MikroTik en Caiway met een eigen mediaconverter

zondag 21 februari 2021 23:14

Acties:

0 Henk 'm!

Topicstarter

Inmiddels gebruik ik het aparte vlan en bridge niet meer. Het is al een tijdje mogelijk om de entone gewoon aan te sluiten in je standaard netwerk. Wat wel nodig is om IGMP Snooping aan te zetten op de bridge.

dinsdag 2 maart 2021 16:02

Acties:

0 Henk 'm!

cossy nl

@deefje76 en @lier draait een van jullie toevallig ook op ipv6? Ik krijg het hier nog niet lopende en was opzoek naar iemand die het wel werkend heeft. Delta schijnt het te ondersteunen.

dinsdag 2 maart 2021 16:04

Acties:

+1 Henk 'm!

mfransen

Voor zover ik weet levert Delta over glasvezel (nog) geen IPV6. Alleen hun kabelnetwerk (Zeelandnet) heeft IPV6...

dinsdag 2 maart 2021 16:05

Acties:

0 Henk 'm!

cossy nl

mfransen schreef op dinsdag 2 maart 2021 @ 16:04:
Voor zover ik weet levert Delta over glasvezel (nog) geen IPV6. Alleen hun kabelnetwerk (Zeelandnet) heeft IPV6...

Dat zou wel verklaren dat ik geen ip op mijn mikrotik krijg idd.

Antwoord van Delta: nee nog niet. Ook nog geen plannen bekend voor IPv6. Jammer.

[ Voor 12% gewijzigd door cossy nl op 02-03-2021 16:06 . Reden: Antwoord van Delta Fiber afdeling ]

dinsdag 2 maart 2021 21:36

Acties:

0 Henk 'm!

deefje76

Topicstarter

Klopt. Caiway ondersteund ook nog geen IPv6 en doet ook geen uitspraken over wanneer wel jammer genoeg.

vrijdag 28 januari 2022 18:08

Acties:

+1 Henk 'm!

deefje76

Topicstarter

Wat fijn dat er eindelijk vrije keus is. Het werkt bij mij prima nu, maar ben wel benieuwd wat de voordelen zijn van de routering die ze adviseren en hoe dit dan precies te configureren. Wordt weer lekker knutselen de komende dagen. Eerste poging al gefaald 🥴

https://www.caiway.nl/klantenservice/vrije-modemkeuze

vrijdag 4 maart 2022 14:01

Acties:

0 Henk 'm!

number3

Nu de informatie is vrijgegeven door CAIway (en ik eindelijk aangesloten ben), heb ik de stap gezet om mijn mikrotik van een mediaconverter te voorzien. Een extra glasvezel kabel en het macadres van de mediaconverter aangemeld (een fs.com SFP+ mediaconverter).

Tot hier gaat ie goed, de mediaconverter herkend het signaal. En in de GUI zie ik ook werkelijk pakkets aankomen. Echter, dan de configuratie... mijn doel is simpel, ik wil een zo eenvoudig mogelijke configuratie, maar na alles gelezen te hebben en al wat experimenten gedaan te hebben vraag ik af wat de eenvoudigste oplossing is.

Voorheen was het ether1 waar internet op binnen kwam (via de router van Ziggo, in bridgemode en nu van CAIway routed mode, dubbel NAT). Dus, mijn idee is heel simpel eigenlijk, waarschijnlijk veel te simpel. Maar ik zou heel graag de VLAN100 (internet) gewoon uit laten komen op exact hetzelfde punt als ether1 al jaren uitkomt. Dan zou mijn internet het weer moeten doen.

Is mijn gedachte juist? En zo ja, wat is dan de eenvoudigste configuratie aanpassing die ik zou moeten doen?

Wie kan me helpen?

vrijdag 4 maart 2022 14:04

Acties:

0 Henk 'm!

ndonkersloot

number3 schreef op vrijdag 4 maart 2022 @ 14:01:
Nu de informatie is vrijgegeven door CAIway (en ik eindelijk aangesloten ben), heb ik de stap gezet om mijn mikrotik van een mediaconverter te voorzien. Een extra glasvezel kabel en het macadres van de mediaconverter aangemeld (een fs.com SFP+ mediaconverter).

Tot hier gaat ie goed, de mediaconverter herkend het signaal. En in de GUI zie ik ook werkelijk pakkets aankomen. Echter, dan de configuratie... mijn doel is simpel, ik wil een zo eenvoudig mogelijke configuratie, maar na alles gelezen te hebben en al wat experimenten gedaan te hebben vraag ik af wat de eenvoudigste oplossing is.

Voorheen was het ether1 waar internet op binnen kwam (via de router van Ziggo, in bridgemode en nu van CAIway routed mode, dubbel NAT). Dus, mijn idee is heel simpel eigenlijk, waarschijnlijk veel te simpel. Maar ik zou heel graag de VLAN100 (internet) gewoon uit laten komen op exact hetzelfde punt als ether1 al jaren uitkomt. Dan zou mijn internet het weer moeten doen.

Is mijn gedachte juist? En zo ja, wat is dan de eenvoudigste configuratie aanpassing die ik zou moeten doen?

Wie kan me helpen?

Ik heb toevallig van de week Caiway rechtstreeks op een CCR1009 aangesloten.
Onder interfaces > VLAN een VLAN aanmaken met id 100 en die aan je interface port hangen waar het glas op binnenkomt. Daarna onder IP > Firewall > NAT de masquerade rule aanpassen van ether 1 naar vlan 100.

Als het goed is werkt het nu.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

vrijdag 4 maart 2022 14:44

Acties:

0 Henk 'm!

number3

@ndonkersloot dat is praktisch wat ik gedaan had, ik heb het als volgt nu:
- Interfaces - VLANs aangemaakt met de id's 100 (internet), 101 (iptv) en 102 (voip) en aangesloten op spf-plus+

code:

/interface vlan
add interface=sfp-sfpplus1 name=caiway-internet-vlan-100 vlan-id=100
add interface=sfp-sfpplus1 name=caiway-iptv-vlan-101 vlan-id=101
add interface=sfp-sfpplus1 name=caiway-voip-vlan-102 vlan-id=102

- In de firewall zijn de rules gekoppeld aan WAN, niet specifiek aan ether1. Dus heb ik de VLANs in de WAN list opgenomen:

code:

/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=caiway-internet-vlan-100 list=WAN
add interface=caiway-iptv-vlan-101 list=WAN
add interface=caiway-voip-vlan-102 list=WAN
add interface=bridge-caiway-internet list=LAN
add interface=bridge-caiway-iptv list=LAN
add interface=bridge-caiway-voip list=LAN
add interface=ether1 list=WAN

- dit zijn de regels op de firewall...

code:

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

Dat zou dus dan toch genoeg moeten zijn om het internet verkeer op vlan 100 naar binnen te krijgen, toch?

Wat ik alleen echt niet snap, is hoe het internet verkeer het juiste VLAN in gerouteerd gaat worden, dat gaat volgens mij niet werken op deze manier. Dus wat zie ik over het hoofd?

[ Voor 4% gewijzigd door number3 op 04-03-2022 14:51 . Reden: een vraag toegevoegd ]

vrijdag 4 maart 2022 15:07

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

WAN is in jouw geval alleen VLAN100, de rest moet je weghalen (anders krijg je hele rare situatie). Daarnaast begrijp ik het nut van de identieke regels niet en de ipsec-policy is volgens mij helemaal niet nodig. Heb je de vpn traffic rule bewust aangemaakt?

Heb je trouwens Internet only of heb je een bundel tv/internet/telefoon? Bij Internet Only kan je VLAN 101 en 102 weghalen, in het tweede geval zal je ook iets met die VLAN.

Eerst het probleem, dan de oplossing

vrijdag 4 maart 2022 15:42

Acties:

0 Henk 'm!

number3

Nope, de VPN rulez zijn aangemaakt door het gebruik van de webconfig, waar ik de VPN heb geconfigureerd. Dat werkte uitstekend totdat er dubbel NAT is natuurlijk, dus ik wil graag terug naar de oude situatie.

Ok, dus ik kan maar 1 interface in de WAN list zetten, wat is het nu van de interface list WAN dan, als er daar toch maar 1 interface mag zijn. #justasking

Ik zou graag een configuratie hebben, waarbij ik in geval van issues met mijn mikrotik configuratie, ik altijd terug kan naar aansluiten van de caiway router op ether1. Vooral als backup methode, terwijl ik de configuratie voor de nieuwe situatie maak. En als ik later gedoe krijgt met caiway en ik moet aantonen dat het niet aan mijn mikrotik router ligt.

Inderdaad heb ik momenteel de 3triple-play bundel, maar twijfel daar nog over. Echter, dat is de reden dat ik 3 vlans wilde configureren.

Zelf had ik bedacht dat ik elke vlan moet laten landen in een eigen vlan-bridge, en dan de losse bridges via de firewall met elkaar laten communniceren, zodat ik ook routes van mijn lan naar de verschillende VLAN's kan maken. Maar, mijn simpele gedachte is, laten we eerst internet maar eens goed werkend krijgen...

Zit ik er dan ver naast?

vrijdag 4 maart 2022 19:11

Acties:

0 Henk 'm!

Thralas

MikroTik

number3 schreef op vrijdag 4 maart 2022 @ 15:42:
Ok, dus ik kan maar 1 interface in de WAN list zetten, wat is het nu van de interface list WAN dan, als er daar toch maar 1 interface mag zijn. #justasking

Nee, daar kunnen gewoon meerdere interfaces in, ik kan zo 123 geen situatie bedenken waarin dat elkaar bijt. Meerdere masquerade rules zijn ook geen probleem, die hitten toch maar één keer.

Je kunt de fysieke interface wel weglaten uit de WAN list, je hebt immers VLANs waarover de services lopen.

Voor de netheid zou ik die masquerade rules voor je VPN wel omschrijven zodat ze alleen matchen op outgoing interface. Iedere keer dat iemand een source IP range gebruikt op masquerade sterft er een puppy.

Met andere woorden: je probleem zit waarschijnlijk elders. Post je config eens?

zaterdag 5 maart 2022 11:58

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Thralas schreef op vrijdag 4 maart 2022 @ 19:11:
Nee, daar kunnen gewoon meerdere interfaces in, ik kan zo 123 geen situatie bedenken waarin dat elkaar bijt. Meerdere masquerade rules zijn ook geen probleem, die hitten toch maar één keer.

Hoe weet de router over welke interface geNAT moet worden? Ook via het IPTV vlan kan geinternet worden, alleen dan met een hele lage snelheid.

Eerst de basis (internet) goed werkend hebben, daarna kan je uitbreiden met IPTV werkend maken. Hoe ga je telefoon doen, @number3 ?

Eerst het probleem, dan de oplossing

zaterdag 5 maart 2022 12:49

Acties:

0 Henk 'm!

Thralas

MikroTik

lier schreef op zaterdag 5 maart 2022 @ 11:58:
Hoe weet de router over welke interface geNAT moet worden? Ook via het IPTV vlan kan geinternet worden, alleen dan met een hele lage snelheid.

Routes. Of je wel of niet het source adress omschrijft (masquerade) staat daar los van.

Als het goed is heb je maar één default gateway: op het internet-vlan. Op andere interfaces moet je ervoor zorgen dat je geen default route oppikt. Dat gaat bij KPN c.s. vanzelf goed (in ieder geval voor IPTV).

Dat is dus ook iets om te controleren (de routetabel) als je méér dan een DHCP client hebt.

zaterdag 5 maart 2022 18:52

Acties:

0 Henk 'm!

number3

@lier Ok, ik ga eerst voor de goed werkende internet vlan. En dan uitbreiden, dat is een uitstekende aanpak natuurlijk.

Ik heb een Gigaset Dect SIP basis station, het is mijn bedoeling om die aan de praat te krijgen met mijn eigen telefoonnummer. Volgens mij is het eenvoudigst als ik dat Vlan rechtstreeks op een fysieke access poort ga laten uitkomen.

@Thralas De config volgt, nadat ik even geprobeerd heb met vlan 100 in de wan het werkend te krijgen.

zaterdag 5 maart 2022 19:37

Acties:

0 Henk 'm!

number3

@Thralas nou, ik heb de configuratie tot het bare minimum teruggebracht. Dat wil zeggen een vlan100 die in de WLAN interface lijst is opgenomen. Even vlan 101 en vlan 102 verwijderd. En een extra NAT rule aangemaakt, rechtstreeks naar VLAN interface.

En helaas, niet werken... Ik zal wel iets over het hoofd zien, dus hierbij mijn hele config. De config bevat ook mijn CAPman configuratie (2 seperate CAP-devices op elke verdieping). Plus ik heb een VPN van buiten toegestaan, dat heeft altijd gewerkt.

Mogelijk dat je nog iets van een vervuiling ziet van de poging om drie bridges te maken (voor elke vlan 1, met dhcp adresspace).

