Toon posts:

(Wederom) RouterOS + KPN IPTV = Zender niet beschikbaar

Pagina: 1
Acties:

zondag 3 mei 2020 14:44

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Hoi allemaal,
Even wat achtergrond info:
Ik had een ESXi bak met daarin PfSense, since ik niet tevreden was met PfSense (netflix deed het niet op de KPN settopboxen en diverse netwerk issues, waaronder spraak van Homey) ben ik geswitched naar RouterOS ook dus op ESXi.

Internet werkt nu en ik kan inloggen op netflix met de 2 settop boxen alleen zie ik niet wat er fout gaat met reguliere IPTV, ik krijg na een paar seconden beruchte "zender niet beschikbaar"
Dus mijn vraag. kan iemand mij op weg helpen, want ik heb best wel wat topics gelezen en in mn config gezet/weggehaald maar ik zie het niet meer.
Ik krijg dus wel beeld (ook na herstart van decoder) maar valt na paar seconden weg (IGMPProxy probleem lees ik overal)
Ik heb even overal een extra tussenregel geplaatst, leest voor mij als noob en anderen die ook problemen hebben en nog niet goed bekend zijn met RouterOS wat makkelijker.

Ook als je wat anders ziet wat niet klopt of beter kan hoor ik het graag.
Uiteindelijk als dit werkt wil ik de config omzetten naar ether3 om zo een aparte iptv-lan te maken.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106

/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-local

/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp disable-running-check=no loop-protect=off
set [ find default-name=ether2 ] disable-running-check=no speed=1Gbps

/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6

/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1500 name=pppoe-kpn password=kpn use-peer-dns=yes user=MACADRES@internet

/interface list
add name=WAN
add name=LAN

/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.2.255'"

/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast

/ip pool
add name=homenet ranges=192.168.2.150-192.168.2.250

/ip dhcp-server
add address-pool=homenet disabled=no interface=bridge-local lease-time=1h30m name=dhcp-homenet

/routing bgp instance
set default disabled=yes

/interface bridge port
add bridge=bridge-local interface=ether2

/interface list member
add interface=ether1 list=WAN
add interface=vlan1.6 list=WAN
add interface=ppoe-kpn list=WAN
add interface=ether2 list=LAN
add interface=bridge-local list=LAN
add interface=vlan1.4 list=WAN

/ip address
add address=192.168.2.254/24 interface=bridge-local network=192.168.2.0

/ip dhcp-client
add disabled=no interface=ether1
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass,hostname,clientid disabled=no interface=vlan1.4 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server config
set store-leases-disk=15m

/ip dhcp-server lease
add address=192.168.2.251 comment="iTV Decoder 1" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:AF:D4 server=dhcp-homenet
add address=192.168.2.252 comment="iTV Decoder 2" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:B2:10 server=dhcp-homenet

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 domain=homenet.local gateway=192.168.2.254

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,8.8.8.8,8.8.4.4

/ip firewall filter
add action=accept chain=input comment="Accept established, related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan1.4 protocol=igmp
add action=accept chain=forward comment="IPTV multicast" dst-address=224.0.0.0/8 in-interface=vlan1.4 protocol=udp
add chain=input in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment="Accept ICMP" in-interface=pppoe-kpn protocol=icmp
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=10.0.0.0/18 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn src-address=192.168.0.0/16

/ip upnp
set show-dummy-rule=no

/ip upnp interfaces
add interface=bridge-local type=intern

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.0.0/16,

/system clock
set time-zone-name=Europe/Amsterdam

zondag 3 mei 2020 15:10

Acties:
  • +1 Henk 'm!
  • Mythling
  • Registratie: November 2007
  • Laatst online: 21:32

Mythling

Volgens mij mis je wat subnets voor je IGMP proxy.

10.0.0.0/8, 217.166.0.0/16, 213.75.0.0/16

zondag 3 mei 2020 15:54

Acties:
  • 0 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Mythling schreef op zondag 3 mei 2020 @ 15:10:
Volgens mij mis je wat subnets voor je IGMP proxy.

10.0.0.0/8, 217.166.0.0/16, 213.75.0.0/16
Dat inderdaad, 10.0.0.0/8 is overigens niet nodig in principe.

Maar 217.166.0.0/16 is tegenwoordig cruciaal en die mist in veel oudere howto's omdat KPN dat later in gebruik genomen heeft.

zondag 3 mei 2020 21:21

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Ik had beide erin staan net zoals @Mythling zei en wat ik ook in PfSense had, maar toen deed hij het nog steeds niet, later ben ik in deze instellingen gaan klooten, vandaar dat ze nu in deze config niet staan.
Maar zal um sowieso terug zetten.
Is dit het enige wat jullie opvalt?

[ Voor 8% gewijzigd door Rozz op 03-05-2020 21:23 . Reden: Typo ]

zondag 3 mei 2020 21:33

Acties:
  • 0 Henk 'm!
  • Mythling
  • Registratie: November 2007
  • Laatst online: 21:32

Mythling

Je firewall rules hebben de 200 adressen als dst-address. Moet dat niet src zijn?

zondag 3 mei 2020 21:42

Acties:
  • +1 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Die masquerade rules kloppen ook niet helemaal of zijn op zijn minst onhandig. Daarvan moet je er twee weghalen en op de resterende het source adres weghalen zodat alles wat over de IPTV interface naar buiten gaat vertaald wordt.

[ Voor 8% gewijzigd door ik222 op 03-05-2020 21:43 ]

zondag 3 mei 2020 22:07

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 20:58

jeroen3

Volgens mij staat je bridge nog niet op protocol-mode none.

