Toon posts:

DNS problemen

Pagina: 1
Acties:

Vraag

zondag 17 mei 2026 13:05

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
Sinds kort heb ik een heel vaag DNS probleem waarbij DNS uit het niets voor het hele netwerk plat gaat.
Wat er dan gebeurt is dat er niets meer geresolved kan worden omdat de interne DNS servers niet meer kunnen resolven bij de upstreams. Ook niet meer direct naar buiten toe (nslookup tweakers.net 9.9.9.9).
Direct resolven op een andere host lukt dan soms wel nog.
Pingen vanaf een client naar 9.9.9.9 lukt dan ook nog.
Vanaf Mikrotik is pingen en resolven naar Quad9 dan niet meer mogelijk.

Als ik Quad9 als upstream vervang door Cloudflare dan geldt dit andersom. Zie:
Afbeeldingslocatie: https://tweakers.net/i/o9hj2KYRZKLh6f4rZ24EX1Hf_nQ=/234x176/filters:strip_exif()/f/image/QvItYFgrpB3nOyjjfgYZz2Ic.png?f=fotoalbum_medium

Hier een beschrijving van mijn netwerk:
Afbeeldingslocatie: https://tweakers.net/i/r5f0RkTkR6XoOpZqY2AESCfqy78=/234x176/filters:strip_exif()/f/image/e5yjxQ71vPVLFghWYLKbmUZF.png?f=fotoalbum_medium

Het betreft een DSL verbinding van KPN dus het modem is vereist. Deze heeft aan de binnenkant een eigen netwerk met de MikroTik router. Deze router is opgenomen als DMZ adres in de KPN box. De KPN box heeft firewall profiel "standaard" waarbij dus niks geblokeerd wordt.

De MikroTik heeft 1 interface (eth2) gekoppeld aan KPN Box 12. Deze interface zit in interfacelist WAN.
Daarnaast 1 interface (eth3) gekoppeld aan de HP switch. Deze is onderdeel van interfacelist LAN. Op de MikroTik heb ik 4 VLANS geconfigureerd die elk onderdeel zijn van interfacelist LAN.

Op de HP switch heb ik interface 24 alle 4 de vlans getagged. Dit is de uplink naar MikroTik. Daarnaast heb ik hetzelfde gedaan op de interfaces die naar de 2 NUCs gaan. Eén van deze NUCs is recentelijk erbij gezet omdat de eerste uit zijn resources begon te lopen.

VLAN Intern is het VLAN waar de DNS servers in staan. Deze functioneren los van elkaar en draaien AdGuard Home. Quad9 gebruik ik als upstreams.

Alle clients in het netwerk verwijzen naar .6 als primair en .7 als secundair DNS. De firewallregels zijn hier ook zo op ingericht. Afgelopen dagen heb ik de DNS regel algemeen gemaakt en zo hoog mogelijk bovenin gezet.
Afbeeldingslocatie: https://tweakers.net/i/OqnFEyjuiAfqFFGEUC26_KO0vec=/234x176/filters:strip_exif()/f/image/DWXf16vnca2sv42YD90W5pvc.png?f=fotoalbum_medium

Op dit moment heb ik de DNS servers uitgezet en clients direct naar buiten laten verwijzen. Dan lijkt het een stuk stabieler te werken.

Het meest vage dat ik heb gehad in alle troubleshooting en pogingen is dat ik een hele nieuwe Debian server opgezet had en deze het IP .6 toegekend met nameserver 9.9.9.9. Deze server had verder nog geen enkele functie en service draaien. Vrijwel direct daarna konden clients niet meer resolven (terwijl deze geen relatie met .6 meer hebben).

Dit laatste doet mij heel erg vermoeden dat het probleem op de MikroTik zit, maar ik kan niet verklaren waarom dit zo is.


Disclaimer: de tekst kan een beetje vreemd zijn omschreven, maar dat komt omdat ik echt geen idee heb wat hier aan de hand is. Daarom dat ik dit topic ook gestart ben. Hopelijk hebben andere ogen een idee wat hier kan spelen.

Alle reacties

zondag 17 mei 2026 13:12

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:24

lier

MikroTik nerd

Zou je je IP settings en je VLAN settings kunnen delen?
code:
1
2

/ip export
/interface export
Toevallig Internet detect aanstaan?

