Ben geen Mikrotik specialist, geloof dat er wel een aantal community members zijn die dit waarschijnlijk zo kunnen aangeven.
Maar zo even een gedachte, heb je wel een DHCP ingesteld voor je WAN interface?
@Pieter_B Ja, die is standaard ingesteld.
Denk dat het toch even wachten is op een Mikrotik kenner(s) binnen de community, kan je voor nu even niet verder helpen.
Volgens mij heb ik @louisL wel eens info zien delen over Mikrotik instellingen.
Sorry, ik was een daagje weg en had even maar beperkt internet toegang.
Het klinkt alsof je DHCP client luistert op de WAN interface zelf (eth1?). Die moet je verhuizen naar de VLAN300 interface (ip → dhcp-client → <jouw dhcp client>)
Heb je eth1 in de bridge hangen? Dat is min of meer de standaard instelling. Verhuis de vlan300 interface dan ook naar de bridge als interface (onder interface → vlan → jouw VLAN interface
@louisL Dit klinkt inderdaad precies als wat het is. Ga ik vanavond even proberen. Ik meld me met het resultaat. Alvast bedankt!
Beste @louisL, ten eerste bedankt voor je hulp. Ik ben al een stap verder, maar ben er nog niet.
Wat ik nu heb is:
vlan300: eth1
DHCP-client: vlan300
Met als resultaat dat de router een ipadres heeft en verbinding kan maken met internet (OS update uitgevoerd).
Echter:
- Als ik de vlan300 naar de bridge verplaats, krijg ik geen ipadres meer.
- De overige poorten maken nu geen verbinding met de wan.
Als ik het goed begrijp is de (defcon) bridge over alle vijf de ethernet poorten (eth1 (= wan) → master, eth2-5 → slave). Ik heb wel wat gelezen over bridges, maar begrijp het niet voldoende om de puzzel op te lossen.
De bridge is de logische represenatatie van de switch cihip met aparte configuratie voor de VLANs die zijn toegestaan.
In jouw geval kun de eth1 voorlopig gewoon uit de bridge halen/ houden (wel of niet bridge kan gevolgen hebben voor de mogelijkheid om hardware offloading toe te passen, zie onder). De VLAN300 blijft dan gewoon op ether1.
Als je die in de bridge wilt houden, definieer dan VLAN300 onder bridge → vlans:
- bridge: jouw bridge
- tagged: ether1
- je hebt een oude routeros versie, ik denk dat je dan je VLAN300 interface ook als untagged moet toevoegen.
De switch chip weet dan dat VLAN300 binnenkomt op ether1. Je zou dan weer een IP-adres moeten krijgen op de VLAN300 interface
Grote kans dat het dan nog niet werkt. Check of je vlan300 in de wan list staat (interfaces → interface list), zo niet toevoegen.
Ik gebruik hier steeds VLAN300, maar je kunt die interface benoeme zoals je wilt.
Check dan wel dat je bridge vlan filtering doet en ingress filtering (zet even safe mode (boven aan in de web interface) aan als je daar wat wijzigt. Je kunt jezelf mogelijk buitensluiten)
Hardware offloading kan je wel helpen met throughput, maar om je daarbij te helpen moet ik eerst weten wat het preciese model is van je Hex. Dat kan later wel. Eerst de basics werkend krijgen
Hoi @louisL
Ik begin mezelf erg dom te voelen hier . Ik heb mijn routeros geupgrade naar v7. Wilde niet automatisch, maar handmatig wel.
Ik denk dat ik me vergist heb over welke poorten er onder de bridge zitten. Als ik kijk bij Bridge -> Ports, dan staan daar alleen eth2-5 met als bridge "bridge". Eth1 is niet genoemd. Maar op het moment geen internet via eth2-5, wel op de router zelf (8.8.8.8 pingen werkt zoals verwacht). Ik heb op dit moment dus nog niets veranderd tov de vorige post.
Het gaat trouwens over een hex rb750gr3.
maak je maar niet druk over fouten: routerOS is flexibel en dus complex
Je benadert de router zelf op 192.168.88.1 neem ik aan?
Houdt om het voor nu eenvoudig te houden ether1 lekker buiten de bridge me vlan300 op ether1. Ik neem aan dat ether2 - ether5 allemaal vlan1 als PVID hebben?
Log eens in met ssh en toon de output van:
/ip/address/print
en
/ip/route/print
als je 8.8.8.8 kunt pingen?
en dan
/ip/firewall/filter print
/ip/firewall/nat/print
Ik vermoed dat er ergens iets round de firewall fout gaat.