Dus ik ben benieuwd wat ik kan aanpassen om het wel werkend te krijgen. Elke hulp is welkom, wijze lessen, leerzame fouten, alles wat ik kan leren, graag... doel is een werkende config die eenvoudig is en herhaalbaar.

code:

# mar/05/2022 20:11:46 by RouterOS 7.1.3
# software id = KATI-IVDX
#
# model = RB4011iGS+5HacQ2HnD
# serial number = B8E80B55708A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
/interface bridge
add admin-mac=C4:AD:34:19:17:99 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] comment=caiway-link
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-XX country=netherlands disabled=no distance=indoors frequency=5520 installation=indoor mode=ap-bridge ssid=KeepOut5 \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n country=netherlands disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=KeepOut2 wireless-protocol=802.11
/interface vlan
add interface=sfp-sfpplus1 name=vlan-caiway-internet vlan-id=100
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
/caps-man rates
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
/caps-man configuration
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=Zolder
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=dhcp_pool2 ranges=0.0.0.2-255.255.255.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=23h59m59s name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
add name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
add name=homeassistant policy=read,test,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikapp,!rest-api
/caps-man manager
set enabled=yes
/caps-man manager interface
add interface=bridge
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
add bridge=bridge disabled=yes ingress-filtering=no interface=ether1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=ether1 list=WAN
add interface=vlan-caiway-internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless cap
set bridge=bridge interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip arp
add address=192.168.88.200 interface=bridge mac-address=48:0B:B2:55:F4:12
add address=192.168.88.254 interface=bridge mac-address=00:11:32:A9:3D:B0
add address=192.168.88.5 interface=bridge mac-address=4C:5E:0C:2C:88:45
add address=192.168.88.6 interface=bridge mac-address=C4:AD:34:FE:E5:3D
add address=192.168.88.10 interface=bridge mac-address=2C:F4:32:57:D7:7C
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add comment=defconf interface=bridge
# DHCP client can not run on slave interface!
add interface=sfp-sfpplus1
add interface=ether1
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:c4:ad:34:fe:e5:3d mac-address=C4:AD:34:FE:E5:3D server=defconf
add address=192.168.88.5 client-id=1:4c:5e:c:2c:88:45 mac-address=4C:5E:0C:2C:88:45 server=defconf
add address=192.168.88.10 mac-address=2C:F4:32:57:D7:7C server=defconf
add address=192.168.88.45 mac-address=A4:CF:12:86:4B:C8 server=defconf
add address=192.168.88.254 mac-address=00:11:32:A9:3D:B0 server=defconf
add address=192.168.88.100 mac-address=2A:C2:86:FC:84:E1 server=defconf
add address=192.168.88.102 client-id=1:72:2b:31:af:d5:a0 mac-address=72:2B:31:AF:D5:A0 server=defconf
add address=192.168.88.101 client-id=1:66:f7:38:ca:3e:dc mac-address=66:F7:38:CA:3E:DC server=defconf
add address=192.168.88.103 client-id=1:ee:ce:9:7d:1a:7 mac-address=EE:CE:09:7D:1A:07 server=defconf
add address=192.168.88.104 mac-address=9A:91:2D:AF:F3:45 server=defconf
add address=192.168.88.200 mac-address=48:0B:B2:55:F4:12 server=defconf
add address=192.168.88.21 mac-address=DC:4F:22:56:EF:BC server=defconf
/ip dhcp-server network
add gateway=0.0.0.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1,9.9.9.9
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=caiway-internet-NAT-rule ipsec-policy=out,none out-interface=vlan-caiway-internet
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=beganegrond
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set auto-upgrade=yes
/system watchdog
set ping-timeout=10s watch-address=1.1.1.1 watchdog-timer=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 103% gewijzigd door number3 op 05-03-2022 20:17 . Reden: Update met meer context en opgeschoonde-niet-werkende-config ]

zaterdag 5 maart 2022 22:37

Acties:

0 Henk 'm!

Thralas

MikroTik

Je hebt geen DHCP client op vlan-caiway-internet?

En op de andere interfaces lijkt 't me nu juist niet nodig..

zondag 6 maart 2022 12:49

Acties:

0 Henk 'm!

number3

@Thralas waarom heb ik dhcp nodig op het ingress vlan 100?

Ik probeer te snappen wat ik moet doen, het is een vlan, dat middels een trunk op mijn router uitkomt.

Moet ik dan dat vlan laten uitkomen op een “bridge” met een eigen dhcp address range?

zondag 6 maart 2022 13:23

Acties:

0 Henk 'm!

Thralas

MikroTik

Nee, je moet alleen een DHCP client toevoegen op dat VLAN. Een bridge komt er niet aan te pas. Nu heeft je router geen adres aan de WAN-kant. Dat los je op door er een te vragen aan je ISP via DHCP.

Zie ook: Caiway FTTH Point-to-Point (PtP) Interface Specification

The PtP FTTH modem MUST get an IPv4 address via DHCPv4 [5] for every VLAN [4] that the customer is intending to use

Begin wel met enkel internet en zorg dat dat werkt. Bij IPTV en telefonie moet je mogelijk add-default-route=no zetten om te voorkomen dat je een default route over die interfaces krijgt.

zondag 6 maart 2022 19:43

Acties:

0 Henk 'm!

number3

Yep, check, dhcp client toegevoegd. En zowaar krijg ik een ip adres. Met enige moeite doet internet het ook nog, want nu.nl resolved wel. Maar het duurt wel erg lang, ik heb het idee dat er toch nog iets fout zit in de configuratie.

code:

# mar/06/2022 19:42:55 by RouterOS 7.1.3
# software id = KATI-IVDX
#
# model = RB4011iGS+5HacQ2HnD
# serial number = B8E80B55708A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=channel-2ghz reselect-interval=1h
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=channel-5ghz reselect-interval=1h
/interface bridge
add admin-mac=C4:AD:34:19:17:99 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] comment=caiway-link
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-n/ac channel-width=20/40mhz-XX country=netherlands disabled=no distance=indoors frequency=5520 installation=indoor mode=ap-bridge ssid=KeepOut5 \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n country=netherlands disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=KeepOut2 wireless-protocol=802.11
/interface vlan
add interface=sfp-sfpplus1 name=vlan-caiway-internet vlan-id=100
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
add bridge=bridge client-to-client-forwarding=no local-forwarding=yes mtu=1452 name=datapath1
/caps-man rates
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-2ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security-KeepOut2
/caps-man configuration
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
add channel=channel-2ghz country=netherlands datapath=datapath1 name=cfg-2ghz security=security-KeepOut2 ssid=KeepOut2
add channel=channel-5ghz country=netherlands datapath=datapath1 name=cfg-5ghz security=security-KeepOut2 ssid=KeepOut5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=Zolder
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=23h59m59s name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
add name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
add name=homeassistant policy=read,test,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikapp,!rest-api
/caps-man manager
set enabled=yes
/caps-man manager interface
add interface=bridge
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg-2ghz name-format=identity
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5ghz name-format=identity
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
add bridge=bridge disabled=yes ingress-filtering=no interface=ether1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
add interface=bridge list=LAN
add interface=ether1 list=WAN
add interface=vlan-caiway-internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless cap
set bridge=bridge interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip arp
add address=192.168.88.200 interface=bridge mac-address=48:0B:B2:55:F4:12
add address=192.168.88.254 interface=bridge mac-address=00:11:32:A9:3D:B0
add address=192.168.88.5 interface=bridge mac-address=4C:5E:0C:2C:88:45
add address=192.168.88.6 interface=bridge mac-address=C4:AD:34:FE:E5:3D
add address=192.168.88.10 interface=bridge mac-address=2C:F4:32:57:D7:7C
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add comment=defconf interface=bridge
# DHCP client can not run on slave interface!
add interface=sfp-sfpplus1
add interface=ether1
add interface=vlan-caiway-internet
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:c4:ad:34:fe:e5:3d mac-address=C4:AD:34:FE:E5:3D server=defconf
add address=192.168.88.5 client-id=1:4c:5e:c:2c:88:45 mac-address=4C:5E:0C:2C:88:45 server=defconf
add address=192.168.88.10 mac-address=2C:F4:32:57:D7:7C server=defconf
add address=192.168.88.45 mac-address=A4:CF:12:86:4B:C8 server=defconf
add address=192.168.88.254 mac-address=00:11:32:A9:3D:B0 server=defconf
add address=192.168.88.100 mac-address=2A:C2:86:FC:84:E1 server=defconf
add address=192.168.88.102 client-id=1:72:2b:31:af:d5:a0 mac-address=72:2B:31:AF:D5:A0 server=defconf
add address=192.168.88.101 client-id=1:66:f7:38:ca:3e:dc mac-address=66:F7:38:CA:3E:DC server=defconf
add address=192.168.88.103 client-id=1:ee:ce:9:7d:1a:7 mac-address=EE:CE:09:7D:1A:07 server=defconf
add address=192.168.88.104 mac-address=9A:91:2D:AF:F3:45 server=defconf
add address=192.168.88.200 mac-address=48:0B:B2:55:F4:12 server=defconf
add address=192.168.88.21 mac-address=DC:4F:22:56:EF:BC server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1,9.9.9.9
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=caiway-internet-NAT-rule ipsec-policy=out,none out-interface=vlan-caiway-internet
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
add interface=vlan-caiway-internet type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=beganegrond
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set auto-upgrade=yes
/system watchdog
set automatic-supout=no ping-timeout=10s watch-address=1.1.1.1 watchdog-timer=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Wat gaat er fout...? DNS resolving is wel heel traag nu, denk aan enkele seconden... tot nog veel langer. Uiteindelijk doen sites als nu.nl, nos.nl en google.com het wel, maar niet normaal hoe lang.

Dus ben ik weer terug naar de dubbele NAT situate, om te zorgen dat het gaat werken ;-)

Alvast dank voor jullie hulp...

[ Voor 2% gewijzigd door number3 op 06-03-2022 19:45 . Reden: update met wat er fout gaat ]

maandag 7 maart 2022 22:24

Acties:

0 Henk 'm!

Thralas

MikroTik

De config ziet er voor enkel internet oké uit.

Waar het dus misgaat is dus niet te zeggen. Dat zul je moeten achterhalen door stapsgewijs te testen. Begin eens met DNS resolven via je router of 1.1.1.1 en wat pings.

Merk je daarmee niets vreemds, dan kun je het beste Wireshark gebruiken om te kijken waarom de verbinding traag is.

dinsdag 8 maart 2022 07:03

Acties:

0 Henk 'm!

number3

Okay, dank voor de hulp. Ik ga eens kijken wat hier nu nog de oorzaak van kan zijn.

zaterdag 12 maart 2022 10:33

Acties:

0 Henk 'm!

number3

@Thralas Het is gelukt met het internet vlan. Wat heb ik uiteindelijk gedaan:

1. Backup router config (via files in webgui) en opslaan op mijn laptop.
2. Reset naar Default config (om zeker te zijn dat ik geen gekke dingen meer in mijn router config heb
3. Na reboot, minimale configuratie instellen (wifi wachtwoord en ssids), capsman even weggelaten.
4. Naar interface - vlan - add new: vlan id 100, naam: vlan-caiway-internet, interface: spf-spfplus1
5. Naar IP - DHCP client - add new: Interface - vlan-caiway-internet
6. Naar Interface - Interface List - add new: list - WAN, interface - vlan-caiway-internet

En dat is het... dan doet je internet het weer.

Dank voor het geduld, alle adviezen en meedenken. Ik wil nog na afloop als ik alles weer helemaal op orde heb toch gaan uitzoeken waarom het toevoegen van de vlan op bestaande configuratie niet werkte. Ik vermoed dat ik toch net iets verkeerd heb gedaan.

zaterdag 12 maart 2022 18:15

Acties:

0 Henk 'm!

number3

Dus nu begint het avontuur om de IPTV werkend te krijgen. Dus dit weet ik al wel na het lezen van de spec van Delta/Caiway:

Type	DHCPv4
VLAN	101
MTU	1500
IP-protocol version	IPv4
IGMP proxy	Imin IGMPv2
QoS marking	2

Dus het stappenplan so far:
1) Toevoegen van VLAN 101 (MTU 1500 is default, IPv4 ook)
2) Toevoegen van IGMP proxy
3) QoS marking... tja, dat moeten we uitzoeken

En dan komt nog de routing erbij, volgens mij zijn dit de routes die ik moet toevoegen:

code:

62.45.57.34/32
62.45.57.0/24
62.45.59.0/24
62.45.76.0/24
62.45.58.226/32
62.45.45.150/32
62.45.49.0/24
212.115.196.0/25
217.63.90.128/25
217.63.91.0/26
62.45.61.32/27
62.45.61.16/28
62.45.61.64/28
217.102.255.57/32

Wat nog niet gelukt is, is het toevoegen van de QoS marking, en de routes toevoegen moet ik ook nog even uitzoeken.

Hints zijn welkom, en ik meld me weer als ik het recept gevonden en werkend heb gekregen.

zaterdag 12 maart 2022 22:41

Acties:

0 Henk 'm!

number3

Hmmm, NPO 1/2/3 doen het goed met de regels, maar de rest niet. Ik vermoed dat ik iets fout doe met de routering.

maandag 14 maart 2022 17:28

Acties:

0 Henk 'm!

MischaBoender

number3 schreef op zaterdag 12 maart 2022 @ 22:41:
Hmmm, NPO 1/2/3 doen het goed met de regels, maar de rest niet. Ik vermoed dat ik iets fout doe met de routering.