Iets in de logging staan?

[ Voor 9% gewijzigd door lier op 17-05-2026 13:14 ]

Eerst het probleem, dan de oplossing

zondag 17 mei 2026 13:33

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
@lier Met IP settings bedoel je de ranges?
Afbeeldingslocatie: https://tweakers.net/i/RCdLFTAjOp8MB_LSh-zHcOlYz1U=/234x176/filters:strip_exif()/f/image/aY1rmHYohCwH2CKpnHX3R1H7.png?f=fotoalbum_medium
Als dit niet hetgeen is waar je naar opzoek bent dan hoor ik dat graag, maar een terminal export geeft een heel vertroebeld overzicht omdat ik een zeer lange IP2Location blocklijst heb geimpoteerd.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

/interface export

/interface bridge
add admin-mac=<verwijderd> auto-mac=no comment=defconf name=bridge port-cost-mode=short protocol-mode=none
add disabled=yes name=bridge-mDNS port-cost-mode=short protocol-mode=none
add name=bridge-rescue port-cost-mode=short protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp disabled=yes l2mtu=1514 loop-protect=off
set [ find default-name=ether2 ] l2mtu=1514
set [ find default-name=ether3 ] l2mtu=1514
set [ find default-name=ether4 ] l2mtu=1514
set [ find default-name=ether5 ] l2mtu=1514
set [ find default-name=ether6 ] l2mtu=1514
set [ find default-name=ether7 ] l2mtu=1514
set [ find default-name=ether8 ] l2mtu=1514
set [ find default-name=sfp-sfpplus1 ] l2mtu=1514
/interface wireguard
add listen-port=<verwijderd> mtu=1420 name=wg
/interface vlan
add comment="DMZ VLAN" interface=bridge name=vlan-DMZ vlan-id=10
add comment="Gasten VLAN" interface=bridge name=vlan-Guest vlan-id=15
add comment="Intern VLAN" interface=bridge name=vlan-Internal vlan-id=2
add comment="Internet of Things VLAN" interface=bridge name=vlan-IoT vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=VPN name=WireGuard-LAN-List
/interface bridge filter
# bridge-mDNS not ready
# bridge-mDNS not ready
add action=accept chain=forward comment="Allow mDNS" dst-address=224.0.0.251/32 dst-mac-address=01:00:5E:00:00:FB/FF:FF:FF:FF:FF:FF dst-port=5353 in-bridge=bridge-mDNS ip-protocol=udp \
    mac-protocol=ip out-bridge=bridge-mDNS src-port=5353
# bridge-mDNS not ready
# bridge-mDNS not ready
add action=drop chain=forward in-bridge=bridge-mDNS out-bridge=bridge-mDNS
/interface bridge nat
add action=src-nat chain=srcnat dst-mac-address=01:00:5E:00:00:FB/FF:FF:FF:FF:FF:FF src-mac-address=DC:2C:6E:43:EB:30/FF:FF:FF:FF:FF:FF to-src-mac-address=CC:2D:E0:14:64:AD
/interface bridge port
add bridge=bridge comment=defconf interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=no interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether6 internal-path-cost=10 path-cost=10 pvid=2
add bridge=bridge comment=defconf interface=ether7 internal-path-cost=10 path-cost=10
add bridge=bridge-rescue comment=defconf interface=ether8 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
add bridge=bridge-mDNS disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=vlan-IoT internal-path-cost=10 path-cost=10 pvid=1001
add bridge=bridge-mDNS disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=vlan-Internal internal-path-cost=10 path-cost=10 pvid=1001
/interface bridge vlan
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=2
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=15
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=10
add bridge=bridge tagged=ether3 untagged=sfp-sfpplus1 vlan-ids=20
add bridge=bridge-mDNS disabled=yes untagged=vlan-Internal,vlan-IoT vlan-ids=1001
/interface l2tp-server server
set authentication=mschap2 default-profile=profile1-encryption enabled=yes use-ipsec=yes
/interface list member
add interface=vlan-Guest list=LAN
add interface=vlan-DMZ list=LAN
add interface=vlan-Internal list=LAN
add interface=ether4 list=LAN
add interface=ether2 list=WAN
add interface=ether3 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=sfp-sfpplus1 list=WAN
add interface=vlan-IoT list=LAN
add interface=ether1 list=WAN
add disabled=yes interface=*11 list=WAN
/interface ovpn-server server
add auth=sha1,md5 mac-address=<verwijderd> name=ovpn-server1
/interface wireguard peers
add allowed-address=<verwijderd> interface=wg name=<verwijderd> public-key="<verwijderd>"
add allowed-address=<verwijderd> disabled=yes interface=wg name=<verwijderd> public-key="<verwijderd>"
code:
1
2
3
4
5

