Hi,
Na een week puzzelen met mijn Mikrotik Routerboard 951G-2HnD ga ik toch maar eens om wat advies vragen
Ik heb een poging gedaan mijn Routerboard in te zetten als vervanger voor mijn Experiabox van KPN. Via netwerkje.com heb ik zowel internet als IPTV aan de praat gekregen. So far so good. Omdat ik ook mijn LAN opnieuw wilde inrichten, heb ik dat meteen gedaan. Ik heb in mijn Routerboard 4 vlans aangemaakt. 1 voor management, 1 voor publiek WiFi, 1 voor Prive Wifi (hier staan wat poorten open naar management LAN voor oa mijn NAS) en 1 voor mijn IoT spul.
vanuit mijn Routerboard loopt er een trunk naar mijn managed Netgear switch. Op deze Switch zitten mijn TP-Link AP's, die via VLANS verschillende SSID's uitzenden.
In het algemeen loop er tegenaan dat ik soms wat onverwacht gedrag ondervind op mijn netwerk. Soms hapert de verbinding bijv. kortstondig. Ook werken sommige firewall rules anders dan verwacht.
Verder loop ik ook tegen wat dingen aan omdat mijn kennis niet ver genoeg reikt:
- Hw-offloading, dit kan alleen op de "oude" manier (via de switch optie). Als ik echter IGMP snooping inschakel op mijn LAN bridge, kan dit niet meer. mijn IPTV zit op een andere bridge, dus ik weet niet of dit nodig is. Daarnaast vraag ik me af of het performance problemen oplevert?
-
- ik ondervind problemen met het instellen van mijn Nest Hub.
- Ik gebruik SONOS boxen, via de SONOS app werkt, echter spotify connect niet.
- Daarnaast wil ik graag mijn chromecasts, hub en SONOS buiten mijn prive LAN houden. Echter zou ik ze wel willen bedienen vanuit een telefoon die verbonden is met mijn prive VLAN.
Concreet kan ik 2 dingen doen:
1) het gehele VLAN gedeelte door mijn managed switch laten oppakken. En voor elk VLAN een aparte kabel van switch naar Routerboard. Hiermee haal ik veel complexiteit (en eventuele performance issues van de RB) weg.
2) Verder uitzoeken hoe ik de zaken goed kan inrichten op mijn Routerboard.
Wellicht kunnen jullie mij adviseren of in de goede richting sturen? Mijn config staat hieronder. Meer input lever ik graag waar nodig!
Na een week puzzelen met mijn Mikrotik Routerboard 951G-2HnD ga ik toch maar eens om wat advies vragen
Ik heb een poging gedaan mijn Routerboard in te zetten als vervanger voor mijn Experiabox van KPN. Via netwerkje.com heb ik zowel internet als IPTV aan de praat gekregen. So far so good. Omdat ik ook mijn LAN opnieuw wilde inrichten, heb ik dat meteen gedaan. Ik heb in mijn Routerboard 4 vlans aangemaakt. 1 voor management, 1 voor publiek WiFi, 1 voor Prive Wifi (hier staan wat poorten open naar management LAN voor oa mijn NAS) en 1 voor mijn IoT spul.
vanuit mijn Routerboard loopt er een trunk naar mijn managed Netgear switch. Op deze Switch zitten mijn TP-Link AP's, die via VLANS verschillende SSID's uitzenden.
In het algemeen loop er tegenaan dat ik soms wat onverwacht gedrag ondervind op mijn netwerk. Soms hapert de verbinding bijv. kortstondig. Ook werken sommige firewall rules anders dan verwacht.
Verder loop ik ook tegen wat dingen aan omdat mijn kennis niet ver genoeg reikt:
- Hw-offloading, dit kan alleen op de "oude" manier (via de switch optie). Als ik echter IGMP snooping inschakel op mijn LAN bridge, kan dit niet meer. mijn IPTV zit op een andere bridge, dus ik weet niet of dit nodig is. Daarnaast vraag ik me af of het performance problemen oplevert?
-
- ik ondervind problemen met het instellen van mijn Nest Hub.
- Ik gebruik SONOS boxen, via de SONOS app werkt, echter spotify connect niet.
- Daarnaast wil ik graag mijn chromecasts, hub en SONOS buiten mijn prive LAN houden. Echter zou ik ze wel willen bedienen vanuit een telefoon die verbonden is met mijn prive VLAN.
Concreet kan ik 2 dingen doen:
1) het gehele VLAN gedeelte door mijn managed switch laten oppakken. En voor elk VLAN een aparte kabel van switch naar Routerboard. Hiermee haal ik veel complexiteit (en eventuele performance issues van de RB) weg.
2) Verder uitzoeken hoe ik de zaken goed kan inrichten op mijn Routerboard.
Wellicht kunnen jullie mij adviseren of in de goede richting sturen? Mijn config staat hieronder. Meer input lever ik graag waar nodig!