En ik had igmp proxy zo staan:
code:
1
2
3
4
5

/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan1.4-iptv upstream=yes
add interface=bridge

code:
1
2
3

/ip firewall nat
add action=masquerade chain=srcnat comment=IPTV dst-address=213.75.112.0/21 out-interface=vlan1.4-iptv
add action=masquerade chain=srcnat comment=IPTV dst-address=217.166.0.0/16 out-interface=vlan1.4-iptv


Je filter rules ken ik niet. Ik heb nooit filters gemaakt voor iptv. Moet dat?
Er zitten er trouwens twee zonder action...

[ Voor 3% gewijzigd door jeroen3 op 03-05-2020 22:07 ]

zondag 3 mei 2020 23:09

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:03

Thralas

ik222 schreef op zondag 3 mei 2020 @ 21:42:
Die masquerade rules kloppen ook niet helemaal of zijn op zijn minst onhandig. Daarvan moet je er twee weghalen en op de resterende het source adres weghalen zodat alles wat over de IPTV interface naar buiten gaat vertaald wordt.
Die ellende blijft men maar overtikken van netwerkje.com. Was dat niet van een Tweaker? Misschien kan hij dat eens updaten..
jeroen3 schreef op zondag 3 mei 2020 @ 22:07:
Volgens mij staat je bridge nog niet op protocol-mode none.
Dat is een STP setting? Maakt verder niet uit voor IPTV.
Je filter rules ken ik niet. Ik heb nooit filters gemaakt voor iptv. Moet dat?
Als je een 'default deny' policy hanteert wel. Uit m'n hoofd: eentje op INPUT voor inkomende IGMP queries, eentje op FORWARD voor het multicatverkeer.

Anyhow @Rozz, dit is fout:

code:
1
2
3

/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.0.0/16,


Er is geen upstream interface gedefiniëerd. Zie het voorbeeld van @jeroen3 voor hoe het wel moet.

maandag 4 mei 2020 11:46

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Ja ik heb echt lopen klooten op het eind, kan heel goed dat er nu weinig van klopt.
Zodra mn vrouwtje geen interent meer nodig heeft voor dr werk ga ik vanavond weer aan de gang, heb nu toch aardig wat info gekregen om te veranderen, thanks!
@ik222 zou je voor mij wat duidelijker kunnen zijn?
@Mythling de 224 adressen had ik zo ook in pfsense op destination staan en 10.0.0.0/8 op source.

maandag 4 mei 2020 21:58

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Dit is um hoe ik het nu heb, met veranderingen die jullie hierboven aangaven (denk ik goed te hebben gedaan)...maar nog steeds hetzelfde probleem.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108

/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-local

/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp disable-running-check=no loop-protect=off
set [ find default-name=ether2 ] disable-running-check=no speed=1Gbps

/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6

/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1480 max-mtu=1500 name=pppoe-kpn password=kpn use-peer-dns=yes user=MAC@internet

/interface list
add name=WAN
add name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"

/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.2.255'"

/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast

/ip pool
add name=homenet ranges=192.168.2.150-192.168.2.250

/ip dhcp-server
add address-pool=homenet disabled=no interface=bridge-local lease-time=1h30m name=dhcp-homenet

/routing bgp instance
set default disabled=yes

/interface bridge port
add bridge=bridge-local hw=no interface=ether2

/interface list member
add interface=ether1 list=WAN
add interface=vlan1.6 list=WAN
add interface=ether2 list=LAN
add interface=bridge-local list=LAN
add interface=vlan1.4 list=WAN

/ip address
add address=192.168.2.254/24 interface=bridge-local network=192.168.2.0

/ip dhcp-client
add disabled=no interface=ether1
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass,hostname,clientid disabled=no interface=vlan1.4 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server config
set store-leases-disk=15m

/ip dhcp-server lease
add address=192.168.2.251 comment="iTV Decoder 1" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:AF:D4 server=dhcp-homenet
add address=192.168.2.252 comment="iTV Decoder 2" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:B2:10 server=dhcp-homenet

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 domain=homenet.local gateway=192.168.2.254

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,8.8.8.8,8.8.4.4

/ip firewall filter
add action=accept chain=input comment="Accept established, related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=forward comment="IPTV multicast" in-interface=vlan1.4 protocol=udp
add chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=forward in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="Accept ICMP" in-interface=pppoe-kpn protocol=icmp
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=10.0.0.0/18 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn src-address=192.168.0.0/16

/ip upnp
set show-dummy-rule=no

/ip upnp interfaces
add interface=bridge-local type=internal

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=0.0.0.0/0 interface=vlan1.4 upstream=yes

/system clock
set time-zone-name=Europe/Amsterdam


Als ik bij "/ip firewall nat" de 3 masquerade regels weg haal en de 4e de source ip aanpas zoals @ik222 voorstelt, dan heb ik helemaal geen beeld, wel internet.
zet ik de masquerade 213.75 terug heb ik wel weer beeld maar valt dan weer stil.


Dit is hoe het nu staat:
code:
1
2
3
4
5
6
7
8
9
10

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=213.75.0.0/16,217.166.0.0/16 interface=vlan1.4 upstream=yes


Zou iemand met een werkend systeem z`n "/ip firewall filters" kunnen posten? ga ik van daar uit proberen.

[ Voor 5% gewijzigd door Rozz op 04-05-2020 22:07 . Reden: typo`s ]

maandag 4 mei 2020 22:53

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:03

Thralas

Rozz schreef op maandag 4 mei 2020 @ 21:58:
Als ik bij "/ip firewall nat" de 3 masquerade regels weg haal en de 4e de source ip aanpas zoals @ik222 voorstelt, dan heb ik helemaal geen beeld, wel internet.
Dan heb je de verkeerde weggehaald. Takeaway: masquerade hoort enkel op basis van outgoing interface, dest ip toevoegen slaat nergens op en maakt je config enkel foutgevoeliger.