interface/detect-internet/print
    detect-interface-list: none
       lan-interface-list: none
       wan-interface-list: none
  internet-interface-list: none

zondag 17 mei 2026 13:38

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:24

lier

MikroTik nerd

Laten we dan beginnen met:
code:
1

/ip/dns export
code:
1

/ip/dhcp-server export
Vanwaar de 2 bridges? Het volstaat om een interface ¨to the rescue" te houden.

Volgens mij moet je op je router ook de bridge toevoegen aan de /interface/bridge/vlan als tagged ports.

Mocht je mDNS willen laten werken, laat het dan even weten. Het is niet nodig om hiervoor een NAT regel op de bridge aan te maken. En ook geen filter nodig.

Controleer nog even goed je sfp-sfpplus1 interface (eerst maak je hem trunk, maar daarna maak je hem hybride:
code:
1
2

/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
code:
1
2
3
4
5

/interface bridge vlan
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=2
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=15
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=10
add bridge=bridge tagged=ether3 untagged=sfp-sfpplus1 vlan-ids=20

[ Voor 98% gewijzigd door lier op 17-05-2026 13:51 ]

Eerst het probleem, dan de oplossing

zondag 17 mei 2026 13:49

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
@lier Bedoel je de bridge en bridge-rescue? Die eerste is standaard. Geen idee of dit dan anders kan, maar gezien een MikroTik nogal overweldigend is als je hier nieuw in komt heb ik dat zo gelaten.

Bridge-rescue is een gesplitste interface in hetgeval dat ik mijzelf zou buiten sluiten. Nu kwam ik er niet heel lang geleden achter dat WinBox standaard een soort noodoplossing biedt die mij daadwerkelijk eens uit de brand heeft geholpen.

Bridge-mDNS is disabled. Is een probeersel van een tijd geleden.
code:
1
2
3
4

/ip dns
set allow-remote-requests=yes mdns-repeat-ifaces=vlan-Internal,vlan-IoT
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

/ip dhcp-server
# No IP address on interface
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
add address-pool=dhcp_pool1 interface=vlan-Guest lease-time=8h name=dhcp1
add address-pool=dhcp_pool2 dhcp-option-set=Internal interface=vlan-Internal lease-time=1d name=dhcp2
add address-pool=dhcp_pool3 dhcp-option-set=IoT interface=vlan-IoT lease-time=1w name=dhcp3
/ip dhcp-server lease
add address=192.168.20.198 client-id=1:<verwijderd> mac-address=<verwijderd> server=dhcp3
add address=192.168.20.15 disabled=yes mac-address=<verwijderd> server=dhcp3
add address=192.168.20.50 mac-address=<verwijderd> server=dhcp3
add address=192.168.20.15 comment="LAN Smile" dhcp-option-set=IoT mac-address=<verwijderd> server=dhcp3
add address=192.168.20.16 mac-address=<verwijderd> server=dhcp3
add address=192.168.1.240 mac-address=<verwijderd> server=dhcp2
add address=192.168.1.241 mac-address=<verwijderd> server=dhcp2
add address=192.168.20.19 client-id=1:<verwijderd> mac-address=<verwijderd> server=dhcp3
add address=192.168.20.40 comment=VELUX mac-address=<verwijderd> server=dhcp3
add address=192.168.20.182 client-id=<verwijderd> mac-address=<verwijderd> server=\
    dhcp3
add address=192.168.20.180 client-id=<verwijderd> mac-address=<verwijderd> server=\
    dhcp3
add address=192.168.1.21 client-id=1:<verwijderd> mac-address=<verwijderd> server=dhcp2
add address=192.168.20.181 client-id=<verwijderd> mac-address=<verwijderd> server=\
    dhcp3
add address=192.168.20.183 client-id=1:<verwijderd> mac-address=<verwijderd> server=dhcp3
add address=192.168.20.184 comment=EeeseOtto mac-address=<verwijderd> server=dhcp3
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=49.12.67.122,91.99.154.175 gateway=192.168.1.254
add address=192.168.15.0/24 dns-server=9.9.9.9,149.112.112.112 gateway=192.168.15.254
add address=192.168.20.0/24 dns-server=49.12.67.122,91.99.154.175 gateway=192.168.20.254
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dhcp-server option sets
add name=Internal options=*5
add name=IoT options=*8,*7