Je kunt evt ook een export file=xxxx en die file aan je antwoord attachen
samen met de output van /ip/route/print en /ip/address/print
Ik zit inderdaad op 192.168.88.1 en eth2-5 hebben PVID 1. Hier is de output van waar je naar vroeg (allemaal defconf):
[admin@MikroTik] > /ip/address/print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
# ADDRESS NETWORK INTERFACE
;;; defconf
0 192.168.88.1/24 192.168.88.0 bridge
1 D 188.89.115.120/20 188.89.112.0 vlan internet
[admin@MikroTik] > /ip/route/print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP
Columns: DST-ADDRESS, GATEWAY, DISTANCE
DST-ADDRESS GATEWAY DISTANCE
DAd 0.0.0.0/0 188.89.112.1 1
DAc 188.89.112.0/20 vlan internet 0
DAc 192.168.88.0/24 bridge 0
[admin@MikroTik] > /ip/firewall/filter/print
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept
connection-state=established,related,untracked
2 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid
3 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
4 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
5 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
6 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
7 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
8 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes
connection-state=established,related
9 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked
10 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid
11 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN
[admin@MikroTik] > /ip/firewall/nat/print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none
Ik snap het ook niet. Hoe zit je op de router aangesloten? Laat me de routing table op de PC eens zien?
Ik blijf er over nadenken: check ook dat alle interface in de juiste lijst zitten:
interfaces → interface list
Alleen je vlan300 interface moet in de WAN list zitten, bridge in LAN
Als de PC echt 192.168.1.1 als default gateway heeft en de interface in de juiste list zitten: stuur me dan svp een export (DM).
Er zit toch niet een 2e router tussen de PC en de Hex?
Hoi @louisL
Ik had je reactie gisteren gemist en ben tot vrijdag niet meer thuis om zaken te testen. De pc zit met een enkele utp kabel zonder tussenkomende apparaten aangesloten op eth2. Verder is er niets aangesloten. De pc krijgt verbinding met de router (obvious), maar heeft dus geen internetverbinding. Ik zal vrijdag of zaterdag een export maken. Misschien kan ik het op dit punt beter ook op het mikrotikforum of op tweakers vragen? Het lijkt nu niet meer odido specifiek te zijn of heb ik dat verkeerd?
mikrotik forum kan zeker goed zijn. Maar die zullen ook eerst vragen om een export.
Voor nu:
print routing table:
ip → routes
en op de PC (windows)
ipconfig /print (denk ik, ik gebruik geen windows)
En check de interfaces → interface list
Hoe heb je de PC geconfigureerd? Manual of DHCP?
Hoi @louisL,
Sorry, ik was wat druk de laatste dagen. Hier een lading informatie, waar ik zelf behoorlijk weinig mee vooruit kom .
Windows laptop info:
Windows ipconfig
---------------------------------------------------------------------------
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) Ethernet Connection (6) I219-V
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::8027:2770:e87e:d592%29(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.88.254(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Sunday, 8 September 2024 08:42:55
Lease Expires . . . . . . . . . . : Sunday, 8 September 2024 09:18:04
Default Gateway . . . . . . . . . : 192.168.88.1
DHCP Server . . . . . . . . . . . : 192.168.88.1
DHCPv6 IAID . . . . . . . . . . . : 211352219
DNS Servers . . . . . . . . . . . : 192.168.88.1
NetBIOS over Tcpip. . . . . . . . : Disabled
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Windows route print:
---------------------------------------------------------------------------
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.254 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.88.0 255.255.255.0 On-link 192.168.88.254 281
192.168.88.254 255.255.255.255 On-link 192.168.88.254 281
192.168.88.255 255.255.255.255 On-link 192.168.88.254 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.88.254 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.88.254 281
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
29 281 fe80::/64 On-link
29 281 fe80::8027:2770:e87e:d592/128
On-link
1 331 ff00::/8 On-link
29 281 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
RouterOS config file:
# 1970-01-02 00:14:34 by RouterOS 7.15.3
# software id = SFL8-QTRL
#
# model = RB750Gr3
# serial number = ------------
/interface bridge
add admin-mac=--:--:--:--:--:-- auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name="vlan internet" vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add comment=defconf interface="vlan internet"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Ik ga nog verder kijken maar een eerste probleempje wat je problemen kan verklaren:
Je interface list members is niet correct: je hebt ether1 als WAN interface, dat moet je vlan 300 interface zijn (“vlan internet”). Verander dat onder interfaces -> interface list. De firewall (incl NAT) gebruikt die om te bepalen hoe verkeer behandeld moet worden.
Ik weet even niet of de namen van interface lists case sensitive zijn, mogelijk moet je een WAN (incl VLAN internet) en LAN (incl bridge) list aanmaken met de aangegeven members
Ik ga nog verder kijken maar een eerste probleempje wat je problemen kan verklaren:
Je interface list members is niet correct: je hebt ether1 als WAN interface, dat moet je vlan 300 interface zijn (“vlan internet”). Verander dat onder interfaces -> interface list. De firewall (incl NAT) gebruikt die om te bepalen hoe verkeer behandeld moet worden.
Ik weet even niet of de namen van interface lists case sensitive zijn, mogelijk moet je een WAN (incl VLAN internet) en LAN (incl bridge) list aanmaken met de aangegeven members
De WAN interface aanpassen naar vlan300 heeft het opgelost! Bedankt! Zijn er nog andere dingen die je waren opgevallen waar ik naar zou moeten/kunnen kijken?