Haal bij je 4 originele masquerade rules overal het dest ip weg dan heb je nog maar 2 verschillende rules: eentje voor je WAN interface en eentje voor IPTV. Dat is hoe het hoort - de rest (dubbel) kan weg.
Zou iemand met een werkend systeem z`n "/ip firewall filters" kunnen posten? ga ik van daar uit proberen.
Het ziet er zo niet onaardig uit. De firewall lijkt me het probleem niet ('accept all forwarded udp' en 'accept all input igmp' zou zeker moeten volstaan).

Ik denk dat je het beste even Wireshark kunt openen, en ofwel de packet sniffer op je MikroTik instance, ofwel tcpdump op je ESXi host gebruiken om eens beide interfaces te capturen terwijl je zapt.

Dan zie je namelijk zó wat er misgaat, helpt enorm met het bepalen waarom (ipv. in het wilde weg gissen). De traffic sequence die je zou verwachten:

code:
1
2
3
4

1. stb      -> mikrotik (igmp membership report)
2. mikrotik -> upstream (igmp membership report)
3. upstream -> mikrotik (udp multicast)
4. mikrotik -> stb      (udp multicast)


Als je weet wat er daarvan werkt ben je al een stuk dichterbij.

En gezien je óók al problemen had met pfSense zou ik je hypervisor ook in het achterhoofd houden. Niet ergens een virtuele switch die roet in het eten gooit vwb. multicast of igmp?

maandag 4 mei 2020 23:02

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
wireshark kan ik inderdaad wel gaan uitproberen, nog niet bekend mee maar dat zou wel moeten lukken.
Rules ga ik dan ook volgende keer nakijken.

En met pfsense deed iptv het gewoon goed...ook terugkijken opnemen en al dat soort...wat alleen niet werkte was netflix op de settop boxen...dus het lijkt mij niet een esxi probleem....overigens werkt netflix nu wel met routeros...ik ga iig erop vooruit als ik nu ook iptv werkend krijg haha.

Maar zoals eerder gezegd...vrouwtje werkt thuis en is afhankelijk van internet...met tv op de achtergrond...dus ja...moet alles wel steeds terugbouwen.

Maar ik heb weer even wat uit te zoeken....

maandag 4 mei 2020 23:06

Acties:
  • 0 Henk 'm!

Verwijderd

Geen idee of het helpt, maar https://www.kpn.com/servi...nstellen-en-gebruiken.htm die al gezien??

maandag 4 mei 2020 23:26

Acties:
  • 0 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

code:
1
2
3

add chain=input in-interface=vlan1.4 protocol=udp 
add action=accept chain=forward in-interface=vlan1.4 protocol=igmp 
add chain=input in-interface=vlan1.4 protocol=igmp

Volgens mis je bij de eerste en derde regel van dit stukje de action=accept. Is dat niet gewoon de reden dat het niet werkt?

En verder voor het maquerade stuk heeft @Thralas al goed uitgelegd dat je daar maar 2 regels wilt hebben in deze situatie. Wellicht heb je daar net de regel laten staan en aangepast die disabled is of iets dergelijks waardoor niets meer werkte?

Overigens dat Netflix verhaal met pfSense vind ik ook heel merkwaardig. Ook dat moet ergens een configuratie foutje zijn.

maandag 4 mei 2020 23:41

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:03

Thralas

ik222 schreef op maandag 4 mei 2020 @ 23:26:
Volgens mis je bij de eerste en derde regel van dit stukje de action=accept. Is dat niet gewoon de reden dat het niet werkt?
Totaal overheen gelezen :X Met Winbox krijg je zo'n rule niet eens voor elkaar.

..maar volgens de handleiding is de default action accept - dat is ook hoe Winbox 'm vervolgens laat zien.

dinsdag 5 mei 2020 13:07

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
@Thralas en/of @ik222 bedoelen jullie dan zo?
code:
1
2
3

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn src-address=192.168.0.0/16


en zo?

code:
1
2
3
4

/ip firewall filter
add action=accept chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=forward in-interface=vlan1.4 protocol=igmp
add action=accept chain=input in-interface=vlan1.4 protocol=igmp


Zo ja, ga ik dat vanavond ff proberen en ga ik dan ook wireshark uitvogelen..

En met pfsense kreeg ik de bridge instellingen niet goed, daarom kreeg ik geen internet (vlan6) op de iptv interface (vlan4) dat is met RouterOS een stuk eenvoudiger merk ik.

[ Voor 12% gewijzigd door Rozz op 05-05-2020 13:09 . Reden: extra info pfsense ]

dinsdag 5 mei 2020 14:06

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 20:58

jeroen3

@Thralas Volgens mij is alles wat niet matcht op een rule in een firewall chain accepted. Daarom eindigt defconf ook met een drop-alles. Maar ik kan me vergissen.
Thralas schreef op maandag 4 mei 2020 @ 22:53:
En gezien je óók al problemen had met pfSense zou ik je hypervisor ook in het achterhoofd houden. Niet ergens een virtuele switch die roet in het eten gooit vwb. multicast of igmp?
Of een switch van tp-link ergens in je netwerk.

dinsdag 5 mei 2020 14:16

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:03

Thralas

Rozz schreef op dinsdag 5 mei 2020 @ 13:07:
@Thralas en/of @ik222 bedoelen jullie dan zo?
code:
1
2
3

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn src-address=192.168.0.0/16
Bijna. Er staat nog een src-address bij de tweede rule. Die kan ook weg.
code:
1
2
3
4

/ip firewall filter
add action=accept chain=input in-interface=vlan1.4 protocol=udp
add action=accept chain=forward in-interface=vlan1.4 protocol=igmp
add action=accept chain=input in-interface=vlan1.4 protocol=igmp
Yes.
jeroen3 schreef op dinsdag 5 mei 2020 @ 14:06:
Volgens mij is alles wat niet matcht op een rule in een firewall chain accepted. Daarom eindigt defconf ook met een drop-alles. Maar ik kan me vergissen.
Dat klopt. Maar dat is wat anders dan waar ik op doelde: hier betreft het default action van een rule, niet de chain policy - beide zijn by default default accept (nouja, de chain policy kun je niet eens instellen).

dinsdag 12 mei 2020 19:16

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Nou heren,
Is in 1x gelukt met een RB4011.....kreeg het niet voor elkaar met ESXi en RouterOS als virtueel....toch ergens iets met IGMP wat op een of ander manier niet doorkwam...wel in PfSense, maar niet in RouterOS.