[ Voor 5% gewijzigd door JvdHoudt op 17-05-2026 14:56 ]

zondag 17 mei 2026 13:51

Acties:
  • remco_k
  • Registratie: April 2002
  • Laatst online: 20:13

remco_k

een cassettebandje was genoeg

Heb je je packet counters van je firewall regels gereset en gechecked op het moment dat het probleem voorkwam?

Ik heb op die manier meer dan eens een firewall regel van mezelf aan weten te wijzen als mogelijke oorzaak van iets dat niet of niet goed werkte.

Alles kan stuk.

zondag 17 mei 2026 14:04

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:24

lier

MikroTik nerd

Aah...je doet een beetje VLAN in plaats van all the way. Zo is er een DHCP server aan de bridge gekoppeld, terwijl dat niet zou moeten. Lees eens goed dit topic door waar heldere voorbeelden staan:
https://forum.mikrotik.com/t/using-routeros-to-vlan-your-network/126489

Ter illustratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

/interface bridge
add admin-mac=[onbelangrijk] auto-mac=no frame-types=admit-only-vlan-tagged name=bridge-LAN protocol-mode=none vlan-filtering=yes

/interface vlan
add interface=bridge-LAN name=CORP_VLAN vlan-id=60
add interface=bridge-LAN name=HOME_VLAN vlan-id=61
add interface=bridge-LAN name=IOT_VLAN vlan-id=63
add interface=bridge-LAN name=MGT_VLAN vlan-id=98

/interface bridge port
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether2-stb pvid=63
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether3-tv pvid=63
add bridge=bridge-LAN frame-types=admit-only-vlan-tagged interface=ether4-switch

/interface bridge vlan
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=63
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=61
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=60
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=98

/ip address
add address=192.168.60.254/24 interface=CORP_VLAN network=192.168.60.0
add address=192.168.61.254/24 interface=HOME_VLAN network=192.168.61.0
add address=192.168.63.254/24 interface=IOT_VLAN network=192.168.63.0
add address=192.168.98.254/24 interface=MGT_VLAN network=192.168.98.0

/ip dhcp-server
add address-pool=IOT_POOL interface=IOT_VLAN lease-time=8h name=IOT_DHCP
add address-pool=ELC_POOL interface=CORP_VLAN lease-time=4h name=ELC_DHCP
add address-pool=MGT_POOL interface=MGT_VLAN lease-time=1w name=MGT_DHCP
add address-pool=HOME_POOL interface=HOME_VLAN lease-time=8h name=HOME_DHCP parent-queue=*FFFFFFFF

/ip dhcp-server lease
add address=192.168.60.250 client-id=1:74:4d:28:ab:d1:44 mac-address=74:4D:28:AB:D1:44 server=CORP_DHCP
add address=192.168.63.150 client-id=1:80:97:1b:0:eb:1c mac-address=80:97:1B:00:EB:1C server=IOT_DHCP
add address=192.168.98.250 client-id=1:8:55:31:14:58:80 mac-address=08:55:31:14:58:80 server=MGT_DHCP
add address=192.168.98.240 client-id=1:f4:1e:57:35:db:b2 mac-address=F4:1E:57:35:DB:B2 server=MGT_DHCP

