dhcp-server lease
add address=10.10.0.51 mac-address=5C:CF:7F:AD:15:34 server="Default LAN DHCP"
add address=10.10.0.20 mac-address=00:30:18:C4:46:D1 server="Default LAN DHCP"
/ip dhcp-server network
add address=10.10.0.0/24 comment=defconf dns-server=10.10.0.1 gateway=10.10.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=10.10.0.254 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no dst-address=10.10.20.0/24 gateway=WG0 routing-table=main suppress-hw-offload=no
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=DeltaInternet type=external
add interface=bridge type=internal
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp \
    src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ppp secret
add name=jurgen profile=openvpn
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 18 november 2022 17:56

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik

Config ziet er netjes uit (afgezien van de UPnP

= persoonlijk en de overbodige IPv6 onderdelen).
Het is ook wel heel gek dat je geen RX krijgt. Als je wil, ik heb toenertijd voor mijn RB4011 een aantal SFP's bij FS besteld. Ik kan er je een toesturen als je wil?

offtopic:
Ja ja...is meer voor Vraag en antwoord

Eerst het probleem, dan de oplossing

zaterdag 19 november 2022 09:29

Acties:

+1 Henk 'm!

Pasc66

3dmaster schreef op woensdag 16 november 2022 @ 09:41:
[...]

Ok dank . Ik heb ook de RB5009UPr+S+IN trouwens. Nu dan icm een TP-link mc220L

Hij ondertussen binnen maar ik kan m pas einde volgende week testen - zit t/m woensdag of donderdag in buitenland.

dinsdag 22 november 2022 11:11

Acties:

0 Henk 'm!

3dmaster

lier schreef op vrijdag 18 november 2022 @ 17:56:
Config ziet er netjes uit (afgezien van de UPnP = persoonlijk en de overbodige IPv6 onderdelen).
Het is ook wel heel gek dat je geen RX krijgt. Als je wil, ik heb toenertijd voor mijn RB4011 een aantal SFP's bij FS besteld. Ik kan er je een toesturen als je wil?

offtopic:
Ja ja...is meer voor Vraag en antwoord

Ja, UPnP is wel makkelijk voor games soms ...

Ik heb zelf al getest met 2 andere sfp's ( 2 10Gbit MM optics) en die werken prima. Dan kan ik ook babbelen tussen de router en mijn NAS op 10Gbit dus de SFP poort werkt wel. Het is echt de combi met (in elk geval) deze BiDi SFP's.

Maar bedankt voor het aanbod iig

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 9 december 2022 13:21

Acties:

0 Henk 'm!

Pasc66

Ok - ik ben ondertussen NIET verder gekomen met testen (en ik weet dat dit ook voor aantal anderen geldt).

Heb daarom een ticket bij Mikrotik geopend en na wat heen en weer mailen vragen ze om de supout.rif.

Ik ga deze in de komende dagen aanleveren - als jullie hetzelfde kunnen doen dan krijgt dit wellicht wat meer prio.

Hello,

Please send us the supout.rif file from your RB5009 device created when SFP problem is present.

This article explains how to make a supout.rif file:
https://help.mikrotik.com/docs/display/ROS/Supout.rif

Best regards,
Jānis B.

Groet,
P

vrijdag 9 december 2022 13:41

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Heb even terug zitten lezen, @Pasc66. Het lukt je niet om dezelfde SFP werkend (in je hEX S) te krijgen in je RB5009? Heb je de config 1-op-1 overgezet. Of moet ik verder terug gaan in de tijd?

Eerst het probleem, dan de oplossing

vrijdag 9 december 2022 18:45

Acties:

+1 Henk 'm!

Pasc66

Het lukt inderdaad niet om met de rb5009 met sfp, fiber en config (allen werkend in de hexS) een verbinding met delta te krijgen. Er lijkt domweg niets binnen te komen.