Same here! NPO zenders gewoon werken als een trein, maar de rest...

maandag 14 maart 2022 17:32

Acties:

0 Henk 'm!

MischaBoender

number3 schreef op zaterdag 12 maart 2022 @ 18:15:
[...]
En dan komt nog de routing erbij, volgens mij zijn dit de routes die ik moet toevoegen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
62.45.57.34/32
62.45.57.0/24
62.45.59.0/24
62.45.76.0/24
62.45.58.226/32
62.45.45.150/32
62.45.49.0/24
212.115.196.0/25
217.63.90.128/25
217.63.91.0/26
62.45.61.32/27
62.45.61.16/28
62.45.61.64/28
217.102.255.57/32

Let even op deze routering:
Bron interface LAN-bestemming 62.45.57.36/32 interface VLAN 100.
Dat is dus 1 los IP uit de "TV VLAN" subnets die juist niet over het TV VLAN moet.

maandag 14 maart 2022 19:21

Acties:

0 Henk 'm!

Thralas

MikroTik

number3 schreef op zaterdag 12 maart 2022 @ 22:41:
Hmmm, NPO 1/2/3 doen het goed met de regels, maar de rest niet. Ik vermoed dat ik iets fout doe met de routering.

Zou niet moeten mogen als het allemaal multicast is. Als de upstream van je IGMP proxy 0.0.0.0/0 is dan zou het moeten werken ongeacht het kanaal. Enige dat dan roet in het eten zou kunnen gooien is reverse path filtering icm. een missende route, maar dat staat standaard uit.

Controleer eens de multicast cache terwijl je zapt:
/routing/igmp-proxy/mfc/print follow detail

Voorbeeld is voor v7, desnoods omschrijven naar v6 of in Winbox bekijken

Als 't goed is zie je hem bij zappen op een andere multicast group subscriben. Ga na of dat óók gebeurt voor de niet-werkende zenders.

Indien dat het geval is, dan zou het zomaar eens iets kunnen zijn als een missende route voor iets anders dan de stream zelf (bijvoorbeeld als NPO1/2/3 geen DRM heeft en de rest wel). Dan is het nuttig om een LOG rule in je firewall toe te voegen (bovenaan!) die alles met incoming interface stb en outgoing interface internet logt.

Die lijst routes is immers zo lang dat het zomaar kan zijn dat ze wat vergeten..

vrijdag 2 september 2022 11:09

Acties:

0 Henk 'm!

Pasc66

Is het ondertussen gelukt? zo ja laat me dat svp even weten. Bij mij werkt alles zonder de specifieke routering naar vlan 101 (ik zal wel iets fout gedaan hebben, but if ain't broke, don't fix it :-) )

Ik wil desgewenst wel even mij config delen.

vrijdag 2 september 2022 11:12

Acties:

0 Henk 'm!

Pasc66

deefje76 schreef op zondag 21 februari 2021 @ 23:14:
Inmiddels gebruik ik het aparte vlan en bridge niet meer. Het is al een tijdje mogelijk om de entone gewoon aan te sluiten in je standaard netwerk. Wat wel nodig is om IGMP Snooping aan te zetten op de bridge.

@deefje76 Zou jij misschien je config willen delen?

Dank en groet,

Pascal

vrijdag 2 september 2022 12:49

Acties:

+1 Henk 'm!

deefje76

Topicstarter

Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

code:

# sep/02/2022 12:38:16 by RouterOS 7.4
# software id = 4CIU-J7HA
#
# model = RB4011iGS+
# serial number = 968A094CE3BD
/interface bridge
add name=bridge-IOT pvid=200 vlan-filtering=yes
add admin-mac=B8:69:F4:99:95:D3 auto-mac=no comment=Bridge-LAN igmp-snooping=\
    yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment="Synology NAS LAN netwerk" \
    mac-address=E4:8D:8C:2C:30:0D
set [ find default-name=ether2 ] comment="CAM Voordeur"
set [ find default-name=ether3 ] comment="Tado Internet Bridge"
set [ find default-name=ether4 ] comment=SMILE
set [ find default-name=ether5 ] comment=PS4 speed=100Mbps
set [ find default-name=ether6 ] comment="STB Amino huiskamer"
set [ find default-name=ether7 ] comment="STB Amino werkkamer"
set [ find default-name=ether8 ] comment="Synology NAS IOTnetwerk"
set [ find default-name=ether9 ] comment="Mikrotik Access Point Werkkamer"
set [ find default-name=ether10 ] comment=\
    "Mikrotik Access Point begane grond"
set [ find default-name=sfp-sfpplus1 ] advertise="10M-half,10M-full,100M-half,\
    100M-full,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" \
    comment="Caiway Glasvezel" mac-address=B8:69:F4:99:95:D1 rx-flow-control=\
    auto speed=100Mbps tx-flow-control=auto
/interface vlan
add comment="WAN Internet VLAN 100" interface=sfp-sfpplus1 name=\
    WAN-INTERNET-100 vlan-id=100
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=yes \
    name=J&J
add bridge=bridge-IOT client-to-client-forwarding=no local-forwarding=no \
    name=SC-IOT vlan-id=200 vlan-mode=use-tag
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.100
add name=DHCP-Pool-SSTP ranges=192.168.77.2-192.168.77.10
add name=DHCP-IOT ranges=10.10.10.10-10.10.10.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp interface=bridge-lan lease-time=1w name=\
    dhcp-thuis
add add-arp=yes address-pool=DHCP-IOT interface=bridge-IOT lease-time=1w \
    name=dhcp-iot
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE bridge=bridge-lan change-tcp-mss=default dns-server=\
    192.168.76.1 local-address=192.168.77.1 remote-address=DHCP-Pool-SSTP
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
add disabled=no name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether2 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether3 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether4 \
    pvid=200
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether6 \
    pvid=200
add bridge=bridge-IOT comment=defconf ingress-filtering=no interface=ether8 \
    pvid=200
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge-lan ingress-filtering=no interface=ether1
add bridge=bridge-IOT ingress-filtering=no interface=ether7 pvid=200
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp-sfpplus1 list=WAN
/ip address
add address=192.168.76.1/24 comment=defconf interface=bridge-lan network=\
    192.168.76.0
add address=10.10.10.1/24 interface=bridge-IOT network=10.10.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=30m
/ip dhcp-client
add add-default-route=no comment=defconf disabled=yes interface=sfp-sfpplus1
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8 domain=IOT.local gateway=\
    10.10.10.1
add address=192.168.76.0/24 comment=defconf dns-server=192.168.76.1 domain=\
    thuis gateway=192.168.76.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=jump chain=forward comment="jump to kid-control rules" \
    jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" in-interface=\
    bridge-IOT out-interface=bridge-lan reject-with=icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" in-interface=\
    bridge-lan out-interface=bridge-IOT reject-with=icmp-network-unreachable
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara voortuin" log-prefix=block_voortuin \
    out-interface-list=WAN src-address=10.10.10.230
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara achtertuin" log-prefix=blockachtertuin \
    out-interface-list=WAN src-address=10.10.10.231
add action=drop chain=forward comment=\
    "Blokkeer internet toegang camara Terrasoverkapping" log-prefix=\
    blockwerkkamer out-interface-list=WAN src-address=10.10.10.233
add action=accept chain=input comment="SSTP VPN naar Router" dst-port=3389 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="SSTP VPN" src-address=192.168.77.0/24
add action=accept chain=forward comment="SSTP VPN" src-address=\
    192.168.77.0/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec conectties om ze van fasttrack uit te sluiten" \
    disabled=yes ipsec-policy=out,ipsec new-connection-mark=ipsec \
    passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec conectties om ze van fasttrack uit te sluiten" \
    disabled=yes ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=\
    yes
/ip firewall nat
add action=redirect chain=dstnat disabled=yes dst-address-type=!local \
    dst-port=53 in-interface=bridge-lan protocol=tcp to-ports=53
add action=redirect chain=dstnat disabled=yes dst-port=53 in-interface=\
    bridge-lan protocol=udp src-address-type=!local to-ports=53
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    10.10.10.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.77.0/24
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" dst-port=443 \
    in-interface-list=WAN log-prefix=HTTPSNAS protocol=tcp to-addresses=\
    192.168.76.2 to-ports=443
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" disabled=yes \
    dst-port=53 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=53
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=500 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=500
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1701 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=\
    1701
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=4500 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.76.2 to-ports=\
    4500
add action=dst-nat chain=dstnat protocol=gre to-addresses=192.168.76.2
add action=dst-nat chain=dstnat comment="VPN Synology" dst-port=1723 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    1723
add action=dst-nat chain=dstnat comment="SSH naar NAS" disabled=yes dst-port=\
    22 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    22
add action=dst-nat chain=dstnat comment="HTTP naar NAS" disabled=yes \
    dst-port=5000 in-interface-list=WAN protocol=tcp to-addresses=\
    192.168.76.2 to-ports=5000
add action=dst-nat chain=dstnat comment="HTTPS naar NAS" disabled=yes \
    dst-port=5001 in-interface-list=WAN protocol=tcp to-addresses=\
    192.168.76.2 to-ports=5001
add action=dst-nat chain=dstnat comment=PLEX dst-port=32400 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    32400
add action=dst-nat chain=dstnat comment="HTTP naar NAS" dst-port=80 \
    in-interface-list=WAN log-prefix=HTTPNAS protocol=tcp to-addresses=\
    192.168.76.2 to-ports=80
add action=dst-nat chain=dstnat comment="Synology Drive" dst-port=6690 \
    in-interface-list=WAN log-prefix=SynDrive protocol=tcp to-addresses=\
    192.168.76.2 to-ports=6690
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=\
    25 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 to-ports=\
    25
add action=dst-nat chain=dstnat comment="SMTP naar mailserver NAS" dst-port=\
    587 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=587
add action=dst-nat chain=dstnat comment="IMAP naar mailserver NAS" dst-port=\
    993 in-interface-list=WAN protocol=tcp to-addresses=192.168.76.2 \
    to-ports=993
/ip kid-control device
add mac-address=FE:A6:EE:3F:1A:8E name="S10-van-Dave;2"
add mac-address=04:B4:29:56:C4:DB name="Galaxy-A40;2"
/ip proxy
set anonymous=yes
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=Werkkamer-1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ipv6 route
add disabled=yes dst-address=2000::/3 gateway=2001:470:1f14:f6a::1
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set cache-entries=1M interfaces=WAN-INTERNET-100
/ip upnp interfaces
add interface=WAN-INTERNET-100 type=external
add interface=bridge-lan type=internal
/ipv6 address
add address=2001:470:1f14:f6a::2 advertise=no interface=sit1
add address=2001:470:1f15:f68:: disabled=yes interface=bridge-lan
/ipv6 nd
set [ find default=yes ] disabled=yes
/snmp
set enabled=yes trap-generators=interfaces trap-interfaces=all trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
add action=remote topics=critical
add action=remote prefix=DHCP topics=dhcp
add action=remote prefix=WiFi topics=wireless
add action=remote prefix=CAPS topics=caps,debug
/system note
set note="                           (   )\
    \n                          (    )\
    \n                           (    )\
    \n                          (    )\
    \n                            )  )\
    \n                           (  (                  /\\\
    \n                            (_)                 /  \\  /\\\
    \n                    ________[_]________      /\\/    \\/  \\\
    \n           /\\      /\\        ______    \\    /   /\\/\\  /\\/\\\
    \n          /  \\    //_\\       \\    /\\    \\  /\\/\\/    \\/    \\\
    \n   /\\    / /\\/\\  //___\\       \\__/  \\    \\/\
    \n  /  \\  /\\/    \\//_____\\       \\ |[]|     \\\
    \n /\\/\\/\\/       //_______\\       \\|__|      \\\
    \n/      \\      /XXXXXXXXXX\\                  \\\
    \n        \\    /_I_II  I__I_\\__________________\\\
    \n               I_I|  I__I_____[]_|_[]_____I\
    \n               I_II  I__I_____[]_|_[]_____I\
    \n               I II__I  I     XXXXXXX     I\
    \n            ~~~~~\"   \"~~~~~~~~~~~~~~~~~~~~~~~~\
    \n\
    \n---           Toegang verboden voor onbevoegden.         ---"
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set silent-boot=yes
/tool e-mail
set address=192.168.76.2 from=router@familieelbers.nl
/tool graphing interface
add interface=WAN-INTERNET-100
add interface=sfp-sfpplus1
add interface=*5D
add interface=*5E
add interface=*5F
add interface=*60
add interface=bridge-lan
add interface=bridge-IOT
add interface=*61
add interface=*62
add interface=*63
add interface=*64
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set file-name=nsure filter-interface=WAN-INTERNET-100 filter-ip-address=\
    !83.128.169.128/32 memory-limit=1000KiB

vrijdag 2 september 2022 16:49

Acties:

0 Henk 'm!

Pasc66

[quote]deefje76 schreef op vrijdag 2 september 2022 @ 12:49:
Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

Super!!! - dankjewel - ik ga er van het weekeinde naar kijken.