/ip dhcp-server network
add address=192.168.60.0/24 dns-server=192.168.60.254 gateway=192.168.60.254 netmask=24 ntp-server=192.168.60.254
add address=192.168.61.0/24 dns-server=192.168.61.254 gateway=192.168.61.254 netmask=24 ntp-server=192.168.61.254
add address=192.168.63.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.63.254 netmask=24 ntp-server=192.168.63.254
add address=192.168.98.0/24 dns-server=192.168.98.254 gateway=192.168.98.254 netmask=24 ntp-server=192.168.98.254

Eerst het probleem, dan de oplossing

zondag 17 mei 2026 14:52

Acties:
  • Mit-46
  • Registratie: November 2010
  • Laatst online: 14:28

Mit-46

@JvdHoudt
Volgens mij wordt het afgeraden om het serienummer te delen dus wellicht verstandig deze te verwijderen. Hetzelfde geldt voor de admin naam (als dat de loginnaam betreft).

Hier kan je heel veel vragen en leren over RouterOS!
[MikroTik-apparatuur] Ervaringen & Discussie

Ik ben zelf te onervaren om je inhoudelijk advies te geven, maar ik ben enorm geholpen door mede tweakers in het Mikrotik topic.

zondag 17 mei 2026 15:04

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
lier schreef op zondag 17 mei 2026 @ 14:04:
Aah...je doet een beetje VLAN in plaats van all the way. Zo is er een DHCP server aan de bridge gekoppeld, terwijl dat niet zou moeten. Lees eens goed dit topic door waar heldere voorbeelden staan:
https://forum.mikrotik.com/t/using-routeros-to-vlan-your-network/126489

Ter illustratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

/interface bridge
add admin-mac=[onbelangrijk] auto-mac=no frame-types=admit-only-vlan-tagged name=bridge-LAN protocol-mode=none vlan-filtering=yes

/interface vlan
add interface=bridge-LAN name=CORP_VLAN vlan-id=60
add interface=bridge-LAN name=HOME_VLAN vlan-id=61
add interface=bridge-LAN name=IOT_VLAN vlan-id=63
add interface=bridge-LAN name=MGT_VLAN vlan-id=98

/interface bridge port
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether2-stb pvid=63
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether3-tv pvid=63
add bridge=bridge-LAN frame-types=admit-only-vlan-tagged interface=ether4-switch

/interface bridge vlan
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=63
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=61
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=60
add bridge=bridge-LAN tagged=bridge-LAN,ether4-switch vlan-ids=98

/ip address
add address=192.168.60.254/24 interface=CORP_VLAN network=192.168.60.0
add address=192.168.61.254/24 interface=HOME_VLAN network=192.168.61.0
add address=192.168.63.254/24 interface=IOT_VLAN network=192.168.63.0
add address=192.168.98.254/24 interface=MGT_VLAN network=192.168.98.0

/ip dhcp-server
add address-pool=IOT_POOL interface=IOT_VLAN lease-time=8h name=IOT_DHCP
add address-pool=ELC_POOL interface=CORP_VLAN lease-time=4h name=ELC_DHCP
add address-pool=MGT_POOL interface=MGT_VLAN lease-time=1w name=MGT_DHCP
add address-pool=HOME_POOL interface=HOME_VLAN lease-time=8h name=HOME_DHCP parent-queue=*FFFFFFFF

/ip dhcp-server lease
add address=192.168.60.250 client-id=1:74:4d:28:ab:d1:44 mac-address=74:4D:28:AB:D1:44 server=CORP_DHCP
add address=192.168.63.150 client-id=1:80:97:1b:0:eb:1c mac-address=80:97:1B:00:EB:1C server=IOT_DHCP
add address=192.168.98.250 client-id=1:8:55:31:14:58:80 mac-address=08:55:31:14:58:80 server=MGT_DHCP
add address=192.168.98.240 client-id=1:f4:1e:57:35:db:b2 mac-address=F4:1E:57:35:DB:B2 server=MGT_DHCP

/ip dhcp-server network
add address=192.168.60.0/24 dns-server=192.168.60.254 gateway=192.168.60.254 netmask=24 ntp-server=192.168.60.254
add address=192.168.61.0/24 dns-server=192.168.61.254 gateway=192.168.61.254 netmask=24 ntp-server=192.168.61.254
add address=192.168.63.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.63.254 netmask=24 ntp-server=192.168.63.254
add address=192.168.98.0/24 dns-server=192.168.98.254 gateway=192.168.98.254 netmask=24 ntp-server=192.168.98.254
Een "beetje VLAN" is een onbewuste, gebrek aan kennis, actie geweest dan. Die DHCP aan de bridge is een standaard config gezien het defconf commentaar dat erbij staat.