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
| # jan/18/2021 17:45:05 by RouterOS 6.48
# software id = AUR3-JSYE
#
# model = 951G-2HnD
# serial number = 557E04ADE149
/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-iptv protocol-mode=none
add arp=proxy-arp name=bridge-vlan protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
installation=indoor mode=ap-bridge name=wlan_vlan10 ssid=[xxxx] station-roaming=enabled vlan-id=10 vlan-mode=\
use-tag wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp loop-protect=off
/interface vlan
add interface=ether1 name=vlan4 vlan-id=4
add interface=ether1 loop-protect=off name=vlan6 vlan-id=6
add comment="management vlan" interface=bridge-vlan name=vlan10 vlan-id=10
add comment="prive vlan" interface=bridge-vlan name=vlan20 vlan-id=20
add comment="publiek vlan" interface=bridge-vlan name=vlan21 vlan-id=21
add comment="domotica vlan" name=vlan30 vlan-id=30
/interface pppoe-client
add add-default-route=yes allow=pap disabled=no interface=vlan6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=\
pppoe-client user=[xxxxxxx]
/interface ethernet switch port
set 3 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 4 vlan-header=add-if-missing vlan-mode=secure
set 5 vlan-mode=secure
/interface list
add comment=defconf name=WAN
add name=IPTV
add name=vlans
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa-eap mode=dynamic-keys name="vlan10 - mngt" supplicant-identity=""
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.1.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip dhcp-server
add dhcp-option-set=IPTV disabled=no interface=bridge-iptv name=DHCP_IPTV
/ip pool
add name=pool_vlan10 ranges=192.168.10.50-192.168.10.99
add name=pool_vlan20 ranges=192.168.20.50-192.168.20.99
add name=pool_vlan30 ranges=192.168.30.50-192.168.30.99
add name=pool_vlan21 ranges=192.168.21.50-192.168.21.99
/ip dhcp-server
add address-pool=pool_vlan10 disabled=no interface=vlan10 name=DHCP_vlan10
add address-pool=pool_vlan20 disabled=no interface=vlan20 name=DHCP_vlan20
add address-pool=pool_vlan30 disabled=no interface=vlan30 name=DHCP_vlan30
add address-pool=pool_vlan30 disabled=no name=DHCP_vlan31
add address-pool=pool_vlan21 disabled=no interface=vlan21 name=DHCP_vlan21
/ppp profile
set *0 only-one=yes use-compression=yes use-upnp=no
/routing bgp instance
set default disabled=yes
/interface bridge port
add bridge=bridge-iptv comment="IPTV port" interface=ether2
add bridge=bridge-vlan comment="Wireless accesport VLAN10" interface=wlan_vlan10 multicast-router=disabled pvid=10
add bridge=bridge-vlan comment="Acccesport VLAN 10" interface=ether4 pvid=10
add bridge=bridge-vlan comment="trunk port to SW01" interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=IPTV
/interface ethernet switch vlan
add independent-learning=yes ports=ether4,ether5,switch1-cpu switch=switch1 vlan-id=20
add independent-learning=no ports=ether5,switch1-cpu switch=switch1 vlan-id=10
add independent-learning=no ports=ether5,switch1-cpu switch=switch1 vlan-id=21
/interface list member
add interface=pppoe-client list=WAN
add interface=bridge-iptv list=IPTV
add interface=vlan4 list=IPTV
/ip address
add address=192.168.0.1/24 interface=bridge-iptv network=192.168.0.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.30.1/24 network=192.168.30.0
add address=192.168.21.1/24 interface=vlan21 network=192.168.21.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no interface=vlan4 use-peer-dns=no \
use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=15m
/ip dhcp-server lease
add address=192.168.0.2 comment="Decoder woonkamer" dhcp-option-set=IPTV mac-address=00:02:9B:D7:40:BA
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8 gateway=192.168.0.1
add address=192.168.10.0/24 comment="vlan management" dns-server=192.168.10.1,8.8.8.8,8.8.4.4 domain=mgnt.local \
gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=8.8.8.8,192.168.20.1,8.8.4.4 gateway=192.168.20.1
add address=192.168.21.0/24 dns-server=192.168.21.1,8.8.8.8,8.8.4.4 gateway=192.168.21.1
add address=192.168.30.0/24 dns-server=192.168.30.1,8.8.8.8,8.8.4.4 domain=domotica.local gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="WAN -> LAN ICMP" in-interface=pppoe-client protocol=icmp
add action=reject chain=input comment="weiger al het inkomende TCP verkeer op WAN" in-interface=pppoe-client protocol=\
tcp reject-with=icmp-port-unreachable
add action=reject chain=input comment="weiger al het inkomende UDP verkeer op WAN" in-interface=pppoe-client protocol=\
udp reject-with=icmp-port-unreachable
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward connection-state=new out-interface-list=WAN
add action=accept chain=forward connection-state="" in-interface=vlan4 out-interface=bridge-iptv
add action=accept chain=forward connection-state=new in-interface=vlan10
add action=accept chain=forward connection-state=new dst-address=192.168.10.20 dst-port=5000 in-interface=vlan20 \
protocol=tcp
add action=drop chain=forward connection-state="" disabled=yes
add action=accept chain=input comment="LAN - INPUT" connection-state=established,related,untracked
add action=accept chain=input in-interface=vlan10
add action=accept chain=input connection-state=new in-interface=vlan4
add action=drop chain=input
/ip firewall nat
add action=masquerade chain=srcnat comment=IPTV dst-address=213.75.112.0/21 out-interface=vlan4
add action=masquerade chain=srcnat comment=IPTV dst-address=217.166.0.0/16 out-interface=vlan4
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=\
WAN
add action=masquerade chain=srcnat comment="lan naar wan" out-interface-list=WAN src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.20.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.30.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.21.0/24
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-iptv type=internal
add interface=pppoe-client type=external
/routing imp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan4 upstream=yes
add interface=bridge-iptv |
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