Ik heb overigens op mijn hex S zojuist de vlan 101 bridge uitgezet en IGMP snooping op de VLAN 100 bridge aangezet. Daarna de tv ontvanger van de spanning af gehaald/weer van spanning voorzien..en het lijkt gewoon te werken.

Einde van de maand overstap naar Delta en dan komt mid october de nieuwe mikrotik router (RB5009UPr+S+IN) en hAP ax2 er in (de huawei ax3 gaan er dan langzaam uit). Dan kunnen we qua router wel de komende 10 jaar vooruit :-)

dinsdag 27 september 2022 16:40

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Ik heb een vreemd probleem. Ik heb sinds deze ochtend het melkpak uit en ben over op mijn Hex RB960PGS voor internet, TV (IPTV, Coax werkt ook nog

) en Voip.

Qua instellingen heb ik geen VLAN101 ingesteld; aangezien ik las dat dit niet meer nodig is.
Nu heb ik een raar dingetje.

1 van de 2 STB's krijgt maar TV via IPTV. Degene die wel werkt had ik al een tijdje via het reguliere netwerk lopen. Die andere kan geen connectie maken. Blijft hangen op connection error. Die tweede zat dus via het melkpak verbonden.

Beide STB's zitten op dezelfde HPE switch, waar ik nu voor de zekerheid ook IGMP snooping op heb aangezet.
Beide STB's krijgen een IP uit de DHCP scope.

Waar zou het nog aan kunnen liggen?

[ Voor 3% gewijzigd door imdos op 27-09-2022 22:11 . Reden: Update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 19:05

Acties:

0 Henk 'm!

deefje76

Topicstarter

Probeer diegene die niet werkt eens een harde reset te geven. Bij bij hielp dat als ik schakelde tussen mijn netwerken.

dinsdag 27 september 2022 22:10

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

deefje76 schreef op dinsdag 27 september 2022 @ 19:05:
Probeer diegene die niet werkt eens een harde reset te geven. Bij bij hielp dat als ik schakelde tussen mijn netwerken.

Met een paperclip in de reset op de onderkant bedoel je dan? Want het apparaat is al meerdere keren van de stroom af geweest.

Update
Ik heb de paperclip er minstens 10 seconden in gehad tijdens het opstarten en voordat ik de stroom erop had. Maar nog geen succes.

Ik heb zelfs dit kastje even aan de werkende verbinding geprobeerd, maar krijg dezelfde error dat er geen connectie gemaakt kan worden. Morgen maar eens bellen met de klantenservice.

[ Voor 31% gewijzigd door imdos op 27-09-2022 23:06 . Reden: Update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 22:17

Acties:

0 Henk 'm!

MischaBoender

Pasc66 schreef op vrijdag 2 september 2022 @ 11:09:
Is het ondertussen gelukt? zo ja laat me dat svp even weten. Bij mij werkt alles zonder de specifieke routering naar vlan 101 (ik zal wel iets fout gedaan hebben, but if ain't broke, don't fix it :-) )

Ik wil desgewenst wel even mij config delen.

VLAN101 disabled, routeringen er uit gehaald en wat IGMP Proxy zooi disabled (alleen aan op de LAN bridge interface). Alles lijkt nu te werken 👌🏻.

dinsdag 27 september 2022 23:01

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op dinsdag 27 september 2022 @ 22:17:
[...]

VLAN101 disabled, routeringen er uit gehaald en wat IGMP Proxy zooi disabled (alleen aan op de LAN bridge interface). Alles lijkt nu te werken 👌🏻.

Ik ben heel benieuwd of jij me verder kan helpen.

Kun je je configuratie delen en heb je één of meerdere iptv kastjes?

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 27 september 2022 23:25

Acties:

0 Henk 'm!

MischaBoender

imdos schreef op dinsdag 27 september 2022 @ 23:01:
[...]

Ik ben heel benieuwd of jij me verder kan helpen.

Kun je je configuratie delen en heb je één of meerdere iptv kastjes?

Ik, of eigenlijk mijn ouder hebben 1 TV kastje. Heb je dan nog steeds wat een mijn config?

woensdag 28 september 2022 10:18

Acties:

0 Henk 'm!

Pasc66

MischaBoender schreef op dinsdag 27 september 2022 @ 23:25:
[...]

Ik, of eigenlijk mijn ouder hebben 1 TV kastje. Heb je dan nog steeds wat een mijn config?

Ik wil m wel delen hoor - ik heb 2 iptv kastjes die domweg in mijn lan hangen - lijkt prima te werken. Geen specifieke poorten op de mikrotik nodig voor de TV kabels. Ik zal m van de week even exporteren en hier posten.

woensdag 28 september 2022 22:04

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Help; ik snap er niets meer van. Nu heb ik op het kastje wat wel werkte een error: "onverwachte fout met inloggen" en op de andere nog steeds een probleem: "connection error". Ook kan ik nu niet eens meer met een ander device (GSM/Tablet met iOS/Android) inloggen op de Caiway IPTV web-app. Terwijl ik niets heb gewijzigd met gisteren.

Vanwege alle problemen toch weer VLAN 101 en die instellingen actief gezet. Maar dat lost het probleem niet op. Daarnaast verschillende igmp settings geprobeerd. Maar het probleem blijft.

Voor de zekerheid hieronder mijn config.

code:

export 
# sep/28/2022 21:45:30 by RouterOS 7.4.1
# software id = xxx
#
# model = RB960PGS
# serial number = xxx
/interface bridge
add comment=Bridge-Voice ingress-filtering=no name=Bridge-Voice pvid=102 \
    vlan-filtering=yes
add name=bridge-IOT pvid=200 vlan-filtering=yes
add comment=Bridge-IPTV disabled=yes igmp-snooping=yes ingress-filtering=no \
    mld-version=2 name=bridge-iptv pvid=101 vlan-filtering=yes
add comment=Bridge-LAN igmp-snooping=yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment=uplink
set [ find default-name=ether2 ] comment="Unifi_1 meterkast"
set [ find default-name=ether3 ] comment="Unifi_2 kamer"
set [ find default-name=ether4 ] comment="Unifi_3 werkkamer"
set [ find default-name=ether5 ] comment=unused
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    "Caiway Glasvezel" rx-flow-control=auto tx-flow-control=auto
/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan
add comment="WAN Voice VLAN" interface=sfp1 name="WAN Voice VLAN" vlan-id=102
add arp=proxy-arp comment="WAN Internet VLAN 100" interface=sfp1 \
    loop-protect=on name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" disabled=yes interface=sfp1 name=WAN-IPTV-101 \
    vlan-id=101
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add name=ike2-privado.io responder=no src-address-list=NaarVPN
/ip ipsec policy group
add name=ike2-privado.io
/ip ipsec profile
add dh-group=ecp256 enc-algorithm=aes-256 name=ike2-privado.io
/ip ipsec peer
add address=ams-003.vpn.privado.io disabled=yes exchange-mode=ike2 name=\
    ike2-privado.io-client profile=ike2-privado.io
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 name=ike2-privado.io
/ip kid-control
add name=kid1
/ip pool
add name=dhcp_pool0 ranges=192.168.22.10-192.168.22.254
add name=vpn_pool ranges=192.168.23.2-192.168.23.20
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=2d name=dhcp-N22
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge nat
add action=accept chain=srcnat disabled=yes out-bridge-list=WAN \
    out-interface=ether5
add action=accept chain=srcnat disabled=yes out-bridge=bridge-iptv \
    out-interface=ether1
/interface bridge port
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether5 \
    trusted=yes
add bridge=bridge-iptv disabled=yes ingress-filtering=no interface=\
    WAN-IPTV-101 pvid=101 trusted=yes
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-iptv tagged=ether1 vlan-ids=101
add bridge=bridge-iptv disabled=yes tagged=ether1 vlan-ids=100
add bridge=bridge-lan vlan-ids=100
/interface detect-internet
set lan-interface-list=LAN wan-interface-list=WAN
/interface ethernet switch vlan
add independent-learning=no ports=ether1 switch=switch1 vlan-id=101
add independent-learning=no ports=ether1,ether2,ether3,ether4,ether5 switch=\
    switch1 vlan-id=100
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface="WAN Voice VLAN" list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp1 list=WAN
add interface=WAN-IPTV-101 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=192.168.23.10/32 interface=wireguard1 public-key=\
    "xxx"
add allowed-address=192.168.23.20/32 comment=ste-win007 interface=wireguard1 \
    public-key="xxx"
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge-lan network=\
    192.168.22.0
add address=192.168.23.1/24 interface=wireguard1 network=192.168.23.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
add add-default-route=no dhcp-options=clientid_duid disabled=yes interface=\
    sfp1 use-peer-dns=no use-peer-ntp=no
add disabled=yes interface=ether1
add add-default-route=no interface="WAN Voice VLAN" use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=no disabled=yes interface=WAN-IPTV-101 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.22.230 client-id=1:0:3:e6:c0:86:50 comment="STB beneden" \
    mac-address=00:03:E6:C0:86:50 server=dhcp-N22
add address=192.168.22.200 comment=raspi-test mac-address=B8:27:EB:88:68:F7 \
    server=dhcp-N22
add address=192.168.22.3 comment=rpi3-domotica mac-address=B8:27:EB:48:79:65 \
    server=dhcp-N22
add address=192.168.22.2 comment=rpi4b mac-address=DC:A6:32:AC:AF:89 server=\
    dhcp-N22
add address=192.168.2.231 client-id=1:0:3:E6:C1:C8:12 comment="STB boven" \
    mac-address=00:03:E6:C1:C8:12 server=dhcp-N22
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf dns-server=192.168.22.2 domain=\
    router.lan gateway=192.168.22.1 netmask=24 wins-server=192.168.22.1
/ip dns
set allow-remote-requests=yes servers=192.168.22.2
/ip dns static
add address=192.168.22.1 name=router.lan
add address=192.168.22.2 name=pihole.router.lan
add address=192.168.22.2 name=pi.hole
/ip firewall address-list
add address=192.168.22.2 list=DNS
add address=192.168.22.200 list=DNS
add address=192.168.22.3 list=DNS
/ip firewall filter
add action=accept chain=input dst-port=51820 protocol=udp
add action=accept chain=forward in-interface=wireguard1
add action=drop chain=input comment="Drop traffic to router from guest" \
    disabled=yes dst-address=192.168.23.1 src-address=192.168.23.0/24
add action=drop chain=forward comment="Drop traffic from guest to home" \
    disabled=yes dst-address=192.168.22.0/24 src-address=192.168.23.0/24
add action=jump chain=forward comment="jump to kid-control rules" disabled=\
    yes jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" disabled=yes \
    in-interface=bridge-IOT out-interface=bridge-lan reject-with=\
    icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" disabled=yes \
    in-interface=bridge-lan out-interface=bridge-IOT reject-with=\
    icmp-network-unreachable
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked in-interface=sfp1
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid in-interface=sfp1
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid in-interface-list=WAN
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=udp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=udp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=tcp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=tcp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.23.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.22.0/24
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
/ip ipsec identity
add auth-method=eap certificate=privado.io.der_0 eap-methods=eap-mschapv2 \
    generate-policy=port-strict mode-config=ike2-privado.io peer=\
    ike2-privado.io-client policy-template-group=ike2-privado.io username=\
    unlcuqzfsswe
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-privado.io proposal=ike2-privado.io \
    src-address=0.0.0.0/0 template=yes
/ip kid-control device
add mac-address=04:CF:8C:8F:9A:0B name=lumi-gateway-v3_miio131869405
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=\
    WAN-IPTV-101 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=WAN-INTERNET-100 \
    upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge-lan
add disabled=yes interface=ether1
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes
/system ntp client servers
add address=nl.pool.ntp.org
/system routerboard settings
set silent-boot=yes

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 29 september 2022 10:22

Acties:

0 Henk 'm!

MischaBoender

@imdos

Hier zie ik wel wat vreemds:

code:

/interface bridge vlan
add bridge=bridge-iptv tagged=ether1 vlan-ids=101
add bridge=bridge-iptv disabled=yes tagged=ether1 vlan-ids=100
add bridge=bridge-lan vlan-ids=100

Aan je LAN bridge hangt VLAN 100 (wat internet is) en je hebt aan ether1 nog een VLAN tag hangen (geen idee of zo'n TV kastje daar iets mee doet).

donderdag 29 september 2022 10:29

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op donderdag 29 september 2022 @ 10:22:

Aan je LAN bridge hangt VLAN 100 (wat internet is) en je hebt aan ether1 nog een VLAN tag hangen (geen idee of zo'n TV kastje daar iets mee doet).

Ja, ik heb echt van alles gewijzigd gisterenavond; aangezien ineens er paniek was omdat het 2e kastje ook niets meer deed. Mogelijk heb ik die over het hoofd gezien. Ik zal die nog even disablen.