Ik ga eens door dat topic kijken.

Wel bijzonder dat dit apparaat nu na 3 jaar pas dit gedrag begint te vertonen.
lier schreef op zondag 17 mei 2026 @ 13:38:
Laten we dan beginnen met:
code:
1

/ip/dns export
code:
1

/ip/dhcp-server export
Vanwaar de 2 bridges? Het volstaat om een interface ¨to the rescue" te houden.

Volgens mij moet je op je router ook de bridge toevoegen aan de /interface/bridge/vlan als tagged ports.

Mocht je mDNS willen laten werken, laat het dan even weten. Het is niet nodig om hiervoor een NAT regel op de bridge aan te maken. En ook geen filter nodig.

Controleer nog even goed je sfp-sfpplus1 interface (eerst maak je hem trunk, maar daarna maak je hem hybride:
code:
1
2

/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
code:
1
2
3
4
5

/interface bridge vlan
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=2
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=15
add bridge=bridge tagged=ether3,sfp-sfpplus1 vlan-ids=10
add bridge=bridge tagged=ether3 untagged=sfp-sfpplus1 vlan-ids=20
Voorheen heb ik glasvezel gehad. Deze heb ik gepoogd op de sfp aan te sluiten wat niet ging. Vervolgens heb ik de glasvezel verbinding op eth1 gezet (vandaar dat die nu leeg is).

De sfp poort heb ik toen voornemens gehad te gaan gebruiken als link naar de HP switch. Dit echter niet gedaan.

zondag 17 mei 2026 16:40

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:24

lier

MikroTik nerd

Even teruglezend zou je ervoor kunnen kiezen om de MikroTik te laten resolven naar bekende publieke DNS servers:
code:
1
2

/ip dns
set servers=9.9.9.9,1.1.1.1
Als je geen last van je KPN router DNS wil hebben, moet je deze wel even uitschakelen:
code:
1
2

/ip dhcp-client
set use-peer-dns=no [find]
Overigens verwacht ik niet dat het DNS gedrag hiermee te verklaren is. Maar mogelijk wel opgelost met bovenstaande actie.

Ik zie nu ook dat je geen vlan filtering actief hebt op de bridge. Succes met het goed krijgen...mocht je nog vragen hebben, laat het weten!

[ Voor 29% gewijzigd door lier op 17-05-2026 16:42 ]

Eerst het probleem, dan de oplossing

zondag 17 mei 2026 17:22

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
@lier Ik heb nu inderdaad MikroTik laten resolven zodat ik om zo ook de NTPservers van pool.org te resolven en de MikroTik als NTP server te kunnen laten fungeren.

DHCP client heb ik niet ingesteld. Dit heb ik alsvolgt.
code:
1
2

/ip address
add address=192.168.2.100/24 interface=ether2-isp network=192.168.2.0
Begrijp ik dat ik beter dhcp client kan instellen?

Voor wat betreft VLAN filtering, hoe werkt dit en wat is het doel hiervan?

zondag 17 mei 2026 18:34

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:24

lier

MikroTik nerd

Met de cliënt wordt alles ingesteld, vooral makkelijker. Moet je alleen een reservering maken in de dhcp server van de ISP router (ivm dmz).

Met VLAN filtering aan worden de VLAN'S wel gefilterd. Nu namelijk niet.

Eerst het probleem, dan de oplossing

zondag 17 mei 2026 20:16

Acties:
  • JvdHoudt
  • Registratie: Augustus 2010
  • Laatst online: 12:05

JvdHoudt

Topicstarter
@lier Ik probeer het te begrijpen, maar is het dan zo dat ik door VLAN filtering ook trunks of untagged vlans op andere interfaces kan zetten zodat deze als switch fungeren en daar direct de NUC of AP op ingeprikt kan worden? Dit is eerder niet gelukt namelijk.