Dus de stoute schoenen aangetrokken en een RB4011 gekocht, daar mijn config in geladen, wel wat aanpassingen gedaan maar niets raars...IPTV en Internet deden het daarna in 1x....grrrrrr

Wel vraag ik aan jullie of jullie nog rare dingen zien, of dingen die beter/efficienter kunnen....inmiddels ga ik natuurlijk wel diverse wiki`s doorlezen en toepassen.
Daarna nog VPN server + client, Pi-Hole opzetten en mn Gigaset N300 IP aan de gang krijgen...dan heb ik echt alles wat ik wil!! en dan zonder inmenging van vriend KPN

Hieronder mijn config tot nu toe, werkend internet, IPTV (menu, terugkijken, Netflix)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172

/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-iptv
add arp=proxy-arp igmp-snooping=yes name=bridge-local

/interface ethernet
set [ find default-name=ether10 ] poe-out=off

/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan1.6 vlan-id=6

/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan1.6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=pppoe-kpn password=kpn use-peer-dns=yes user=MACADRES@internet

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.2.255'"

/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.2.255'"

/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast

/ip pool
add name=homenet ranges=192.168.2.150-192.168.2.250
add name=iptv ranges=192.168.250.100-192.168.250.105

/ip dhcp-server
add address-pool=homenet disabled=no interface=bridge-local lease-time=1h30m name=dhcp-homenet
add address-pool=iptv disabled=no interface=bridge-iptv lease-time=1h30m name=dhcp-iptv

/routing bgp instance
set default disabled=yes

/interface bridge port
add bridge=bridge-iptv comment=IPTV interface=ether2
add bridge=bridge-iptv comment=IPTV interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=ether10
add bridge=bridge-local interface=sfp-sfpplus1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add interface=bridge-iptv list=LAN
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
add interface=pppoe-kpn list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=vlan1.4 list=WAN
add interface=vlan1.6 list=WAN

/ip address
add address=192.168.2.254/24 interface=bridge-local network=192.168.2.0
add address=192.168.250.254/24 interface=bridge-iptv network=192.168.250.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
add add-default-route=special-classless default-route-distance=254 dhcp-options=option60-vendorclass,hostname,clientid disabled=no interface=vlan1.4 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server config
set store-leases-disk=15m

/ip dhcp-server lease
add address=192.168.250.101 comment="iTV Decoder 1" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:AF:D4 server=dhcp-iptv
add address=192.168.250.102 comment="iTV Decoder 2" dhcp-option-set=IPTV mac-address=3C:DA:2A:F0:B2:10 server=dhcp-iptv
add address=192.168.2.2 comment="ESXi 1" mac-address=2C:4D:54:65:13:28 server=dhcp-homenet
add address=192.168.2.3 comment="ESXi 2" mac-address=78:24:AF:BC:11:CA server=dhcp-homenet
EN EEN HELE HOOP MEER STATIS LEASES!!!

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.254 domain=homenet.local gateway=192.168.2.254
add address=192.168.250.0/24 dns-server=192.168.2.254 domain=homenet.local gateway=192.168.250.254

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,8.8.8.8,8.8.4.4

/ip dns static
add address=192.168.2.254 name=router.lan

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add chain=input in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=udp
add chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=input dst-address=224.0.0.0/8 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=igmp
add chain=input in-interface=vlan1.4 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=10.0.0.0/8 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/ip upnp
set show-dummy-rule=no

/ip upnp interfaces
add interface=bridge-local type=internal

/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add interface=bridge-iptv
add alternative-subnets=10.0.0.0/8,213.75.0.0/16,217.166.0.0/16 interface=vlan1.4 upstream=yes

/system clock
set time-zone-name=Europe/Amsterdam

/system ntp client
set enabled=yes primary-ntp=213.75.85.245

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

woensdag 13 mei 2020 16:40

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Je masquerade rules zijn nog steeds niet echt netjes. Vanuit de defconf staat er op al je interfaces op de interface list WAN een masquerade.
Ik zou alleen 2 rules aanmaken op je kpn-pppoe en je 1.4 interface. Destinations hoef je niet op te geven

woensdag 13 mei 2020 16:42

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Verder kan je volgens mij alle input rules op je 1.4 interface ook laten vervallen

woensdag 13 mei 2020 16:45

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

En tot slot: ik zie dat je je STB’s in een apart subnet hebt gezet. Dat is best netjes, had ik destijds ook zo gedaan. Wellicht kan je nog regels toevoegen in je firewall dat ze je hosts in het andere subnet niet kunnen benaderen.

woensdag 13 mei 2020 20:11

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
awenger schreef op woensdag 13 mei 2020 @ 16:40:
Je masquerade rules zijn nog steeds niet echt netjes. Vanuit de defconf staat er op al je interfaces op de interface list WAN een masquerade.
Ik zou alleen 2 rules aanmaken op je kpn-pppoe en je 1.4 interface. Destinations hoef je niet op te geven
Had ik inderdaad eerder op mn ESXi/RouterOS maar door nieuwe config op de RB4011 ben ik dit vergeten.
awenger schreef op woensdag 13 mei 2020 @ 16:42:
Verder kan je volgens mij alle input rules op je 1.4 interface ook laten vervallen
Staan er nog dubbel in ook...ehum...je leest er zooo snel overheen.
awenger schreef op woensdag 13 mei 2020 @ 16:45:
En tot slot: ik zie dat je je STB’s in een apart subnet hebt gezet. Dat is best netjes, had ik destijds ook zo gedaan. Wellicht kan je nog regels toevoegen in je firewall dat ze je hosts in het andere subnet niet kunnen benaderen.
Kijk, @awenger TOP!
Eens kijken of ik je goed begrijp...
########regels zouden er dan dus uit gehaald moeten worden en dan alleen 2x NAT regels?
En regels toevoegen zodat de STB`s niet mn andere hosts kunnen benaderen...moet ik even uitzoeken hoe dat moet, is dit makkelijker om dan een nieuwe lijst IPTV te maken naast WAN en LAN?
en dan zoiets?!?
code:
1

add action=reject chain=input in-interface-list=IPTV out-interface-list=LAN reject-with=icmp-network-unreachable