Ik heb trouwens zojuist contact gehad met de klantenservice en die medewerker gaf aan dat alles met de IPTV kastjes opgelost zou zijn door het registreren van mijn Mikrotik.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 29 september 2022 10:30

Acties:

0 Henk 'm!

MischaBoender

Hier mijn (wat opgeschoonde) config:

code:

/interface bridge
add igmp-snooping=yes name=bridge-lan protocol-mode=none
/interface vlan
add interface=sfp1 name=sfp1-wan-vlan100 vlan-id=100
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorclassidentifier value="'IPTV_RG'"
/ip pool
add name=pool-lan ranges=172.17.4.100-172.17.4.199
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=server-lan
/interface bridge port
add bridge=bridge-lan ingress-filtering=no interface=ether2
add bridge=bridge-lan ingress-filtering=no interface=ether3
add bridge=bridge-lan ingress-filtering=no interface=ether4
add bridge=bridge-lan ingress-filtering=no interface=ether5
add bridge=bridge-lan ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/ip address
add address=172.17.4.254/24 interface=bridge-lan network=172.17.4.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=sfp1-wan-vlan100
/ip dhcp-server network
add address=172.17.4.0/24 dns-server=172.17.4.254 gateway=172.17.4.254
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=sfp1-wan-vlan100
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1-wan-vlan100
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add action=remote topics=critical
add action=remote topics=error
/system ntp client
set enabled=yes
/system ntp client servers
add address=162.159.200.123
add address=162.159.200.1

donderdag 29 september 2022 11:13

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik neem aan dat je firewall rules ook onder "opgeschoond" vallen?

Eerst het probleem, dan de oplossing

donderdag 29 september 2022 20:31

Acties:

0 Henk 'm!

MischaBoender

lier schreef op donderdag 29 september 2022 @ 11:13:
Ik neem aan dat je firewall rules ook onder "opgeschoond" vallen?

Port knocking, winbox toegang, vpn e.d. heb ik er inderdaad uit gehaald. Alleen nu ik nogmaal kijk mis ik eigenlijk nog een "forward drop indien geen NAT" rule op de WAN interface.

Of heb ik nog iets anders over het hoofd gezien wat ik misschien echt niet heb in mijn firewall.

donderdag 29 september 2022 21:35

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik heb voorkeur met afsluiten van de input en forward chain met drop all. Dan moet je wel zorgen dat je nog toegang hebt via een accept rule op de input chain.

Kan je ook niets vergeten...

Eerst het probleem, dan de oplossing

donderdag 29 september 2022 21:44

Acties:

0 Henk 'm!

MischaBoender

lier schreef op donderdag 29 september 2022 @ 21:35:
Ik heb voorkeur met afsluiten van de input en forward chain met drop all. Dan moet je wel zorgen dat je nog toegang hebt via een accept rule op de input chain.

Kan je ook niets vergeten...

Daar heb je zeker een punt ja. Heb ik in mijn eigen router wel gedaan, met net daar voor een log rule voor verkeer met RFC1918 als source. In deze router van mijn ouders ben ik een beetje lui geweest...

dinsdag 4 oktober 2022 13:15

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

@lier en @MischaBoender Ik heb een nieuw IPTV kastje opgestuurd gekregen vanuit Caiway, die in eerste instantie niet gekoppeld was aan mijn account. Dat is uiteindelijk in het weekend gebeurd.

Maar die wil niet verbinden via de routed optie (zoals mijn kastje in de huiskamer, die dit wel kan). Ik heb weer contact daarover gehad met Caiway en die geven aan dat ik het toch moet proberen via het melkpak en de bridged methode dus via vlan 101.

Nu heb ik echt van alles zitten doen; maar ik krijg het niet werkend. Ik zie vast iets over het hoofd. Heeft iemand een idee?

code:

# oct/04/2022 12:59:11 by RouterOS 7.4.1
/interface bridge
add comment=Bridge-Voice ingress-filtering=no name=Bridge-Voice pvid=102 \
    vlan-filtering=yes
add name=bridge-IOT pvid=200 vlan-filtering=yes
add comment=Bridge-IPTV igmp-snooping=yes ingress-filtering=no mld-version=2 \
    name=bridge-iptv pvid=101 vlan-filtering=yes
add comment=Bridge-LAN igmp-snooping=yes name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] comment=uplink
set [ find default-name=ether2 ] comment="Unifi_1 meterkast"
set [ find default-name=ether3 ] comment="Unifi_2 kamer"
set [ find default-name=ether4 ] comment="Unifi_3 werkkamer"
set [ find default-name=ether5 ] comment=unused
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    "Caiway Glasvezel" rx-flow-control=auto tx-flow-control=auto
/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan
add comment="WAN Voice VLAN" interface=sfp1 name="WAN Voice VLAN" vlan-id=102
add arp=proxy-arp comment="WAN Internet VLAN 100" interface=sfp1 \
    loop-protect=on name=WAN-INTERNET-100 vlan-id=100
add comment="WAN IPTV VLAN 101" interface=sfp1 name=WAN-IPTV-101 vlan-id=101
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IOT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorclassidentifier value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.24.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip ipsec mode-config
add name=ike2-privado.io responder=no src-address-list=NaarVPN
/ip ipsec policy group
add name=ike2-privado.io
/ip ipsec profile
add dh-group=ecp256 enc-algorithm=aes-256 name=ike2-privado.io
/ip ipsec peer
add address=ams-003.vpn.privado.io disabled=yes exchange-mode=ike2 name=\
    ike2-privado.io-client profile=ike2-privado.io
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 name=ike2-privado.io
/ip kid-control
add name=kid1
/ip pool
add name=dhcp_pool0 ranges=192.168.22.10-192.168.22.254
add name=vpn_pool ranges=192.168.23.2-192.168.23.20
add name=iptv-pool ranges=192.168.24.2-192.168.24.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=2d name=dhcp-N22
add address-pool=iptv-pool dhcp-option-set=IPTV interface=bridge-iptv \
    lease-time=1d name=dhcp-iptv
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge nat
add action=accept chain=srcnat out-bridge=bridge-iptv out-interface=ether5
add action=accept chain=srcnat disabled=yes out-bridge=bridge-iptv \
    out-interface=ether1
/interface bridge port
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge-iptv comment=defconf ingress-filtering=no interface=ether5 \
    pvid=101 trusted=yes
add bridge=bridge-iptv ingress-filtering=no interface=WAN-IPTV-101 pvid=101 \
    trusted=yes
add bridge=bridge-lan comment=defconf ingress-filtering=no interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-iptv tagged=ether5 vlan-ids=101
add bridge=bridge-lan vlan-ids=100
/interface detect-internet
set lan-interface-list=LAN wan-interface-list=WAN
/interface ethernet switch vlan
add independent-learning=no ports=ether5 switch=switch1 vlan-id=101
add independent-learning=no ports=ether1,ether2,ether3,ether4 switch=switch1 \
    vlan-id=100
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=WAN-INTERNET-100 list=WAN
add interface="WAN Voice VLAN" list=WAN
add interface=bridge-IOT list=IOT
add interface=sfp1 list=WAN
add interface=WAN-IPTV-101 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 require-client-certificate=yes
/interface wireguard peers
add allowed-address=192.168.23.10/32 interface=wireguard1 public-key=\
    "YHCPcCy2Mx4hoCADk0pukUmeEmFcxkirZTKkT3+6qF8="
add allowed-address=192.168.23.20/32 comment=ste-win007 interface=wireguard1 \
    public-key="CtOOgELFOl/a8CEecuJkPvitM2/6+70M31f9LYOGWgc="
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge-lan network=\
    192.168.22.0
add address=192.168.23.1/24 interface=wireguard1 network=192.168.23.0
add address=192.168.24.1 interface=bridge-iptv network=192.168.24.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-INTERNET-100
add add-default-route=no dhcp-options=clientid_duid disabled=yes interface=\
    sfp1 use-peer-dns=no use-peer-ntp=no
add disabled=yes interface=ether1
add add-default-route=no interface="WAN Voice VLAN" use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=no disabled=yes interface=WAN-IPTV-101 use-peer-ntp=no
add add-default-route=no dhcp-options=hostname,clientid,vendorclassidentifier \
    interface=bridge-iptv use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.22.230 client-id=1:0:3:e6:c0:86:50 comment="STB beneden" \
    mac-address=00:03:E6:C0:86:50 server=dhcp-N22
add address=192.168.22.200 comment=raspi-test mac-address=B8:27:EB:88:68:F7 \
    server=dhcp-N22
add address=192.168.22.3 comment=rpi3-domotica mac-address=B8:27:EB:48:79:65 \
    server=dhcp-N22
add address=192.168.22.2 comment=rpi4b mac-address=DC:A6:32:AC:AF:89 server=\
    dhcp-N22
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf dns-server=192.168.22.2 domain=\
    router.lan gateway=192.168.22.1 netmask=24 wins-server=192.168.22.1
add address=192.168.24.0/24 comment=iptv gateway=192.168.24.1
/ip dns
set allow-remote-requests=yes servers=192.168.22.2
/ip dns static
add address=192.168.22.1 name=router.lan
add address=192.168.22.2 name=pihole.router.lan
add address=192.168.22.2 name=pi.hole
/ip firewall address-list
add address=192.168.22.2 list=DNS
add address=192.168.22.200 list=DNS
add address=192.168.22.3 list=DNS
/ip firewall filter
add action=accept chain=input dst-port=51820 protocol=udp
add action=accept chain=forward in-interface=wireguard1
add action=drop chain=input comment="Drop traffic to router from guest" \
    disabled=yes dst-address=192.168.23.1 src-address=192.168.23.0/24
add action=drop chain=forward comment="Drop traffic from guest to home" \
    disabled=yes dst-address=192.168.22.0/24 src-address=192.168.23.0/24
add action=jump chain=forward comment="jump to kid-control rules" disabled=\
    yes jump-target=kid-control
add action=reject chain=forward comment="Block from IOT to LAN" disabled=yes \
    in-interface=bridge-IOT out-interface=bridge-lan reject-with=\
    icmp-network-unreachable
add action=reject chain=forward comment="Block from LAN to IOT" disabled=yes \
    in-interface=bridge-lan out-interface=bridge-IOT reject-with=\
    icmp-network-unreachable
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked in-interface=sfp1
add action=accept chain=input comment=test in-interface=bridge-iptv
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid in-interface=WAN-INTERNET-100
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid in-interface-list=WAN
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=forward comment=\
    "Markeer outbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment=\
    "Markeer inbound IPsec connecties om ze van fasttrack uit te sluiten" \
    ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=udp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=udp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=dst-nat chain=dstnat dst-address=!192.168.22.2 dst-port=53 \
    in-interface=bridge-lan protocol=tcp src-address=!192.168.22.2 \
    to-addresses=192.168.22.2
add action=dst-nat chain=dstnat disabled=yes dst-address-list=!DNS dst-port=\
    53 in-interface=bridge-lan protocol=tcp src-address-list=!DNS \
    to-addresses=192.168.22.2 to-ports=53
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=udp src-address=192.168.22.0/24
add action=masquerade chain=srcnat dst-address=192.168.22.2 dst-port=53 \
    protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat disabled=yes dst-address-list=DNS \
    dst-port=53 protocol=tcp src-address=192.168.22.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=WAN-INTERNET-100
add action=masquerade chain=srcnat out-interface=WAN-INTERNET-100 \
    src-address=192.168.23.0/24
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface-list=WAN src-address=192.168.22.0/24
add action=masquerade chain=srcnat log=yes out-interface=bridge-iptv \
    src-address=192.168.24.0/24
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
/ip kid-control device
add mac-address=04:CF:8C:8F:9A:0B name=lumi-gateway-v3_miio131869405
/ip route
add disabled=yes distance=1 dst-address=62.45.57.36/32 gateway=\
    WAN-INTERNET-100 pref-src="" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.57.34/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.57.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.59.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.76.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.58.226/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.34.150/32 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.49.0/24 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=212.115.196.0/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.63.90.128/25 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.63.91.0/26 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.32/27 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.16/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=62.45.61.64/28 gateway=WAN-IPTV-101 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10 vrf-interface=bridge-iptv
add disabled=yes distance=1 dst-address=217.102.255.57/32 gateway=\
    WAN-IPTV-101 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10 vrf-interface=bridge-iptv
/ip service
set telnet disabled=yes
set ftp disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=WAN-INTERNET-100 \
    upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge-lan
add disabled=yes interface=ether1
add interface=bridge-iptv
/system clock
set time-zone-name=Europe/Amsterdam

De scripts en ipsec policy heb ik verwijderd.

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 4 oktober 2022 13:29

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Het nadeel van meerdere bridges dat er (vooralsnog) maar op een HW offloading gedaan kan worden. Daarnaast is je opzet met VLAN's en filtering niet helemaal juist. Misschien kan je dit topic eens lezen:

https://forum.mikrotik.com/viewtopic.php?f=23&t=143620

Volgens mij kan je een virtuele interface aanmaken op de eth1 (zeg eth1.101) die je toevoegt aan de bridge met VLAN 101. Als je deze doorzet naar de poorten waarop de STB's zitten dan ben je al klaar.

Eerst het probleem, dan de oplossing

woensdag 5 oktober 2022 01:53

Acties:

0 Henk 'm!

MischaBoender

@imdos, misschien een domme vraag, maar werken ze wel beide tegelijk via de apparatuur van Caiway zelf?