Dit is de config nu. Ik heb naamgeving van verschillende voorbeelden en fora overgenomen omdat dit het overzichtelijker maakt dan hoe ik het zelf had.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

/interface bridge
add admin-mac=<verwijderd> auto-mac=no frame-types=admit-only-vlan-tagged ingress-filtering=no name=bridge-LAN port-cost-mode=short protocol-mode=none pvid=2 vlan-filtering=yes
add name=bridge-rescue port-cost-mode=short protocol-mode=none

/interface bridge vlan
add bridge=bridge-LAN tagged=ether3-switch vlan-ids=2
add bridge=bridge-LAN tagged=ether3-switch vlan-ids=15
add bridge=bridge-LAN tagged=ether3-switch vlan-ids=10
add bridge=bridge-LAN tagged=ether3-switch vlan-ids=20

/interface bridge port
add bridge=bridge-LAN comment=defconf interface=ether3-switch internal-path-cost=10 path-cost=10 pvid=2
add bridge=bridge-LAN comment=defconf frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=no interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge-LAN comment=defconf ingress-filtering=no interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge-LAN comment=defconf interface=ether6 internal-path-cost=10 path-cost=10 pvid=2
add bridge=bridge-LAN comment=defconf interface=ether7 internal-path-cost=10 path-cost=10
add bridge=bridge-rescue comment=defconf interface=ether8 internal-path-cost=10 path-cost=10
add bridge=bridge-LAN comment=defconf interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
add bridge=*13 disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=IOT_VLAN internal-path-cost=10 path-cost=10 pvid=1001
add bridge=*13 disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=INTERNAL_VLAN internal-path-cost=10 path-cost=10 pvid=1001
Dan heb ik ook nog een stuk wat ik niet uit de terminal gehaald krijg:

Afbeeldingslocatie: https://tweakers.net/i/KJel3ilhF7rZ95620sapddvzXk0=/234x176/filters:strip_exif()/f/image/aHPxPshOjilc6CEG0FRzs21G.png?f=fotoalbum_medium

maandag 18 mei 2026 10:02

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 10:58

MasterL

Moderator Internet & Netwerken
Oke we kunnen denk ik wel een paar conclusies trekken, even resume:
- Je hebt internet.
- Je kunt pingen ook op het moment dat de problemen actief zijn.
- DNS werkt niet, zowel niet lokaal op de Mikrotik als direct op de host (nslookup tweakers.net 9.9.9.9).

Als bovenstaande klopt lijkt het mij sterk dat je een probleem hebt met:
1: Layer 1 (fysieke aansluitingen/links).
2: Layer 2 (MAC verkeer, VLANS e.d.).
3: Layer 3: (IP-adressen, routing e.d.).

Dit is wel echt gebaseerd op het feit dat een "ping -t 9.9.9.9" geen timeouts geeft op het moment dat je bijvoorbeeld "nslookup tweakers.net 9.9.9.9" doet welke niet werkt. Mochten die timeouts er wel zijn heb
je een ander probleem. Op het moment dat je een DNS query doet direct vanaf je client naar een public DNS hoeft je router deze eigenlijk alleen maar te forwarden (in je forward chain). Tenzij je "rare" MITM/Mangle dingen doet met dit verkeer zou dit gewoon moeten werken, zeker omdat DNS niet zulke grote packets zijn normaal gesproken dus tegen een MTU issue loop je met DNS ook niet zo snel aan.

Ik zou nog eens heel goed kijken of je echt ICMP verkeer hebt tijdens deze problemen, beginnen om te troubleshooten op een client op een externe DNS server. DNS verkeer kan natuurlijk geblokkeerd worden heb je anders een export van (al) je firewall rules?

woensdag 20 mei 2026 08:48

Acties:
  • benme
  • Registratie: December 2004
  • Laatst online: 22-06 22:05

benme

Spontaan ontstaan zonder config wijziging en intermittent van karakter zou ik ook (een variant van) deze niet buiten beschouwing laten :  https://thehackernews.com/2026/04/russian-state-linked-apt28-exploits.html
Pagina: 1
Reageer