Of alleen een IPTV lijst maken en dankzij deze regel is het dan goed?
code:
1

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

########]add chain=input in-interface=vlan1.4 protocol=igmp
########add chain=input in-interface=vlan1.4 protocol=udp

add chain=forward in-interface=vlan1.4 protocol=udp
add action=accept chain=input dst-address=224.0.0.0/8 protocol=igmp

########add chain=input in-interface=vlan1.4 protocol=igmp
########add chain=input in-interface=vlan1.4 protocol=udp

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable

/ip firewall nat
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=10.0.0.0/8 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn

[ Voor 0% gewijzigd door Rozz op 13-05-2020 20:11 . Reden: typo`s ]

woensdag 13 mei 2020 21:16

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Rozz schreef op woensdag 13 mei 2020 @ 20:11:
[...]
Eens kijken of ik je goed begrijp...
########regels zouden er dan dus uit gehaald moeten worden en dan alleen 2x NAT regels?
En regels toevoegen zodat de STB`s niet mn andere hosts kunnen benaderen...moet ik even uitzoeken hoe dat moet, is dit makkelijker om dan een nieuwe lijst IPTV te maken naast WAN en LAN?
en dan zoiets?!?
Ja, je hebt me goed begrepen :)
code:
1

add action=reject chain=input in-interface-list=IPTV out-interface-list=LAN reject-with=icmp-network-unreachable

Of alleen een IPTV lijst maken en dankzij deze regel is het dan goed?
code:
1

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Ik zou je IPTV niet in een aparte lijst zetten, maar dat is persoonlijk. Door de tweede regel gaat het al goed doordat je packets dropt. Dan hoef je ook niet meer te rejecten. Dus je kan nog meer regels laten vervallen.
Verder staan er meer regels in je onderstaande code waarvan ik niet snap waarom je ze er in hebt zitten. Zoals de outside DNS requests of KPN block. Waar komen die vandaan? Ik heb er letterlijk mijn vraagtekens bijgezet ???????? Misschien kan je ze toelichten?
Ik maak er het volgende van. Maar zou je adviseren te backuppen en de codes 1 voor 1 te disabelen om te testen of je niets stuk maakt.
Je masquerade regels zien er netjes uit nu.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

########]add chain=input in-interface=vlan1.4 protocol=igmp
########add chain=input in-interface=vlan1.4 protocol=udp

????????add chain=forward in-interface=vlan1.4 protocol=udp
????????add action=accept chain=input dst-address=224.0.0.0/8 protocol=igmp

########add chain=input in-interface=vlan1.4 protocol=igmp
########add chain=input in-interface=vlan1.4 protocol=udp

add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
????????add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
????????add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
????????add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
????????add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
????????add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable

/ip firewall nat
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.0.0/16 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=10.0.0.0/8 out-interface=vlan1.4
#######add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn

[/quote]

Voor wat betreft het blokkeren van verkeer tussen de subnetten kan je denken aan:

code:
1
2

add action=drop chain=forward comment="Blokkeer verkeer van LAN --> IPTV" dst-address=192.168.2.0/24 src-address=192.168.250.0/24
add action=drop chain=forward comment="Blokkeer IPTV --> LAN" dst-address=192.168.250.0/24 src-address=192.168.2.0/24

woensdag 13 mei 2020 21:19

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Ik zit inmiddels niet meer bij KPN/XS4ALL maar heb een oude config van mijn firewall nog even opgeduikeld.
Die is wel op basis van een oudere defconf van Mikrotik, maar wellicht heb je er wat aan.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

/ip firewall filter
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="Allow established/related connections" connection-state=established,related
add action=drop chain=input comment="Drop invalid packets" connection-state=invalid
add action=drop chain=input in-interface=pppoe-xs4all-inet
add action=drop chain=input in-interface=vlan6-xs4all-internet
add action=drop chain=input in-interface=sfp1-gateway
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="Blokkeer verkeer van LAN --> IPTV" dst-address=192.168.30.0/24 src-address=192.168.25.0/24
add action=drop chain=forward comment="Blokkeer IPTV --> LAN" dst-address=192.168.25.0/24 src-address=192.168.30.0/24
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-xs4all-inet

donderdag 14 mei 2020 16:50

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
awenger schreef op woensdag 13 mei 2020 @ 21:16:
[...]
Ik zou je IPTV niet in een aparte lijst zetten, maar dat is persoonlijk. Door de tweede regel gaat het al goed doordat je packets dropt. Dan hoef je ook niet meer te rejecten. Dus je kan nog meer regels laten vervallen.
Verder staan er meer regels in je onderstaande code waarvan ik niet snap waarom je ze er in hebt zitten. Zoals de outside DNS requests of KPN block. Waar komen die vandaan? Ik heb er letterlijk mijn vraagtekens bijgezet ???????? Misschien kan je ze toelichten?
Ik maak er het volgende van. Maar zou je adviseren te backuppen en de codes 1 voor 1 te disabelen om te testen of je niets stuk maakt.
Je masquerade regels zien er netjes uit nu.
Staat nu zo ingesteld, vooralsnog doet alles het, moest in mijn geval wel 2x input op vlan1.4 aanhouden.
Inmiddels ook OpenVPN, Hairpin NAT voor Owntracks/Homey ingesteld.
Begonnen met telefonie met een Gigaset N300a IP, maar dat wil nog niet lukken, blijft registratie mislukt aangeven.