Ik weet trouwens ook niet wat je met dat "melkpak" bedoeld.

woensdag 5 oktober 2022 10:27

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

MischaBoender schreef op woensdag 5 oktober 2022 @ 01:53:
@imdos, misschien een domme vraag, maar werken ze wel beide tegelijk via de apparatuur van Caiway zelf?

Ik weet trouwens ook niet wat je met dat "melkpak" bedoeld.

melkpak is de Genexis hybrid live titanium.

Ik heb het caiway modem er nog niet in geprikt. Die is nu een weekje oud. In de oude situatie had ik 1 iptv ontvanger (van de woonkamer) al omgeprikt en zat die op poort 1 van het Caiway modem (via mijn mikrotik en switch); dus VLAN 100. Maar die andere, oudere iptv (van de slaapkamer) heb ik nooit omgeprikt.

Alleen toen ik vorige week ben geswitched en mijn telefonie (2x Siemens gigaset en caiway modem) er uitgegooid heb (o.a. vanwege stroombesparing). Voip komt nog wel terug op mijn raspberrypi overigens. Kwam ik er dus achter dat het 2e kastje niet werkte.

Maar die heb ik dus laten vervangen in de verwachting dat hiermee het probleem opgelost zou zijn. Maar dat lijkt er nog niet op. Dus nu probeer ik mijn VLAN101 goed te laten functioneren.

Ik wil vanavond eens proberen of ik het oude modem kan terughangen en daardoor die 2de kan activeren (incl. verplichte firmware update van 20.2.88_build4-bbl => 20.2.98.1-build4 ).

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 6 oktober 2022 18:59

Acties:

0 Henk 'm!

imdos

I use FreeNAS and Ubuntu

Nou; weer 1 stap vooruit en 2 achteruit vandaag. Met het melkpak en het nieuwe iptv kastje aan poortje 2 niets. Met de oude, die nog niet was teruggestuurd, de firmware kunnen bijwerken naar de huidige versie. Toen die een reboot ging doen meteen omgehangen naar poort 1; dus vlan 100 only, toen werkte die.

Mijn mikrotik er weer aangehangen en de dhcp lease afgewacht voor een nieuwe werkdag. Deden ineens beide iptv kastjes het niet ivm fout in de aanmelding. Gemeld bij Caiway en die gingen er mee aan de slag; zsm (wat dat mag betekenen).

Blijkt dat er maar 1 kastje actief lijkt te zijn; nota bene de 2de die al tijden kuren vertoonde en de andere was verdwenen. Echt een mysterie.

Update; gisterenavond deed mijn caiway app het weer en vanochtend beide iptv kastjes. Alsof er na een extra registratie of error daarin een bepaalde timeout zit, waarnaar het weer gewoon gaat werken.

[ Voor 12% gewijzigd door imdos op 07-10-2022 11:25 . Reden: update ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 15 november 2022 16:57

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op vrijdag 2 september 2022 @ 16:49:
[quote]deefje76 schreef op vrijdag 2 september 2022 @ 12:49:
Bij deze.Volgens mij was het inderdaad belangrijk op op de bridge IGMP snooping aan te zetten.

Super!!! - dankjewel - ik ga er van het weekeinde naar kijken.

Ik heb overigens op mijn hex S zojuist de vlan 101 bridge uitgezet en IGMP snooping op de VLAN 100 bridge aangezet. Daarna de tv ontvanger van de spanning af gehaald/weer van spanning voorzien..en het lijkt gewoon te werken.

Einde van de maand overstap naar Delta en dan komt mid october de nieuwe mikrotik router (RB5009UPr+S+IN) en hAP ax2 er in (de huawei ax3 gaan er dan langzaam uit). Dan kunnen we qua router wel de komende 10 jaar vooruit :-)

Heb je deze RB5009UPr+S+IN toevallig al in gebruik met delta?

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

dinsdag 15 november 2022 17:01

Acties:

0 Henk 'm!

Pasc66

Nog niet - hij is onderweg en kan elk moment binnenkomen. Volgende aanschaf wordt 1 of 2 hap ax3 (de bestelling met de ax2 heb ik gecancelled - de hap ax3 past beter bij de rb5009)

dinsdag 15 november 2022 17:10

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op dinsdag 15 november 2022 @ 17:01:
Nog niet - hij is onderweg en kan elk moment binnenkomen. Volgende aanschaf wordt 1 of 2 hap ax3 (de bestelling met de ax2 heb ik gecancelled - de hap ax3 past beter bij de rb5009)

Ik ben benieuwd of je de SFP werkend krijgt in de RB5009. Ik krijg het namelijk niet voor elkaar. De config klopt, want met een externe mediaconverter werkt het wel, maar de FS BiDi SFP (en ook een originele MikroTik) krijg ik niet werkend. Hij wordt wel gedetecteerd en komt up met 1G FD, maar de Rx blijft op 0 staan en ik krijg dan geen ip.

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

dinsdag 15 november 2022 22:34

Acties:

0 Henk 'm!

Pasc66

Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

[ Voor 16% gewijzigd door Pasc66 op 15-11-2022 22:37 ]

woensdag 16 november 2022 09:41

Acties:

0 Henk 'm!

3dmaster

Pasc66 schreef op dinsdag 15 november 2022 @ 22:34:
Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

Ok dank

. Ik heb ook de RB5009UPr+S+IN trouwens. Nu dan icm een TP-link mc220L

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 18 november 2022 11:26

Acties:

0 Henk 'm!

henleu

Pasc66 schreef op dinsdag 15 november 2022 @ 22:34:
Ik laat het zo snel mogelijk weten..op mijn HexS werkt alles iig naar behoren (er zit een Generic Compatible 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Transceiver Module in)

Merk op dat ik de nieuwe variant van de RB5009 krijg (RB5009UPr+S+IN)

Het glas ligt hier net in de straat en het is inderdaad de bedoeling om het rechtstreeks op de RB5009 nieuwe variant aan te sluiten. De verwachting is dat de aansluiting in huis door Delta nog wel een paar maanden op zich laat wachten. Ik ben benieuwd.

vrijdag 18 november 2022 11:57

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

3dmaster schreef op dinsdag 15 november 2022 @ 17:10:
Hij wordt wel gedetecteerd en komt up met 1G FD, maar de Rx blijft op 0 staan en ik krijg dan geen ip.

Moeten we nog even naar je config kijken? Heb je de de VLAN op de juiste manier aangemaakt?

Eerst het probleem, dan de oplossing

vrijdag 18 november 2022 15:18

Acties:

0 Henk 'm!

3dmaster

lier schreef op vrijdag 18 november 2022 @ 11:57:
[...]

Moeten we nog even naar je config kijken? Heb je de de VLAN op de juiste manier aangemaakt?

Dat mag, ik heb ff wat zaken mbt tot mijn vpn's er uit gehaald.

code:

# oct/22/2022 20:35:45 by RouterOS 7.6
# software id = 32DG-W5CB
#
# model = RB5009UPr+S+
# serial number = HCY08D45X7X
/interface bridge
add admin-mac=18:FD:74:78:53:89 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full  speed=1Gbps \
/interface wireguard
add listen-port=51820 mtu=1420 name=WG0
/interface vlan
add interface=sfp-sfpplus1 loop-protect=off name=DeltaInternet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 pfs-group=modp2048
/ip pool
add name=dhcp ranges=10.10.0.100-10.10.0.200
add name=openvpn ranges=10.10.11.10-10.10.11.100
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=8h10m name="Default LAN DHCP"
/ppp profile
add local-address=10.10.11.1 name=openvpn remote-address=openvpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=DeltaInternet list=WAN
add interface=WG0 list=LAN
/interface ovpn-server server
set certificate=gateway cipher=blowfish128,aes128,aes192,aes256 default-profile=openvpn enabled=yes protocol=udp
/ip address
add address=10.10.0.254/24 comment=defconf interface=bridge network=10.10.0.0
add address=10.10.100.1/24 interface=WG0 network=10.10.100.0
/ip dhcp-client
add interface=DeltaInternet use-peer-ntp=no
/ip dhcp-server lease
add address=10.10.0.51 mac-address=5C:CF:7F:AD:15:34 server="Default LAN DHCP"
add address=10.10.0.20 mac-address=00:30:18:C4:46:D1 server="Default LAN DHCP"
/ip dhcp-server network
add address=10.10.0.0/24 comment=defconf dns-server=10.10.0.1 gateway=10.10.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=10.10.0.254 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no dst-address=10.10.20.0/24 gateway=WG0 routing-table=main suppress-hw-offload=no
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=DeltaInternet type=external
add interface=bridge type=internal
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp \
    src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ppp secret
add name=jurgen profile=openvpn
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 18 november 2022 17:56

Acties:

+2 Henk 'm!

lier

MikroTik nerd

MikroTik

Config ziet er netjes uit (afgezien van de UPnP

= persoonlijk en de overbodige IPv6 onderdelen).
Het is ook wel heel gek dat je geen RX krijgt. Als je wil, ik heb toenertijd voor mijn RB4011 een aantal SFP's bij FS besteld. Ik kan er je een toesturen als je wil?

offtopic:
Ja ja...is meer voor Vraag en antwoord

Eerst het probleem, dan de oplossing

zaterdag 19 november 2022 09:29

Acties:

+1 Henk 'm!

Pasc66

3dmaster schreef op woensdag 16 november 2022 @ 09:41:
[...]

Ok dank . Ik heb ook de RB5009UPr+S+IN trouwens. Nu dan icm een TP-link mc220L

Hij ondertussen binnen maar ik kan m pas einde volgende week testen - zit t/m woensdag of donderdag in buitenland.

dinsdag 22 november 2022 11:11

Acties:

0 Henk 'm!

3dmaster

lier schreef op vrijdag 18 november 2022 @ 17:56:
Config ziet er netjes uit (afgezien van de UPnP = persoonlijk en de overbodige IPv6 onderdelen).
Het is ook wel heel gek dat je geen RX krijgt. Als je wil, ik heb toenertijd voor mijn RB4011 een aantal SFP's bij FS besteld. Ik kan er je een toesturen als je wil?

offtopic:
Ja ja...is meer voor Vraag en antwoord

Ja, UPnP is wel makkelijk voor games soms ...

Ik heb zelf al getest met 2 andere sfp's ( 2 10Gbit MM optics) en die werken prima. Dan kan ik ook babbelen tussen de router en mijn NAS op 10Gbit dus de SFP poort werkt wel. Het is echt de combi met (in elk geval) deze BiDi SFP's.

Maar bedankt voor het aanbod iig

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

vrijdag 9 december 2022 13:21

Acties:

0 Henk 'm!

Pasc66

Ok - ik ben ondertussen NIET verder gekomen met testen (en ik weet dat dit ook voor aantal anderen geldt).

Heb daarom een ticket bij Mikrotik geopend en na wat heen en weer mailen vragen ze om de supout.rif.

Ik ga deze in de komende dagen aanleveren - als jullie hetzelfde kunnen doen dan krijgt dit wellicht wat meer prio.

Hello,

Please send us the supout.rif file from your RB5009 device created when SFP problem is present.

This article explains how to make a supout.rif file:
https://help.mikrotik.com/docs/display/ROS/Supout.rif

Best regards,
Jānis B.

Groet,
P

vrijdag 9 december 2022 13:41

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Heb even terug zitten lezen, @Pasc66. Het lukt je niet om dezelfde SFP werkend (in je hEX S) te krijgen in je RB5009? Heb je de config 1-op-1 overgezet. Of moet ik verder terug gaan in de tijd?

Eerst het probleem, dan de oplossing

vrijdag 9 december 2022 18:45

Acties:

+1 Henk 'm!

Pasc66

Het lukt inderdaad niet om met de rb5009 met sfp, fiber en config (allen werkend in de hexS) een verbinding met delta te krijgen. Er lijkt domweg niets binnen te komen.

Het probleem lijkt in de rb5009 te zitten waarbij ik denk dat er het volgende aan de hand is:
- bug in firmware/routeros
- 1 gb sfp wordt toch niet ondersteund - het moet 10gb zijn die dan op 1gb ingesteld moet worden

Iets anders kan ik er niet van maken.

woensdag 21 december 2022 13:21

Acties:

0 Henk 'm!

RaistlinM

@Pasc66 heb je nog respons gehad van Mikrotik hierover? Ik ervaar hetzelfde issue en zal ook nog weer een bug inschieten. Hopelijk wordt het in een volgende update verholpen.

woensdag 21 december 2022 13:53

Acties:

0 Henk 'm!

Pasc66

Nee nog niet - nog geen enkele response. Ik heb op verzoek van Mikrotik de supout.rif (RouterOs 7.7 RC1) gestuurd en zojuist ook de supout.rif voor RC2 gestuurd. Aangegeven dat de sfp module die ik gebruik ook nog EEE compatible is. Hiermee lijken alle externe oorzaken ge-elemineerd en kan het toch echt alleen aan de RB5009 liggen. Ik heb om escalatie gevraagd. Heel irritant allemaal.

zondag 14 mei 2023 19:29

Acties:

0 Henk 'm!

Picaroon

Pasc66 schreef op woensdag 21 december 2022 @ 13:53:
Nee nog niet - nog geen enkele response. Ik heb op verzoek van Mikrotik de supout.rif (RouterOs 7.7 RC1) gestuurd en zojuist ook de supout.rif voor RC2 gestuurd. Aangegeven dat de sfp module die ik gebruik ook nog EEE compatible is. Hiermee lijken alle externe oorzaken ge-elemineerd en kan het toch echt alleen aan de RB5009 liggen. Ik heb om escalatie gevraagd. Heel irritant allemaal.