Het probleem lijkt in de rb5009 te zitten waarbij ik denk dat er het volgende aan de hand is:
- bug in firmware/routeros
- 1 gb sfp wordt toch niet ondersteund - het moet 10gb zijn die dan op 1gb ingesteld moet worden

Iets anders kan ik er niet van maken.

woensdag 21 december 2022 13:21

Acties:

0 Henk 'm!

RaistlinM

@Pasc66 heb je nog respons gehad van Mikrotik hierover? Ik ervaar hetzelfde issue en zal ook nog weer een bug inschieten. Hopelijk wordt het in een volgende update verholpen.

woensdag 21 december 2022 13:53

Acties:

0 Henk 'm!

Pasc66

Nee nog niet - nog geen enkele response. Ik heb op verzoek van Mikrotik de supout.rif (RouterOs 7.7 RC1) gestuurd en zojuist ook de supout.rif voor RC2 gestuurd. Aangegeven dat de sfp module die ik gebruik ook nog EEE compatible is. Hiermee lijken alle externe oorzaken ge-elemineerd en kan het toch echt alleen aan de RB5009 liggen. Ik heb om escalatie gevraagd. Heel irritant allemaal.

zondag 14 mei 2023 19:29

Acties:

0 Henk 'm!

Picaroon

Pasc66 schreef op woensdag 21 december 2022 @ 13:53:
Nee nog niet - nog geen enkele response. Ik heb op verzoek van Mikrotik de supout.rif (RouterOs 7.7 RC1) gestuurd en zojuist ook de supout.rif voor RC2 gestuurd. Aangegeven dat de sfp module die ik gebruik ook nog EEE compatible is. Hiermee lijken alle externe oorzaken ge-elemineerd en kan het toch echt alleen aan de RB5009 liggen. Ik heb om escalatie gevraagd. Heel irritant allemaal.

Heb je dit issue nog weten op te lossen? Het lijkt gerelateerd aan een (niet onoverkomenlijk overigens) probleem dat ik ervaar met mijn CCR1009-7g-1c-1s+pc. Ik gebruik een 1000BASE-BX-BiDi 1310TX/1550RX 20km DOM Simplex LC SFP op de SFP poort (combo) op autonegotation, maar zodra ik deze config verplaats naar de SFP+ (10Gb) poort met disabled autonegotation en hard ingesteld op 1Gb komt er vrijwel geen verkeer binnen. Link is up and running, maar ontvang geen DHCP lease. Via torch zie ik vrijwel geen output.

Vraag me af of dit aan de Mikrotik ligt of de SFP module mocht ik ooit overstappen naar een Mikrotik zonder SFP poorten (dus SFP+ only).

OS: RouterOS 7.9

zondag 14 mei 2023 21:42

Acties:

0 Henk 'm!

Pasc66

Picaroon schreef op zondag 14 mei 2023 @ 19:29:
[...]

Heb je dit issue nog weten op te lossen? Het lijkt gerelateerd aan een (niet onoverkomenlijk overigens) probleem dat ik ervaar met mijn CCR1009-7g-1c-1s+pc. Ik gebruik een 1000BASE-BX-BiDi 1310TX/1550RX 20km DOM Simplex LC SFP op de SFP poort (combo) op autonegotation, maar zodra ik deze config verplaats naar de SFP+ (10Gb) poort met disabled autonegotation en hard ingesteld op 1Gb komt er vrijwel geen verkeer binnen. Link is up and running, maar ontvang geen DHCP lease. Via torch zie ik vrijwel geen output.

Vraag me af of dit aan de Mikrotik ligt of de SFP module mocht ik ooit overstappen naar een Mikrotik zonder SFP poorten (dus SFP+ only).

OS: RouterOS 7.9

Ik heb het nog niet kunnen oplossen maar eerlijkheid gebied te zeggen dat ik de afgelope 3-4 weken even wat andere prioriteiten had.
Van het weekeinde de huawei eruit gehaald en de mikrotiks zitten er weer in - ik kan weer gaan testen. Zojuist 7.10beta5 geinstalleerd en daar zitten weer wat sfp fixes in - van de week weer even proberen.
Het lijkt me echt aan de Mikrotik spf+ poorten te liggen icm Delta. Met kpn schijnt het wel weer te werken.

Van week doe ik weer even testje (naast het opzetten van een guest lan naast mijn normale (radius) lan...er is nog wat werk aan de winkel. Dan in de toekomst door naar losse vlans voor IOT, mijn hardware vs de rest van het gezin).

zondag 14 mei 2023 22:22

Acties:

0 Henk 'm!

Picaroon

@Pasc66 Ik vind het wel merkwaardig, want wat is er nou wezenlijk anders aan een SFP+ poort in een fixed 1Gb config t.o.v. een SFP poort in autonegotiation mode....