De KPN blocks heb ik ergens gevonden, weet niet meer waar precies, kan ze niet meer terug vinden, maar op mn PFSense kreeg ik heel vriendelijke een mailtje van KPN dat ik mijn NTP server moest uitzetten en poort 123 moest blokken, daarna konden ze mn verbinding weer vrijgeven....vandaar dat ik de 123 er nu bij heb staan.
De DNS block had volgens mij iets te maken richting request naar KPN servers toe, maar zoals gezegd, info kan ik niet 1-2-3 meer vinden.
Nu wel weer even genoeg voor vandaag :X
Straks nog een keertje over jouw regels kijken _/-\o_ maar voor nu zie ik het niet meer :X

## zijn disabled

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

/ip firewall filter
add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related
add action=accept chain=input comment="Allow OpenVPN" dst-port=xxxx protocol=tcp
add action=accept chain=input comment="Accept DNS requests from VPN clients" dst-port=53 protocol=udp src-address=192.168.20.0/24
add action=accept chain=forward out-interface-list=WAN src-address=192.168.20.0/24
add action=accept chain=forward dst-address=192.168.20.0/24 in-interface-list=WAN
add action=accept chain=input comment="Accept Established, Related, Untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="Accept Established, Related, Untracked" connection-state=established,related,untracked
add action=accept chain=forward comment=IPTV in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment=IPTV in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment=IPTV in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=drop chain=input comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=forward comment="Block traffic from LAN --> IPTV" dst-address=192.168.2.0/24 src-address=192.168.250.0/24
add action=drop chain=forward comment="Block traffic from IPTV --> LAN" dst-address=192.168.250.0/24 src-address=192.168.2.0/24

##add action=accept chain=forward comment=IPTV disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=udp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes dst-address=224.0.0.0/8 protocol=igmp

/ip firewall mangle
add action=mark-routing chain=prerouting comment=VPN-Out new-routing-mark=VPN-Out passthrough=yes src-address=192.168.2.6

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=xxxxx protocol=udp to-addresses=192.168.2.12 to-ports=xx-xx
add action=dst-nat chain=dstnat comment="SIP Poorten" dst-port=xx-xx protocol=udp to-addresses=192.168.2.12 to-ports=xx-xx
add action=dst-nat chain=dstnat comment=xxxxxxx dst-port=xxxx protocol=tcp to-addresses=192.168.2.50 to-ports=xxxx
add action=dst-nat chain=dstnat comment=xxxxx dst-port=xxxx protocol=tcp to-addresses=192.168.2.4 to-ports=xxxx
add action=masquerade chain=srcnat comment="OpenVPN In" src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="OpenVPN In to Internet" out-interface-list=WAN src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="xxxxxx" dst-address=WANADRES dst-port=xxxx protocol=tcp to-addresses=192.168.2.50 to-ports=xxxx
add action=masquerade chain=srcnat comment="xxxxxx" dst-address=192.168.2.50 dst-port=xxxxx out-interface=bridge-local protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment=VPN-Out out-interface-list=VPN-Out

##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=213.75.0.0/16 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=217.166.0.0/16 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=10.0.0.0/8 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN

/ip firewall service-port
set sip disabled=yes

[ Voor 2% gewijzigd door Rozz op 18-05-2020 14:48 . Reden: typo`s ]

donderdag 14 mei 2020 17:54

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Rozz schreef op donderdag 14 mei 2020 @ 16:50:
[...]


Staat nu zo ingesteld, vooralsnog doet alles het, moest in mijn geval wel 2x input op vlan1.4 aanhouden.
Inmiddels ook OpenVPN, Hairpin NAT voor Owntracks/Homey ingesteld.
Begonnen met telefonie met een Gigaset N300a IP, maar dat wil nog niet lukken, blijft registratie mislukt aangeven.

De KPN blocks heb ik ergens gevonden, weet niet meer waar precies, kan ze niet meer terug vinden, maar op mn PFSense kreeg ik heel vriendelijke een mailtje van KPN dat ik mijn NTP server moest uitzetten en poort 123 moest blokken, daarna konden ze mn verbinding weer vrijgeven....vandaar dat ik de 123 er nu bij heb staan.
De DNS block had volgens mij iets te maken richting request naar KPN servers toe, maar zoals gezegd, info kan ik niet 1-2-3 meer vinden.
Nu wel weer even genoeg voor vandaag :X
Straks nog een keertje over jouw regels kijken _/-\o_ maar voor nu zie ik het niet meer :X

## zijn disabled

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

/ip firewall filter
add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=tcp
add action=accept chain=input comment="Accept DNS requests from VPN clients" dst-port=53 protocol=udp src-address=192.168.20.0/24
add action=accept chain=forward out-interface-list=WAN src-address=192.168.20.0/24
add action=accept chain=forward dst-address=192.168.20.0/24 in-interface-list=WAN
add action=accept chain=input comment="Accept Established, Related, Untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="Accept Established, Related, Untracked" connection-state=established,related,untracked
add action=accept chain=forward comment=IPTV in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment=IPTV in-interface=vlan1.4 protocol=udp
add action=accept chain=input comment=IPTV in-interface=vlan1.4 protocol=igmp
add action=accept chain=input comment="Accept all from LAN" in-interface-list=LAN
add action=drop chain=input comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=reject chain=input in-interface=pppoe-kpn protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=input comment="Disable outside DNS requests" connection-state=new dst-port=53 in-interface=pppoe-kpn protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" connection-state=new dst-port=53,123 in-interface=pppoe-kpn protocol=udp
add action=reject chain=input comment="Protect against KPN block" in-interface=pppoe-kpn protocol=udp reject-with=icmp-port-unreachable
add action=drop chain=forward comment="Block traffic from LAN --> IPTV" dst-address=192.168.2.0/24 src-address=192.168.250.0/24
add action=drop chain=forward comment="Block traffic from IPTV --> LAN" dst-address=192.168.250.0/24 src-address=192.168.2.0/24