Heb je dit issue nog weten op te lossen? Het lijkt gerelateerd aan een (niet onoverkomenlijk overigens) probleem dat ik ervaar met mijn CCR1009-7g-1c-1s+pc. Ik gebruik een 1000BASE-BX-BiDi 1310TX/1550RX 20km DOM Simplex LC SFP op de SFP poort (combo) op autonegotation, maar zodra ik deze config verplaats naar de SFP+ (10Gb) poort met disabled autonegotation en hard ingesteld op 1Gb komt er vrijwel geen verkeer binnen. Link is up and running, maar ontvang geen DHCP lease. Via torch zie ik vrijwel geen output.

Vraag me af of dit aan de Mikrotik ligt of de SFP module mocht ik ooit overstappen naar een Mikrotik zonder SFP poorten (dus SFP+ only).

OS: RouterOS 7.9

zondag 14 mei 2023 21:42

Acties:

0 Henk 'm!

Pasc66

Picaroon schreef op zondag 14 mei 2023 @ 19:29:
[...]

Heb je dit issue nog weten op te lossen? Het lijkt gerelateerd aan een (niet onoverkomenlijk overigens) probleem dat ik ervaar met mijn CCR1009-7g-1c-1s+pc. Ik gebruik een 1000BASE-BX-BiDi 1310TX/1550RX 20km DOM Simplex LC SFP op de SFP poort (combo) op autonegotation, maar zodra ik deze config verplaats naar de SFP+ (10Gb) poort met disabled autonegotation en hard ingesteld op 1Gb komt er vrijwel geen verkeer binnen. Link is up and running, maar ontvang geen DHCP lease. Via torch zie ik vrijwel geen output.

Vraag me af of dit aan de Mikrotik ligt of de SFP module mocht ik ooit overstappen naar een Mikrotik zonder SFP poorten (dus SFP+ only).

OS: RouterOS 7.9

Ik heb het nog niet kunnen oplossen maar eerlijkheid gebied te zeggen dat ik de afgelope 3-4 weken even wat andere prioriteiten had.
Van het weekeinde de huawei eruit gehaald en de mikrotiks zitten er weer in - ik kan weer gaan testen. Zojuist 7.10beta5 geinstalleerd en daar zitten weer wat sfp fixes in - van de week weer even proberen.
Het lijkt me echt aan de Mikrotik spf+ poorten te liggen icm Delta. Met kpn schijnt het wel weer te werken.

Van week doe ik weer even testje (naast het opzetten van een guest lan naast mijn normale (radius) lan...er is nog wat werk aan de winkel. Dan in de toekomst door naar losse vlans voor IOT, mijn hardware vs de rest van het gezin).

zondag 14 mei 2023 22:22

Acties:

0 Henk 'm!

Picaroon

@Pasc66 Ik vind het wel merkwaardig, want wat is er nou wezenlijk anders aan een SFP+ poort in een fixed 1Gb config t.o.v. een SFP poort in autonegotiation mode....

Overigens heb ik een Caiway aansluiting, maar onder water is het Delta wanneer de eigenschappen van het externe IP wordten opgevraagd.

zondag 14 mei 2023 22:29

Acties:

0 Henk 'm!

Pasc66

Ja. - ik snap er zelf ook niets van waarom het maar niet wil werken. Nah ik blijf gewoon volhouden :-)

woensdag 17 mei 2023 07:46

Acties:

0 Henk 'm!

Picaroon

Voor het vervangen van de Genenix 7840 door een Mikrotik CCR1009 heb ik de config van TS gebruikt als basisconfiguratie (waarvoor dank!). Het was vrij recht toe recht aan; het plaatsen van de Amino in een bridged setup (vlan 101 doorgetrokken) of routed setup (in LAN) werkt in beide gevallen zonder enige IGMP configuratie.

Zou dit dan voldoende zijn om IPTV ook werkend te houden? Ik ben namelijk in de veronderstelling dat er veel meer nodig is....

Mijn basisconfig ziet er nu als volgt uit:

code:

/interface bridge
add name=bridge-IOT pvid=200 vlan-filtering=yes
add name=bridge-LAN
/interface ethernet
set [ find default-name=combo1 ] comment="Caiway Glasvezel"
set [ find default-name=ether1 ] comment="Switch Zolder"
set [ find default-name=ether3 ] comment="Access Point Meterkast"
set [ find default-name=ether4 ] comment="STB Amino woonkamer"
/interface vlan
add comment="WAN Internet VLAN 100" interface=combo1 name=WAN-internet-100 vlan-id=100
/interface list
add name=LAN
add name=WAN
add name=IOT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=DHCP-LAN ranges=192.168.1.150-192.168.1.199
add name=DHCP-IOT ranges=10.10.10.10-10.10.10.100
/ip dhcp-server
add address-pool=DHCP-LAN interface=bridge-LAN name=dhcp-thuis
add address-pool=DHCP-IOT interface=bridge-IOT name=dhcp-iot
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge-LAN interface=ether1
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-IOT ingress-filtering=no interface=ether4 pvid=200
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=WAN-internet-100 list=WAN
add interface=combo1 list=WAN
add interface=bridge-LAN list=LAN
add interface=bridge-IOT list=IOT
/ip address
add address=192.168.1.1/24 interface=bridge-LAN network=192.168.1.0
add address=10.10.10.1/24 interface=bridge-IOT network=10.10.10.0
/ip dhcp-client
add dhcp-options=clientid,hostname interface=WAN-internet-100
/ip dhcp-server network
add address=10.10.10.0/24 comment=IOT domain=IOT.local gateway=10.10.10.1
add address=192.168.1.0/24 comment=thuis domain=infrajedi.local gateway=192.168.1.1
/ip firewall filter
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid log-prefix=block_invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface=WAN-internet-100
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN-internet-100 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN-internet-100 src-address=10.10.10.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
/ip ssh
set strong-crypto=yes
/lcd
set enabled=no
/system clock
set time-zone-name=Europe/Amsterdam
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[ Voor 83% gewijzigd door Picaroon op 17-05-2023 07:55 ]

woensdag 17 mei 2023 08:01

Acties:

+1 Henk 'm!

Pasc66

Nee - voor IPTV heb je (ook tot mijn verrassing) de hele vlan + extra routing niet nodig - IGMP snooping aanzetten en klaar.. je kan de amino dan op elke netwerkkabel aansluiten.

Ik stuur je mijn config later vandaag wel even

woensdag 17 mei 2023 08:16

Acties:

0 Henk 'm!

Jippelskea!

Zijn er hier toevallig ook mensen met een online.nl abbonement op Delta glasvezel die een Mikrotik gebruiken. Ik loop al tijden te klooien maar krijg iptv niet werkend.

woensdag 17 mei 2023 10:54

Acties:

+1 Henk 'm!

Pasc66

Ik heb net even op online.nl gekeken en daar is geen info over (mogelijke) vlans ed terug te vinden.
Kan jij je config van je MT even posten?

woensdag 17 mei 2023 12:19

Acties:

0 Henk 'm!

Jippelskea!

Zal m vanavond even opschonen en posten. Hij is aardig rommelig geworden doordat ik zoveel mogelijk uit de zyxel gekopieerd heb. Het blijft een lang leerproces met RourerOS

woensdag 17 mei 2023 12:52

Acties:

0 Henk 'm!

Picaroon

Pasc66 schreef op woensdag 17 mei 2023 @ 08:01:
Nee - voor IPTV heb je (ook tot mijn verrassing) de hele vlan + extra routing niet nodig - IGMP snooping aanzetten en klaar.. je kan de amino dan op elke netwerkkabel aansluiten.

Ik stuur je mijn config later vandaag wel even

De reden dat ik mijn bedenkingen heb bij de vrij 'simpele config' is dat Caiway iets zegt over het aanmaken van statische routeringen. Wellicht niet van toepassing, maar voor IPTV van KPN is er ook een aardige config noodzakelijk i.c.m. IGMP en statische routeringen.

Of denk ik nou te moeilijk

woensdag 17 mei 2023 15:16

Acties:

0 Henk 'm!

MischaBoender

Picaroon schreef op woensdag 17 mei 2023 @ 12:52:
De reden dat ik mijn bedenkingen heb bij de vrij 'simpele config' is dat Caiway iets zegt over het aanmaken van statische routeringen. Wellicht niet van toepassing, maar voor IPTV van KPN is er ook een aardige config noodzakelijk i.c.m. IGMP en statische routeringen.

Of denk ik nou te moeilijk

Bij mijn ouders heb ik geprobeerd om het met TV VLAN en statische routeringen werkend te krijgen, maar dat is niet gelukt. Na dat er weer helemaal afgesloopt te hebben en gewoon via internet routeren werkte alles als een zonnetje. Thuis ook TV van Delta genomen zonder TV VLAN, statische routes en IGMP snooping: werkt top!

woensdag 17 mei 2023 18:58

Acties:

0 Henk 'm!

Pasc66

MischaBoender schreef op woensdag 17 mei 2023 @ 15:16:
[...]

Bij mijn ouders heb ik geprobeerd om het met TV VLAN en statische routeringen werkend te krijgen, maar dat is niet gelukt. Na dat er weer helemaal afgesloopt te hebben en gewoon via internet routeren werkte alles als een zonnetje. Thuis ook TV van Delta genomen zonder TV VLAN, statische routes en IGMP snooping: werkt top!

Dat was dus ook mijn ervaring - heel bijzonder. Wellicht dat @R3D deze vraag binnen delta kan triggeren (hoe dat kan en of de config beschrijving wel actueel is)

[ Voor 5% gewijzigd door Pasc66 op 17-05-2023 19:03 ]

woensdag 17 mei 2023 20:18

Acties:

0 Henk 'm!

Pasc66

Even iets heel anders - wel mikrotik gerelateerd. Hoe ziet het met de Wifi AP's / SSID's and onderliggende master? Wat zijn de relaties, afhankelijkheden en best practices?

Ter verduidelijking:
ik heb
1) een 5GHZ AP SSID ("HOME") deze is gebaseerd op de mikrotik gebaseerde wifi1_5G met auto Mhz bandbreedte (vermoedelijk 20Mhz) + radius+kid control
2) aanvullend een 5GHZ SSID "wifi_guests_5g" AP gedefineerd (20/40/80 Mhz bandbreedte) met als (onderliggende?) master de bij 1) genoemde AP/SSID

Vragen:
1) zijn er afhankelijkheden tussen de twee SSID's qua bandbreedte?
2) Wat is best practice? Is dat een "master" met maximale bandbreedte opzetten en daarbinnen de AP's/SSID's met "smallere" bandbreedtes aanmaken (aannemende dat de master van invloed is op de daaropliggende AP's)?

De achterliggende reden is dat Samsung TV het vertikte om met een 80Mhz 5GHZ AP te verbinden. Eenmaal op auto deed ie het wel dus wellicht moet ik de opzet van mijn wireless netwerk omgooien.

Iemand enige ervaring/advies op die gebied?

[ Voor 3% gewijzigd door Pasc66 op 17-05-2023 20:20 ]

donderdag 18 mei 2023 11:25

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

@Picaroon, je hebt twee bridges aangemaakt. Dat is niet handig (en niet nodig), aangezien je ook met (een) VLAN werkt. Conceptueel is het aan te raden om alles in VLAN's te plaatsen, dat zorgt er uiteindelijk ook voor dat je security in de firewall beter kan instellen.

In dit topic kan je goed zien hoe je een en ander moet instellen:
https://forum.mikrotik.com/viewtopic.php?t=143620

Eerst het probleem, dan de oplossing

vrijdag 19 mei 2023 21:26

Acties:

0 Henk 'm!

Picaroon

lier schreef op donderdag 18 mei 2023 @ 11:25:
@Picaroon, je hebt twee bridges aangemaakt. Dat is niet handig (en niet nodig), aangezien je ook met (een) VLAN werkt. Conceptueel is het aan te raden om alles in VLAN's te plaatsen, dat zorgt er uiteindelijk ook voor dat je security in de firewall beter kan instellen.

In dit topic kan je goed zien hoe je een en ander moet instellen:
https://forum.mikrotik.com/viewtopic.php?t=143620

Dank voor de tip, het is ook de bedoeling om de bridges eruit te halen des te meer omdat deze CCR1009 geen switchchip heeft. Maar ik ben vrij nieuw in de Mikrotik wereld, dus moet nog even door de zure appel heen bijten m.b.t. de manieren waarop een VLAN kan worden aangemaakt.

zaterdag 20 mei 2023 12:19

Acties:

0 Henk 'm!

Picaroon

Hmm, ik heb de voorbeelden gezien in het topic maar kom er niet uit. Meerdere VLAN's aanmaken op een ethernet port (trunking) lukt nog wel, maar diezelfde reeks moet ook kenbaar gemaakt worden op een andere ethernet port.