Overigens heb ik een Caiway aansluiting, maar onder water is het Delta wanneer de eigenschappen van het externe IP wordten opgevraagd.

zondag 14 mei 2023 22:29

Acties:

0 Henk 'm!

Pasc66

Ja. - ik snap er zelf ook niets van waarom het maar niet wil werken. Nah ik blijf gewoon volhouden :-)

woensdag 17 mei 2023 07:46

Acties:

0 Henk 'm!

Picaroon

Voor het vervangen van de Genenix 7840 door een Mikrotik CCR1009 heb ik de config van TS gebruikt als basisconfiguratie (waarvoor dank!). Het was vrij recht toe recht aan; het plaatsen van de Amino in een bridged setup (vlan 101 doorgetrokken) of routed setup (in LAN) werkt in beide gevallen zonder enige IGMP configuratie.

Zou dit dan voldoende zijn om IPTV ook werkend te houden? Ik ben namelijk in de veronderstelling dat er veel meer nodig is....

Mijn basisconfig ziet er nu als volgt uit:

code:

/interface bridge
add name=bridge-IOT pvid=200 vlan-filtering=yes
add name=bridge-LAN
/interface ethernet
set [ find default-name=combo1 ] comment="Caiway Glasvezel"
set [ find default-name=ether1 ] comment="Switch Zolder"
set [ find default-name=ether3 ] comment="Access Point Meterkast"
set [ find default-name=ether4 ] comment="STB Amino woonkamer"
/interface vlan
add comment="WAN Internet VLAN 100" interface=combo1 name=WAN-internet-100 vlan-id=100
/interface list
add name=LAN
add name=WAN
add name=IOT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=DHCP-LAN ranges=192.168.1.150-192.168.1.199
add name=DHCP-IOT ranges=10.10.10.10-10.10.10.100
/ip dhcp-server
add address-pool=DHCP-LAN interface=bridge-LAN name=dhcp-thuis
add address-pool=DHCP-IOT interface=bridge-IOT name=dhcp-iot
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge-LAN interface=ether1
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-IOT ingress-filtering=no interface=ether4 pvid=200
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=WAN-internet-100 list=WAN
add interface=combo1 list=WAN
add interface=bridge-LAN list=LAN
add interface=bridge-IOT list=IOT
/ip address
add address=192.168.1.1/24 interface=bridge-LAN network=192.168.1.0
add address=10.10.10.1/24 interface=bridge-IOT network=10.10.10.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-internet-100
/ip dhcp-server network
add address=10.10.10.0/24 comment=IOT domain=IOT.local gateway=10.10.10.1
add address=192.168.1.0/24 comment=thuis domain=infrajedi.local gateway=192.168.1.1
/ip firewall filter
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid log-prefix=block_invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface=WAN-internet-100
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN-internet-100 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN-internet-100 src-address=10.10.10.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
/ip ssh
set strong-crypto=yes
/lcd
set enabled=no
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 83% gewijzigd door Picaroon op 17-05-2023 07:55 ]

woensdag 17 mei 2023 08:01

Acties:

+1 Henk 'm!

Pasc66

Nee - voor IPTV heb je (ook tot mijn verrassing) de hele vlan + extra routing niet nodig - IGMP snooping aanzetten en klaar.. je kan de amino dan op elke netwerkkabel aansluiten.

Ik stuur je mijn config later vandaag wel even

woensdag 17 mei 2023 08:16

Acties:

0 Henk 'm!

Jippelskea!

Zijn er hier toevallig ook mensen met een online.nl abbonement op Delta glasvezel die een Mikrotik gebruiken. Ik loop al tijden te klooien maar krijg iptv niet werkend.

woensdag 17 mei 2023 10:54

Acties:

+1 Henk 'm!

Pasc66

Ik heb net even op online.nl gekeken en daar is geen info over (mogelijke) vlans ed terug te vinden.
Kan jij je config van je MT even posten?

woensdag 17 mei 2023 12:19

Acties:

0 Henk 'm!

Jippelskea!