##add action=accept chain=forward comment=IPTV disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=udp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes in-interface=vlan1.4 protocol=igmp
##add action=accept chain=input disabled=yes dst-address=224.0.0.0/8 protocol=igmp

/ip firewall mangle
add action=mark-routing chain=prerouting comment=VPN-Out new-routing-mark=VPN-Out passthrough=yes src-address=192.168.2.6

/ip firewall nat
add action=masquerade chain=srcnat comment="Needed for IPTV" out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for internet" out-interface=pppoe-kpn
add action=dst-nat chain=dstnat comment="RTP Poorten" dst-port=16384-32767 protocol=udp to-addresses=192.168.2.12 to-ports=16384-32767
add action=dst-nat chain=dstnat comment="SIP Poorten" dst-port=5040-5080 protocol=udp to-addresses=192.168.2.12 to-ports=5040-5080
add action=dst-nat chain=dstnat comment=OwnTracks dst-port=1883 protocol=tcp to-addresses=192.168.2.50 to-ports=1883
add action=dst-nat chain=dstnat comment=Storj dst-port=28967 protocol=tcp to-addresses=192.168.2.4 to-ports=28967
add action=masquerade chain=srcnat comment="OpenVPN In" src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="OpenVPN In to Internet" out-interface-list=WAN src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="OwnTracks (LAN) to Homey (Hairpin NAT)" dst-address=WANADRES dst-port=1883 protocol=tcp to-addresses=192.168.2.50 to-ports=1883
add action=masquerade chain=srcnat comment="OwnTracks (LAN) to Homey (Hairpin NAT)" dst-address=192.168.2.50 dst-port=1883 out-interface=bridge-local protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment=VPN-Out out-interface-list=VPN-Out

##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=213.75.0.0/16 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=217.166.0.0/16 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="Needed for IPTV" disabled=yes dst-address=10.0.0.0/8 out-interface=vlan1.4
##add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN

/ip firewall service-port
set sip disabled=yes
Dat het werkt is mooi, maar is het ook veilig?
Ik zie nog steeds regels waarvan ik denk :?
Bijv. waarom een masquerade rule op een VPN in?

Ben je er verder van op de hoogte dat de volgorde van de regels nog uitmaakt? De hoger geplaatste regels worden eerder gebruikt dan de lager gelegen regels. Hou dus ook in de gaten of de regels ook gebruikt worden door te kijken of er packets geteld worden.

donderdag 14 mei 2020 17:58

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
awenger schreef op donderdag 14 mei 2020 @ 17:54:
[...]
Dat het werkt is mooi, maar is het ook veilig?
Ik zie nog steeds regels waarvan ik denk :?
Bijv. waarom een masquerade rule op een VPN in?

Ben je er verder van op de hoogte dat de volgorde van de regels nog uitmaakt? De hoger geplaatste regels worden eerder gebruikt dan de lager gelegen regels. Hou dus ook in de gaten of de regels ook gebruikt worden door te kijken of er packets geteld worden.
oh...eehhhh....masquerade rule niet op VPN...wist ik niet nee, ik heb gewoon een tutorial gevolgd (je ziet, heb er nog weinig kaas van gegeten) ik lees veel en probeer uit

Volgorde van regels wist ik idd, regels met meer packets heb ik idd hoger geplaatst.

donderdag 14 mei 2020 18:05

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Rozz schreef op donderdag 14 mei 2020 @ 17:58:
[...]


oh...eehhhh....masquerade rule niet op VPN...wist ik niet nee, ik heb gewoon een tutorial gevolgd...beter om die dan op dst-nat te zetten? (je ziet, heb er nog weinig kaas van gegeten) ik lees veel en probeer uit
Ik weet niet wat je beoogt met je VPN-in en ken de rest van je config niet. Dus de masqeruade regels 42, 43 en 45 zou ik allemaal schrappen. Regel 46 zou nu kunnen hebben als je gebruik maakt van een VPN dienst en je wil dat al je clients zich achter 1 IP adres van de VPN dienst "verstoppen". Is dat je doel?
Volgorde van regels wist ik idd, regels met meer packets heb ik idd hoger geplaatst.
Het is niet een kwestie van regels met veel packets bovenaan plaatsen. Let in ieder geval op regels zonder packets. Grote kans dat ze niets doen.

En nogmaals..... let goed op je veiligheid. Als je niet oppast met je firewall kan je zo je interne netwerk exposen. Door te hard te experimenteren loop je het risico dat het wel werkt, maar dat je onbedoeld meer open zet dan je beoogt.

donderdag 14 mei 2020 18:29

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
awenger schreef op donderdag 14 mei 2020 @ 18:05:
[...]
Ik weet niet wat je beoogt met je VPN-in en ken de rest van je config niet. Dus de masqeruade regels 42, 43 en 45 zou ik allemaal schrappen. Regel 46 zou nu kunnen hebben als je gebruik maakt van een VPN dienst en je wil dat al je clients zich achter 1 IP adres van de VPN dienst "verstoppen". Is dat je doel?
[...]
Het is niet een kwestie van regels met veel packets bovenaan plaatsen. Let in ieder geval op regels zonder packets. Grote kans dat ze niets doen.

En nogmaals..... let goed op je veiligheid. Als je niet oppast met je firewall kan je zo je interne netwerk exposen. Door te hard te experimenteren loop je het risico dat het wel werkt, maar dat je onbedoeld meer open zet dan je beoogt.
eeehhhhh...nee wist ik niet dat VPN niet met masquerade moet?! had ik van een tutorial die ik gevolgd heb.