Tenzij de router puur wordt gebruikt voor het routeren van netwerken op unieke segmenten (vlans) per ethernet port zonder enige vorm van switching ontkom ik niet aan bridging. Of ik sla de plank volledig mis...

woensdag 26 juli 2023 19:26

Acties:

0 Henk 'm!

bwbboot

Pasc66 schreef op vrijdag 9 december 2022 @ 18:45:
Het lukt inderdaad niet om met de rb5009 met sfp, fiber en config (allen werkend in de hexS) een verbinding met delta te krijgen. Er lijkt domweg niets binnen te komen.

Het probleem lijkt in de rb5009 te zitten waarbij ik denk dat er het volgende aan de hand is:
- bug in firmware/routeros
- 1 gb sfp wordt toch niet ondersteund - het moet 10gb zijn die dan op 1gb ingesteld moet worden

Iets anders kan ik er niet van maken.

Ik gebruik de 1000BASE-BX BiDi SFP 1310nm-TX/1550nm-RX 10km DOM Simplex LC/SC SMF Transceiver Module module van SF.com en die werkt perfect in mijn RB3011UiAS.

Vandaag mijn RB5009 binnen gekregen en heb precies hetzelfde probleem, geen verbinding. Ik ga ook maar eens een ticket openen bij Mikrotik.

@Pasc66 Heb je een ticket nummer waaraan ik kan refereren?

donderdag 27 juli 2023 03:17

Acties:

0 Henk 'm!

Pasc66

Hoi - ik ben nu op vakantie en kom as maandag terug. Ik zal het dan opzoeken. Ik vrees alleen dat je bij Mikrotik tegen een muur op loopt maar gelukkig is R3D (Delta medewerker) dit aan het onderzoeken omdat een bedrijf/provider ook tegen dit probleem op loopt - misschien dat hij voldoende leverage heeft.
Als alternatief kunnen we wellicht wen separaat topic openen en collectief naar MT toe gaan - dit is eigenlijk te gek voor woorden.

donderdag 27 juli 2023 19:25

Acties:

0 Henk 'm!

bwbboot

Ondertussen via een ticket bij Mikrotik de volgende reactie gehad:

Unfortunately, force 1G speed support is required on the other end of the connection in order for the 1G SFP module to work in the 10G interface. This affects all MikroTik devices with 10G SFP+ ports.

This restriction cannot be changed easily.

We are sorry for the inconvenience caused.

Best Regards,
Ričards I.

[ Voor 10% gewijzigd door bwbboot op 27-07-2023 19:25 ]

dinsdag 1 augustus 2023 15:37

Acties:

0 Henk 'm!

RaistlinM

Toch wel vreemd. Bij andere Mikrotik producten werkt dit toch wel gewoon? (HexS, RB4011)

zaterdag 4 mei 2024 09:19

Acties:

0 Henk 'm!

Frans83lopik

is er iemand die een werkende cofig heeft voor delta / caiway
ik krijg namelijk op geen enkelwijze de mikrotik aan de gang ik heb hie al lopen zoeken en geprobeerd
maar het werkt niet

ik heb een mikrotik crs30-8g+2s+in en een zaram XGS SFP+ stick de zaram krijgt wel een ip maar veder kom ik niet

zaterdag 4 mei 2024 09:45

Acties:

0 Henk 'm!

Jippelskea!

Staat je vlan100 interface wel onder de WAN interface list? En zit hij niet perongeluk in je LAN-bridge?
Ik ben vandaag aan het werk en kan niet bij mn router maar kan morgen wel even de config van mn rb5009 sturen

zaterdag 4 mei 2024 10:51

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Deel even je config, @Frans83lopik:

code:

1	/export file=welkenaamjeookwil

Haal de serial en ander prive info weg.

Je weet trouwens dat je een switch als router gaat gebruiken. En dat je met een standaard config niet heel veel meer dan 200Mbps gaat halen!?

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 13:20

Acties:

0 Henk 'm!

Frans83lopik

@lier hier mij conig

code:

/interface bridge
add fast-forward=no name=bridge-IPTV protocol-mode=none
add admin-mac=E4:8D:8C:2C:30:0E auto-mac=no fast-forward=no igmp-snooping=yes \
    name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=Delta
set [ find default-name=ether2 ] comment="Mikrotik AP BG"
set [ find default-name=ether3 ] comment="Synology NAS"
set [ find default-name=ether6 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] comment=Delta
/interface vlan
add interface=sfp-sfpplus1 name=WAN-INTERNET-100 vlan-id=100
add interface=sfp-sfpplus1 name=WAN-IPTV-101 vlan-id=101
/interface list
add name=mactel
add name=mac-winbox
add name=WAN
add exclude=dynamic name=discover
/ip dhcp-client option
add code=60 name=IPTV_RG value="'IPTV_RG'"
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.75
add name=SSTP ranges=192.168.77.2-192.168.77.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay interface=bridge-local \
    lease-time=1h name=DHCP-Thuis
/ppp profile
set *FFFFFFFE change-tcp-mss=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
add addresses=0.0.0.0/0 name=private security=private
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local interface=ether5
add bridge=bridge-local hw=no interface=ether7
add bridge=bridge-local hw=no interface=ether8
add bridge=bridge-local interface=ether4
add bridge=bridge-IPTV broadcast-flood=no interface=ether6 learn=no \
    unknown-unicast-flood=no
add bridge=bridge-IPTV interface=WAN-IPTV-101
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether6 list=mactel
add interface=ether5 list=mac-winbox
add interface=ether7 list=mactel
add interface=ether6 list=mac-winbox
add interface=ether8 list=mactel
add interface=bridge-local list=mactel
add interface=ether7 list=mac-winbox
add interface=ether8 list=mac-winbox
add interface=bridge-local list=mac-winbox
add interface=ether1 list=WAN
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=bridge-local list=discover
/ip address
add address=192.168.76.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.76.0
/ip cloud
set update-time=no
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid,IPTV_RG interface=\
    ether1
add interface=WAN-INTERNET-100
/ip dhcp-server network
add address=192.168.76.0/24 comment="default configuration" dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.76.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat comment="Default configuration" \
    out-interface=WAN-INTERNET-100
/ip firewall service-port
set sip disabled=yes
/ip proxy
set anonymous=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=1976
set ssh disabled=yes
set www-ssl port=1976
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/snmp
set contact=Dave enabled=yes location=Thuis trap-version=2
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=Router
/system logging
add topics=sstp
/system note
set show-at-login=no
/system package update
set channel=long-term
/system routerboard settings
set auto-upgrade=yes boot-os=router-os silent-boot=yes
/system swos
set address-acquisition-mode=dhcp-only
/system watchdog
set watchdog-timer=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set file-name=test only-headers=yes

zaterdag 4 mei 2024 14:06

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Als ik het zo lees dan denk ik dat je het in eerste instantie had opgezet met ether01...klopt dat?

Mijn feedback:

Waar is je firewall?
UPnP? Als je het echt nodig hebt...zorg dan dat je de juiste interfaces kiest.
De WAN interface list wordt gebruikt om het leven makkelijker te maken. Ether01 wordt niet meer gebruikt, daarvoor wordt de VLAN 100 interface gebruikt.
Je masquerade rule ziet er goed uit, zou verwachten dat je internet hebt. Werkt een ping naar een willekeurige DNS server?
IPTV kan volgens mij gewoon routed. VLAN 101 is niet (meer) ndoig.

Mijn tips:

Controleer of je Internet hebt, bij voorkeur op je router.
Voeg een firewall toe.
Sloop IPTV eruit.

En nogmaals: je gebruikt nu een switch als router. Verwacht er niet zoveel van.

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 15:28

Acties:

0 Henk 'm!

EverLast2002

Frans83lopik schreef op zaterdag 4 mei 2024 @ 09:19:
is er iemand die een werkende cofig heeft voor delta / caiway
ik krijg namelijk op geen enkelwijze de mikrotik aan de gang ik heb hie al lopen zoeken en geprobeerd
maar het werkt niet

ik heb een mikrotik crs30-8g+2s+in en een zaram XGS SFP+ stick de zaram krijgt wel een ip maar veder kom ik niet

Wellicht overbodig en heb je deze info al, zoniet :

Voor het configureren van IPv4 op de WAN interface moet DHCP gebruikt worden. De volgende VLAN's worden gebruikt in het netwerk van Caiway:

VLAN 100 Internet
VLAN 101 TV
VLAN 102 Voice
IPv6 wordt niet ondersteund

Om de beste kwaliteit op de TV streams te behalen moeten de volgende statische routers geconfigureerd worden in het eigen apparaat (modem/router):

Routering van de klant LAN naar het volgende subnet moet gerouteerd worden via VLAN 100:

Bron interface LAN-bestemming 62.45.57.36/32 interface VLAN 100

Routering van de klant LAN naar de volgende subnets gerouteerd te worden via VLAN101:

62.45.57.34/32
62.45.57.0/24
62.45.59.0/24
62.45.76.0/24
62.45.58.226/32
62.45.45.150/32
62.45.49.0/24
212.115.196.0/25
217.63.90.128/25
217.63.91.0/26
62.45.61.32/27
62.45.61.16/28
62.45.61.64/28
217.102.255.57/32

Bron:
https://www.caiway.nl/klantenservice/vrije-modemkeuze

zaterdag 4 mei 2024 16:21

Acties:

0 Henk 'm!

EverLast2002

lier schreef op zaterdag 4 mei 2024 @ 10:51:
Je weet trouwens dat je een switch als router gaat gebruiken. En dat je met een standaard config niet heel veel meer dan 200Mbps gaat halen!?

Ik geloof je op je woord met bovenstaande uitspraak.
Wat ik dan niet helemaal begrijp is waarom?
Het is een CRS (met de R van router) en het draait RouterOS (en niet SwitchOS).
(ik ben vrij nieuw in de wereld van MikroTik).

zaterdag 4 mei 2024 17:38

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

De cpu is veel te zwak om te kunnen routeren. Binnen de switch lijn heb je keuze tussen CRS en CSS. De laatste draait alleen SwOS, de eerste zowel RouterOS als SwOS.

Eerst het probleem, dan de oplossing

zaterdag 4 mei 2024 19:45

Acties:

0 Henk 'm!

EverLast2002

lier schreef op zaterdag 4 mei 2024 @ 17:38:
De cpu is veel te zwak om te kunnen routeren. Binnen de switch lijn heb je keuze tussen CRS en CSS. De laatste draait alleen SwOS, de eerste zowel RouterOS als SwOS.

Is de zogenaamde "hardware offload" dan juist niet bedoeld om de cpu te omzeilen,
zodat het routeren vlot(ter) verloopt via de switch?

zaterdag 4 mei 2024 20:25

Acties:

0 Henk 'm!

MischaBoender

De CRS310-8G+2S+IN haalt met gemak een paar honderd mbit als je je firewall eenvoudig houdt en geen queues e.d. gebruikt.

zondag 5 mei 2024 11:27

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik

EverLast2002 schreef op zaterdag 4 mei 2024 @ 19:45:
Is de zogenaamde "hardware offload" dan juist niet bedoeld om de cpu te omzeilen,
zodat het routeren vlot(ter) verloopt via de switch?

Klopt...maar verwacht er niet te veel van.

MischaBoender schreef op zaterdag 4 mei 2024 @ 20:25:
De CRS310-8G+2S+IN haalt met gemak een paar honderd mbit als je je firewall eenvoudig houdt en geen queues e.d. gebruikt.

Het is maar net wat je "nodig" hebt. Als je met glasvezel bezig bent en een eigen SFP+ (XGS-PON) wil draaien, dan is 200Mbps niet genoeg.

Als je bij benadering wil weten wat je mag verwachten aan routering snelheid, kijk dan bij:

Routing, 25 ip filter rules, 512 bytes: 186.8 Mbps
https://mikrotik.com/prod...g_2s_in#fndtn-testresults

Eerst het probleem, dan de oplossing

zondag 5 mei 2024 13:17

Acties:

0 Henk 'm!

MischaBoender

lier schreef op zondag 5 mei 2024 @ 11:27:
[...]

Routing, 25 ip filter rules, 512 bytes: 186.8 Mbps
https://mikrotik.com/prod...g_2s_in#fndtn-testresults

Die link is precies waar ik mijn antwoord op baseerde.

Packets zijn bij downloads en streaming normaal gesproken veel groter dan de 512 bytes, vaak meer richting de 1500 bytes. Dan gaat de bandbreedte met 25 filter rules al naar ruim 500 Mbps. Als je je firewall minimaal houdt en met wat fast tracking kun je dat misschien nog wel wat oprekken zelfs.

Pagina: 1 2 Laatste

Reageer

Onderwerpen

Hello, Please send us the supout.rif file from your RB5009 device created when SFP problem is present. This article explains how to make a supout.rif file: https://help.mikrotik.com/docs/display/ROS/Supout.rif Best regards, Jānis B.

Hello,

Please send us the supout.rif file from your RB5009 device created when SFP problem is present.

This article explains how to make a supout.rif file:
https://help.mikrotik.com/docs/display/ROS/Supout.rif

Best regards,
Jānis B.