Zal m vanavond even opschonen en posten. Hij is aardig rommelig geworden doordat ik zoveel mogelijk uit de zyxel gekopieerd heb. Het blijft een lang leerproces met RourerOS

woensdag 17 mei 2023 12:52

Acties:

0 Henk 'm!

Picaroon

Pasc66 schreef op woensdag 17 mei 2023 @ 08:01:
Nee - voor IPTV heb je (ook tot mijn verrassing) de hele vlan + extra routing niet nodig - IGMP snooping aanzetten en klaar.. je kan de amino dan op elke netwerkkabel aansluiten.

Ik stuur je mijn config later vandaag wel even

De reden dat ik mijn bedenkingen heb bij de vrij 'simpele config' is dat Caiway iets zegt over het aanmaken van statische routeringen. Wellicht niet van toepassing, maar voor IPTV van KPN is er ook een aardige config noodzakelijk i.c.m. IGMP en statische routeringen.

Of denk ik nou te moeilijk

woensdag 17 mei 2023 15:16

Acties:

0 Henk 'm!

MischaBoender

Picaroon schreef op woensdag 17 mei 2023 @ 12:52:
De reden dat ik mijn bedenkingen heb bij de vrij 'simpele config' is dat Caiway iets zegt over het aanmaken van statische routeringen. Wellicht niet van toepassing, maar voor IPTV van KPN is er ook een aardige config noodzakelijk i.c.m. IGMP en statische routeringen.

Of denk ik nou te moeilijk

Bij mijn ouders heb ik geprobeerd om het met TV VLAN en statische routeringen werkend te krijgen, maar dat is niet gelukt. Na dat er weer helemaal afgesloopt te hebben en gewoon via internet routeren werkte alles als een zonnetje. Thuis ook TV van Delta genomen zonder TV VLAN, statische routes en IGMP snooping: werkt top!

donderdag 18 mei 2023 11:25

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

@Picaroon, je hebt twee bridges aangemaakt. Dat is niet handig (en niet nodig), aangezien je ook met (een) VLAN werkt. Conceptueel is het aan te raden om alles in VLAN's te plaatsen, dat zorgt er uiteindelijk ook voor dat je security in de firewall beter kan instellen.

In dit topic kan je goed zien hoe je een en ander moet instellen:
https://forum.mikrotik.com/viewtopic.php?t=143620

Eerst het probleem, dan de oplossing

vrijdag 19 mei 2023 21:26

Acties:

0 Henk 'm!

Picaroon

lier schreef op donderdag 18 mei 2023 @ 11:25:
@Picaroon, je hebt twee bridges aangemaakt. Dat is niet handig (en niet nodig), aangezien je ook met (een) VLAN werkt. Conceptueel is het aan te raden om alles in VLAN's te plaatsen, dat zorgt er uiteindelijk ook voor dat je security in de firewall beter kan instellen.

In dit topic kan je goed zien hoe je een en ander moet instellen:
https://forum.mikrotik.com/viewtopic.php?t=143620

Dank voor de tip, het is ook de bedoeling om de bridges eruit te halen des te meer omdat deze CCR1009 geen switchchip heeft. Maar ik ben vrij nieuw in de Mikrotik wereld, dus moet nog even door de zure appel heen bijten m.b.t. de manieren waarop een VLAN kan worden aangemaakt.

zaterdag 20 mei 2023 12:19

Acties:

0 Henk 'm!

Picaroon

Hmm, ik heb de voorbeelden gezien in het topic maar kom er niet uit. Meerdere VLAN's aanmaken op een ethernet port (trunking) lukt nog wel, maar diezelfde reeks moet ook kenbaar gemaakt worden op een andere ethernet port.

Tenzij de router puur wordt gebruikt voor het routeren van netwerken op unieke segmenten (vlans) per ethernet port zonder enige vorm van switching ontkom ik niet aan bridging. Of ik sla de plank volledig mis...

woensdag 26 juli 2023 19:26

Acties:

0 Henk 'm!

bwbboot

Pasc66 schreef op vrijdag 9 december 2022 @ 18:45:
Het lukt inderdaad niet om met de rb5009 met sfp, fiber en config (allen werkend in de hexS) een verbinding met delta te krijgen. Er lijkt domweg niets binnen te komen.