42 om via telefoon/laptop binnen mn eigen netwerk te komen,
43 zodat dat apparaat ook weer internet op kan, wel eens nodig gehad maar natuurlijk niet echt nodig als ik jou zo hoor?
44 en 45 werken samen...zodat aanwezigheid-detectie op mn domotica werkt, ook weer gevolgd van een tutorial, app op telefoon wijst naar WAN IP, en via deze regels werkt dit dus nu ook in mn netwerk.
46 is een lijst met VPN verbindingen van LAN -> WAN voor bepaalde LAN IP...was/is uitprobeersel

Tja, wat is veilig en wat niet, dat is voor mij moeilijk te bepalen, niet veel verstand ervan maar lees/leer aldoende natuurlijk...ben erg blij met jouw aanwijzingen, heb ik tenminste een basis waarvan ik verder uit kan werken.

Afbeeldingslocatie: https://i.postimg.cc/066qP899/Firewall-Rules.png

donderdag 14 mei 2020 19:40

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Ah interessant dat je het plaatje van de firewall stats even deelt. Daar lopen we even doorheen. Ik ben ook geen firewall expert, maar hier leer ik ook weer van.

Eerst het makkelijke werk:
Je ziet dat regel 17 tot en met 23 niets meer doen. Dus die kunnen er allemaal uit.

Dan van boven naar beneden:
  • Regel 0 en regel 1.Standaard config. Prima
  • Regel 2. Zorgt ervoor dat je OpenVPN clients naar binnen kunnen. Prima
  • Regel 3, 4 en 5. Je hebt zo te zien je VPN clients in een apart subnet gestopt. Zelf is mijn doel ook om via VPN op mijn eigen netwerk te komen en mijn lokale machines te benaderen. Dus ik heb er voor gekozen om clients in het zelfde subnet IP's te geven voor het gemak Waarom moeilijk doen?. Ik kan dus niet goed beoordelen of je deze regels echt nodig hebt.
  • Regel 6. Standaard config. Prima
  • Regel 7. Standaard config. Prima
  • Regel 8, 9 en 10. Ik denk dat je deze alle 3 kan disablen en niet nodig hebt voor je IPTV. Even disabelen en kijk dan eens of het nog werkt.
  • Regel 11. Ook deze regel kan ik niet plaatsen. Heb je volgens mij ook niet nodig. Volgens mij kan je vanaf je LAN prima op je Mikrotik komen zonder deze regel
  • Regel 12 en 13. Standaard config. Prima
  • Regel 14. Zorgt dat je jezelf kan pingen van buiten. Prima.
  • Regel 15. Standaard config. Je interfacelist staan in eerdere post goed. Dus prima
  • Regel 16. Standaard config. Ook prima
  • 17 tot en met 23. Allemaal eruit halen dus. Want doen niets
Dan je NAT regels. Zoals ook gemeld over regel 3, 4 en 5. Waarom niet je VPN clients op het zelfde subnet zetten? Dan zit je ook niet te klooien met regels waarvan je niet zo goed snapt wat ze doen. Kan je daar anders ook nog even een screenshot van sturen?

donderdag 14 mei 2020 20:18

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Kijk...zo komen we weer een stukje verder!! top.

Morgen ga ik ermee aan de slag, post ik dan ook mn NAT screen.

zaterdag 16 mei 2020 12:55

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
Heb ze nu zo staan @awenger
De Hairpin NAT rules werken niet...moet ik weer in gaan spitten...grrrr.
En ik heb een Blacklist gemaakt, ik word geregeld door dezelfde ip "aangevallen" weet even niet hoe ik dit anders kan doen.
Regel 10 11 12 voor IPTV heb ik nodig, anders werkt het niet,
Regel 13 en 14 is om pingen vanaf internet te droppen...en regel 15 is om vanaf LAN wel te kunnen pingen...althans zo bedacht/las ik hem,

Afbeeldingslocatie: https://i.postimg.cc/V5MmJ92n/Firewall-Rules2.png

Ook diverse poorten veranderd...niet slim om ze op internet te laten zien denk ik nu...LOL,
Rest heb ik voor nu even disabled totdat ik weer ga uitproberen.

Afbeeldingslocatie: https://i.postimg.cc/bDpdmCXX/Firewall-NAT.png

zaterdag 16 mei 2020 15:26

Acties:
  • 0 Henk 'm!
  • awenger
  • Registratie: Februari 2006
  • Laatst online: 06-10 11:11

awenger

Regel 10 is voor je IPTV. 11 en 12 zijn standaard regels die belangrijk zijn om je netwerk te berschermen
Regel 15 doet helemaal niets zo te zien, want wordt door 13 of 14 tegen gehouden.

Rest ziet er goed uit. Waarom kies je trouwens voor Hairpin NAT? Je kan ook split DNS overwegen.

Je NAT oogt wel OK. Alleen je laatste masquerade rule doet niets.

zaterdag 16 mei 2020 15:34

Acties:
  • 0 Henk 'm!
  • Rozz
  • Registratie: April 2000
  • Laatst online: 17:10

Rozz

I'm an Apogian!!

Topicstarter
awenger schreef op zaterdag 16 mei 2020 @ 15:26:
Regel 10 is voor je IPTV. 11 en 12 zijn standaard regels die belangrijk zijn om je netwerk te berschermen
Regel 15 doet helemaal niets zo te zien, want wordt door 13 of 14 tegen gehouden.

Rest ziet er goed uit. Waarom kies je trouwens voor Hairpin NAT? Je kan ook split DNS overwegen.

Je NAT oogt wel OK. Alleen je laatste masquerade rule doet niets.
Laatste NAT regel klopt...heb ook geen VPN verbinding naar binnen op dit moment ;)

Split DNS? nog niet van gehoord...de hairpin wil ik gebruiken om een lan client via wan-ip naar andere lan-client te laten gaan...dat is dit domotica-aanwezigheids-detectie.
Zonder hairpin werkt het wel vanaf buiten, maar niet vanaf binnen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq