Skip to main content

Hallo, ik heb sinds kort odido en heb een mikrotik hap AX3.

 

mijn setup is als volgt:

 

Fysiek:

ONT van odido (huawei) --- cat6--- > ether1 mikrotik

 

Software:

ether1 met VLAN300 (DHCP client op de VLAN en krijg ook een public IP op deze VLAN van odido en kan ook in de mikrotik bijvoorbeeld google pingen. Dit stukje lijkt me in orde.

 

LAN-Bridge:

een bridge interface waaronder dus alle andere eth, veth poorten en wlan’s zitten

 

Firewall:

De standaard mikrotik firewall:

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

 

NAT:

Hier zit denk ik mijn probleem. Mijn NAT ziet er alsvolgt uit:

 

-src nat out. interface list: WAN (vlan300 en ether1 heb ik beide toegevoegd aan de WAN interface list) action: masquerade

-dstnat voor wireguard op een poort

-dstnat voor wireguard op een andere poort

-src nat out. interface: ether1 action: masquerade (overbodig denk ik)

-src nat out. interface: vlan300 action: masquerade (overbodig denk ik)

 

deze laatste 2 heb ik toegevoegd om te kijken of het dan misschien wel werkt. Ze lijken me overbodig gezien beide interfaces in de WAN interface list staan en ik die regel helemaal boven aan heb staan in mijn NAT configuratie zoals hierboven. Maakt ook geen verschil in de werking.

 

Naar mijn idee had ik nu internet moeten hebben, maar alles op mijn LAN-Bridge interface heeft geen verbinding met het internet. Mijn Mikrotik kan wel met het internet pingen en ook met apparaten op mijn LAN-bridge. Het lijkt me dat ik iets over het hoofd heb gezien of mis waardoor mijn LAN-bridge verkeer niet via eth1(of de vlan 300 dan?) naar buiten mag.

 

Hebben jullie een idee?

 

 

 

 

 

 

EDIT: Deze Mikrotik hing eerder gewoon via Ether2 aan een ziggo router. De bridge gateway was 192.168.178.3. Deze is nu gewijzigd naar 192.168.1 echter heb ik nooit de DHCP server die aan de bridge hangt bekeken. Ik vermoed dat de gateway daar nog op 192.168.178.3 staat en dat ik die moet wijzigen en alle leases hernieuwen. Kan het helaas nu niet testen, want ik ben op het werk maar kan dat mijn probleem veroorzaken?


Welke poorten heb je aan de bridge hangen? Is ether1 deel van de bridge (en ether2?)

Normaal zou zeggen maak ether1 deel van de switch, en maak een VLAN300 interface aan op de switch (en zet VLAN filtering aan op de bridge). Zorg er wel voor dat 1 interface (met de default 192.168.88.1 IP) buiten de switch blijft zodat je daarmee altijd kunt binnenkomen (of winbox op mac address).

 

Ether1 hoeft niet in de WAN list (tenzij je op de ONT wilt inloggen op de native VLAN)

Ik zie niet zo direct iets verkeerd in je setup. De laatste 2 regels in de NAT table kunnen inderdaad weg


Welke poorten heb je aan de bridge hangen? Is ether1 deel van de bridge (en ether2?)

Normaal zou zeggen maak ether1 deel van de switch, en maak een VLAN300 interface aan op de switch (en zet VLAN filtering aan op de bridge). Zorg er wel voor dat 1 interface (met de default 192.168.88.1 IP) buiten de switch blijft zodat je daarmee altijd kunt binnenkomen (of winbox op mac address).

 

Ether1 hoeft niet in de WAN list (tenzij je op de ONT wilt inloggen op de native VLAN)

Ik zie niet zo direct iets verkeerd in je setup. De laatste 2 regels in de NAT table kunnen inderdaad weg

Alle poorten, behalve ether 1, hangen aan de bridge. Ether 1 is echt apart met een vlan300 en direct aangesloten op de ONT.

 

Okay top, dan zal ik ether 1 uit de WAN lijst halen. Bedoel je met switch de bridge interface die ik al heb of bedoel je wat anders? Ergens heb ik ook het vermoeden dan de DHCP server op mijn bridge even opnieuw ingesteld moet worden. Deze was bij mijn ziggo setup 192.168.178.3 en is nu 192.168.178.1, maar ik heb nooit de leases vernieuw.

 

Bedankt voor je tips. Ik ga het vanavond allemaal uit proberen en laat wel weten wat daar uitkomt.


oops, ik bedoelde de bridge. Maar probeer ook eerst eens een ping naar een bekend IP-adres (8.8.8.8 of zo) vanaf de router. Kan de router naar buiten?  (/ping 8.8.8.8 op de CLI of via de web interface of Winbox)

Overlapt je interne DHCP range met 192.168.88.x?


oops, ik bedoelde de bridge. Maar probeer ook eerst eens een ping naar een bekend IP-adres (8.8.8.8 of zo) vanaf de router. Kan de router naar buiten? 

Overlapt je interne DHCP range met 192.168.88.x?

De mikrotik kan gewoon 8.8.8.8 pingen of google.com, dat werkt. 

 

mijn interne DHCP is in deze range 192.168.178.0/24


En die range heb je ook in de Mikrotik ingesteld? En daarna alle apparatuur opnieuw gestart?


Hing de mirkotik bij Ziggo in de DMZ of aan het modem in bridge mode? 

Kunnen je clients wel pingen naar 8.8.8.8?

Zie ik in de snippets van de config niks raars. Kan je eens een volledige export posten zonder gevoelige info ;) 


Hing de mirkotik bij Ziggo in de DMZ of aan het modem in bridge mode? 

Kunnen je clients wel pingen naar 8.8.8.8?

Zie ik in de snippets van de config niks raars. Kan je eens een volledige export posten zonder gevoelige info ;) 

De mikrotik hing bij ziggo in principe als een AP. Niet in de DMZ en ziggo modem was niet in bridge mode. Nee geen van clients kunnen naar buiten pingen. De mikrotik router wel! en ook naar de clients op mijn LAN-bridge.

 

Ik zal zo thuis even een xport sturen en hier posten


En die range heb je ook in de Mikrotik ingesteld? En daarna alle apparatuur opnieuw gestart?

Ik zal de DHCP server instellingen even na lopen en een hele export maken van mijn config


Het was de DHCP server. Door een stome fout van mij zelf had ik Vlan filtering aangezet en kon ik niet meer in de router (safe mode natuurlijk niet gebruit...) en moest ik met een nieuwe config beginnen.

 

Dit is nu mijn werkende setup met wireguard VPN en geforceerde DoH via nextDNS

 

/interface bridge
add admin-mac=**** auto-mac=no comment=defconf name=8-bridge
/interface ethernet
set t find default-name=ether1 ] name="1-WAN (ether1)"
set t find default-name=ether2 ] name="2-**** (ether2)"
set t find default-name=ether3 ] name="3-**** (ether3)"
set t find default-name=ether4 ] name="**** (ether4)"
set t find default-name=ether5 ] name=5-ether5
/interface wifiwave2
set t find default-name=wifi2 ] channel.band=2ghz-ax .skip-dfs-channels=10min-cac .width=20/40mhz configuration.mode=ap .ssid=**** disabled=\
    no name=6-2.4ghz security.authentication-types=wpa3-psk
set > find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=\
    "****" disabled=no name=7-5Ghz security.authentication-types=wpa3-psk
/interface wireguard
add listen-port=**** mtu=1420 name=WireGuard
/interface vlan
add interface="1-WAN (ether1)" name="vlan-internet(WAN)" vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=****-****
/ip dhcp-server
add address-pool=default-dhcp interface=8-bridge lease-time=10m name=defconf
/interface bridge port
add bridge=8-bridge comment=defconf interface="**** (ether2)"
add bridge=8-bridge comment=defconf interface="**** (ether3)"
add bridge=8-bridge comment=defconf interface="**** (ether4)"
add bridge=8-bridge comment=defconf interface=5-ether5
add bridge=8-bridge comment=defconf interface=7-5Ghz
add bridge=8-bridge comment=defconf interface=6-2.4ghz
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=8-bridge list=LAN
add comment=defconf interface="vlan-internet(WAN)" list=WAN
/interface wireguard peers
add allowed-address=****/32 client-address=****/32 client-dns=**** client-endpoint=**** \
    client-listen-port=**** comment="****" interface=WireGuard public-key="****"
add allowed-address=****/32 client-address=****/32 client-dns=**** client-endpoint=**** \
    client-listen-port=**** comment="****" interface=WireGuard public-key="****"
add allowed-address=****/32 client-address=****/32 client-dns=**** client-endpoint=**** \
    client-listen-port=**** comment="****" interface=WireGuard public-key="****"
/ip address
add address=****/24 comment=defconf interface=8-bridge network=****
add address=****/24 interface=WireGuard network=****
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface="vlan-internet(WAN)" use-peer-dns=no

/ip dhcp-server network
add address=****/24 comment=defconf dns-server=**** gateway=****
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/**** verify-doh-cert=yes
/ip dns static
add address=**** comment=defconf name=router.lan
add address=**** name=dns.nextdns.io
add address=****:: name=dns.nextdns.io type=AAAA
add address=****:: name=dns.nextdns.io type=AAAA
add address=**** name=dns.nextdns.io
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="WireGuard Connection" dst-port=**** protocol=udp
add action=accept chain=input comment="WireGuard Traffic" src-address=****/24
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=redirect chain=dstnat comment="Force DoH" dst-port=53 protocol=tcp
add action=redirect chain=dstnat comment="Force DoH" dst-port=53 protocol=udp
/ipv6 firewall address-list
add address=**** comment="defconf: unspecified address" list=bad_ipv6
add address=**** comment="defconf: lo" list=bad_ipv6
add address=**** comment="defconf: site-local" list=bad_ipv6
add address=**** comment="defconf: ipv4-mapped" list=bad_ipv6
add address=**** comment="defconf: ipv4 compat" list=bad_ipv6
add address=**** comment="defconf: discard only " list=bad_ipv6
add address=**** comment="defconf: documentation" list=bad_ipv6
add address=**** comment="defconf: ORCHID" list=bad_ipv6
add address=**** comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 


Reageer