Het probleem lijkt in de rb5009 te zitten waarbij ik denk dat er het volgende aan de hand is:
- bug in firmware/routeros
- 1 gb sfp wordt toch niet ondersteund - het moet 10gb zijn die dan op 1gb ingesteld moet worden

Iets anders kan ik er niet van maken.

Ik gebruik de 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Simplex LC/SC SMF Transceiver Module module van SF.com en die werkt perfect in mijn RB3011UiAS.

Vandaag mijn RB5009 binnen gekregen en heb precies hetzelfde probleem, geen verbinding. Ik ga ook maar eens een ticket openen bij Mikrotik.

@Pasc66 Heb je een ticket nummer waaraan ik kan refereren?

donderdag 27 juli 2023 03:17

Acties:

0 Henk 'm!

Pasc66

Hoi - ik ben nu op vakantie en kom as maandag terug. Ik zal het dan opzoeken. Ik vrees alleen dat je bij Mikrotik tegen een muur op loopt maar gelukkig is R3D (Delta medewerker) dit aan het onderzoeken omdat een bedrijf/provider ook tegen dit probleem op loopt - misschien dat hij voldoende leverage heeft.
Als alternatief kunnen we wellicht wen separaat topic openen en collectief naar MT toe gaan - dit is eigenlijk te gek voor woorden.

donderdag 27 juli 2023 19:25

Acties:

0 Henk 'm!

bwbboot

Ondertussen via een ticket bij Mikrotik de volgende reactie gehad:

Unfortunately, force 1G speed support is required on the other end of the connection in order for the 1G SFP module to work in the 10G interface. This affects all MikroTik devices with 10G SFP+ ports.

This restriction cannot be changed easily.

We are sorry for the inconvenience caused.

Best Regards,
Ričards I.

[ Voor 10% gewijzigd door bwbboot op 27-07-2023 19:25 ]

dinsdag 1 augustus 2023 15:37

Acties:

0 Henk 'm!

RaistlinM

Toch wel vreemd. Bij andere Mikrotik producten werkt dit toch wel gewoon? (HexS, RB4011)

zaterdag 4 mei 2024 09:19

Acties:

0 Henk 'm!

Frans83lopik

is er iemand die een werkende cofig heeft voor delta / caiway
ik krijg namelijk op geen enkelwijze de mikrotik aan de gang ik heb hie al lopen zoeken en geprobeerd
maar het werkt niet

ik heb een mikrotik crs30-8g+2s+in en een zaram XGS SFP+ stick de zaram krijgt wel een ip maar veder kom ik niet

zaterdag 4 mei 2024 09:45

Acties:

0 Henk 'm!

Jippelskea!

Staat je vlan100 interface wel onder de WAN interface list? En zit hij niet perongeluk in je LAN-bridge?
Ik ben vandaag aan het werk en kan niet bij mn router maar kan morgen wel even de config van mn rb5009 sturen

zaterdag 4 mei 2024 10:51

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Deel even je config, @Frans83lopik:

code:

1	/export file=welkenaamjeookwil

Haal de serial en ander prive info weg.

Je weet trouwens dat je een switch als router gaat gebruiken. En dat je met een standaard config niet heel veel meer dan 200Mbps gaat halen!?

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 13:20

Acties:

0 Henk 'm!

Frans83lopik

@lier hier mij conig

code:

/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes \
    name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=Delta
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] comment=Delta
/interface vlan
add interface=sfp-sfpplus1 name=WAN-INTERNET-100 vlan-id=100
add interface=sfp-sfpplus1 name=WAN-IPTV-101 vlan-id=101
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay interface=bridge-local \
    lease-time=1h name=DHCP-Thuis
/ppp profile
set *FFFFFFFE change-tcp-mss=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no \
    unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=bridge-local list=discover
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid,IPTV_RG interface=\
    ether1
add interface=WAN-INTERNET-100
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.76.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface=WAN-INTERNET-100
/ip firewall service-port
set sip disabled=yes
/ip proxy
set anonymous=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=1976
set ssh disabled=yes
set www-ssl port=1976
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/snmp
set contact=Dave enabled=yes location=Thuis trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Router
/system logging
add topics=sstp
/system note
set show-at-login=no
/system package update
set channel=long-term
/system routerboard settings
set auto-upgrade=yes boot-os=router-os silent-boot=yes
/system swos
set address-acquisition-mode=dhcp-only
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

zaterdag 4 mei 2024 14:06

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Als ik het zo lees dan denk ik dat je het in eerste instantie had opgezet met ether01...klopt dat?

Mijn feedback:

Waar is je firewall?
UPnP? Als je het echt nodig hebt...zorg dan dat je de juiste interfaces kiest.
De WAN interface list wordt gebruikt om het leven makkelijker te maken. Ether01 wordt niet meer gebruikt, daarvoor wordt de VLAN 100 interface gebruikt.
Je masquerade rule ziet er goed uit, zou verwachten dat je internet hebt. Werkt een ping naar een willekeurige DNS server?
IPTV kan volgens mij gewoon routed. VLAN 101 is niet (meer) ndoig.

Mijn tips:

Controleer of je Internet hebt, bij voorkeur op je router.
Voeg een firewall toe.
Sloop IPTV eruit.

En nogmaals: je gebruikt nu een switch als router. Verwacht er niet zoveel van.

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 17:38

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

De cpu is veel te zwak om te kunnen routeren. Binnen de switch lijn heb je keuze tussen CRS en CSS. De laatste draait alleen SwOS, de eerste zowel RouterOS als SwOS.

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 19:45

Acties:

0 Henk 'm!

EverLast2002

lier schreef op zaterdag 4 mei 2024 @ 17:38:
De cpu is veel te zwak om te kunnen routeren. Binnen de switch lijn heb je keuze tussen CRS en CSS. De laatste draait alleen SwOS, de eerste zowel RouterOS als SwOS.

Is de zogenaamde "hardware offload" dan juist niet bedoeld om de cpu te omzeilen,
zodat het routeren vlot(ter) verloopt via de switch?

zaterdag 4 mei 2024 20:25

Acties:

0 Henk 'm!

MischaBoender

De CRS310-8G+2S+IN haalt met gemak een paar honderd mbit als je je firewall eenvoudig houdt en geen queues e.d. gebruikt.

zondag 5 mei 2024 11:27

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik

EverLast2002 schreef op zaterdag 4 mei 2024 @ 19:45:
Is de zogenaamde "hardware offload" dan juist niet bedoeld om de cpu te omzeilen,
zodat het routeren vlot(ter) verloopt via de switch?

Klopt...maar verwacht er niet te veel van.

MischaBoender schreef op zaterdag 4 mei 2024 @ 20:25:
De CRS310-8G+2S+IN haalt met gemak een paar honderd mbit als je je firewall eenvoudig houdt en geen queues e.d. gebruikt.

Het is maar net wat je "nodig" hebt. Als je met glasvezel bezig bent en een eigen SFP+ (XGS-PON) wil draaien, dan is 200Mbps niet genoeg.

Als je bij benadering wil weten wat je mag verwachten aan routering snelheid, kijk dan bij:

Routing, 25 ip filter rules, 512 bytes: 186.8 Mbps
https://mikrotik.com/prod...g_2s_in#fndtn-testresults

Eerst het probleem, dan de oplossing

zondag 5 mei 2024 13:17

Acties:

0 Henk 'm!

MischaBoender

lier schreef op zondag 5 mei 2024 @ 11:27:
[...]

Routing, 25 ip filter rules, 512 bytes: 186.8 Mbps
https://mikrotik.com/prod...g_2s_in#fndtn-testresults

Die link is precies waar ik mijn antwoord op baseerde.

Packets zijn bij downloads en streaming normaal gesproken veel groter dan de 512 bytes, vaak meer richting de 1500 bytes. Dan gaat de bandbreedte met 25 filter rules al naar ruim 500 Mbps. Als je je firewall minimaal houdt en met wat fast tracking kun je dat misschien nog wel wat oprekken zelfs.

Onderwerpen

Hello, Please send us the supout.rif file from your RB5009 device created when SFP problem is present. This article explains how to make a supout.rif file: https://help.mikrotik.com/docs/display/ROS/Supout.rif Best regards, Jānis B.

Hello,

Please send us the supout.rif file from your RB5009 device created when SFP problem is present.

This article explains how to make a supout.rif file:
https://help.mikrotik.com/docs/display/ROS/Supout.rif

Best regards,
Jānis B.