Skip to main content

Ik heb volgens mij een vrij simpele opstelling, maar ik krijg het niet werkend. Ik heb een 1gbit glasvezelaansluiting die werkt met de zyxel. Ik wil het zyxel modem/router vervangen door een mikrotik hex met routeros. Hiervoor gebruik ik de defaultconfig en maak daarbij een vlan300 aan op de ether1 poort (waar de utp naar de ont/media converter op aangesloten is). Het probleem is dat de router daarna geen verbinding met internet heeft (geen ip adres). Ik heb al meerdere malen de ont en de router gereboot en ben één keer vanaf factory reset van de router begonnen, maar geen succes. Is er iemand die kan helpen?

Hieronder screenshots van de instellingen.

 

Ben geen Mikrotik specialist, geloof dat er wel een aantal community members zijn die dit waarschijnlijk zo kunnen aangeven.

Maar zo even een gedachte, heb je wel een DHCP ingesteld voor je WAN interface?

@Pieter_B Ja, die is standaard ingesteld.

Denk dat het toch even wachten is op een Mikrotik kenner(s) binnen de community, kan je voor nu even niet verder helpen.

Volgens mij heb ik @louisL wel eens info zien delen over Mikrotik instellingen.

Sorry, ik was een daagje weg en had even maar beperkt internet toegang.

Het klinkt alsof je DHCP client luistert op de WAN interface zelf (eth1?). Die moet je verhuizen naar de VLAN300 interface (ip → dhcp-client → <jouw dhcp client>)

Heb je eth1 in de bridge hangen? Dat is min of meer de standaard instelling. Verhuis de vlan300 interface dan ook naar de bridge als interface (onder interface → vlan → jouw VLAN interface

@louisL Dit klinkt inderdaad precies als wat het is. Ga ik vanavond even proberen. Ik meld me met het resultaat. Alvast bedankt! 

Beste @louisL, ten eerste bedankt voor je hulp. Ik ben al een stap verder, maar ben er nog niet. 

Wat ik nu heb is:

vlan300: eth1

DHCP-client: vlan300

Met als resultaat dat de router een ipadres heeft en verbinding kan maken met internet (OS update uitgevoerd).

Echter:

  1. Als ik de vlan300 naar de bridge verplaats, krijg ik geen ipadres meer.
  2. De overige poorten maken nu geen verbinding met de wan.

Als ik het goed begrijp is de (defcon) bridge over alle vijf de ethernet poorten (eth1 (= wan) → master, eth2-5 → slave). Ik heb wel wat gelezen over bridges, maar begrijp het niet voldoende om de puzzel op te lossen. 

De bridge is de logische represenatatie van de switch cihip met aparte configuratie voor de VLANs die zijn toegestaan.

In jouw geval kun de eth1 voorlopig gewoon uit de bridge halen/ houden (wel of niet bridge kan gevolgen hebben voor de mogelijkheid om hardware offloading toe te passen, zie onder). De VLAN300 blijft dan gewoon op ether1.

Als je die in de bridge wilt houden, definieer dan VLAN300  onder bridge → vlans:

  • bridge: jouw bridge
  • tagged: ether1
  • je hebt een oude routeros versie, ik denk dat je dan je VLAN300 interface ook als untagged moet toevoegen.

De switch chip weet dan dat VLAN300 binnenkomt op ether1. Je zou dan weer een IP-adres moeten krijgen op de VLAN300 interface

Grote kans dat het dan nog niet werkt. Check of je vlan300 in  de wan list staat (interfaces →  interface list), zo niet toevoegen.

Ik gebruik hier steeds VLAN300, maar je kunt die interface benoeme zoals je wilt.

Check dan wel dat je bridge vlan filtering doet en ingress filtering (zet even safe mode (boven aan in de web interface) aan als je daar wat wijzigt. Je kunt jezelf mogelijk buitensluiten)

Hardware offloading kan je wel helpen met throughput, maar om je daarbij te helpen moet ik eerst weten wat het preciese model is van je Hex. Dat kan later wel. Eerst de basics werkend krijgen

Hoi @louisL

Ik begin mezelf erg dom te voelen hier 😕. Ik heb mijn routeros geupgrade naar v7. Wilde niet automatisch, maar handmatig wel.

Ik denk dat ik me vergist heb over welke poorten er onder de bridge zitten. Als ik kijk bij Bridge -> Ports, dan staan daar alleen eth2-5 met als bridge "bridge". Eth1 is niet genoemd. Maar op het moment geen internet via eth2-5, wel op de router zelf (8.8.8.8 pingen werkt zoals verwacht). Ik heb op dit moment dus nog niets veranderd tov de vorige post.

Het gaat trouwens over een hex rb750gr3. 

maak je maar niet druk over fouten: routerOS is flexibel en dus complex

Je benadert de router zelf op 192.168.88.1 neem ik aan?

Houdt om het voor nu eenvoudig te houden ether1 lekker buiten de bridge me vlan300 op ether1. Ik neem aan dat ether2 - ether5 allemaal vlan1 als PVID hebben?

Log eens in met ssh en toon de output van:

/ip/address/print

en

/ip/route/print

als je 8.8.8.8 kunt pingen?

en dan

/ip/firewall/filter print

/ip/firewall/nat/print

Ik vermoed dat er ergens iets round de firewall fout gaat.

Je kunt evt ook een export file=xxxx en die file aan je antwoord attachen

samen met de output van /ip/route/print en /ip/address/print

 

 

Ik zit inderdaad op 192.168.88.1 en eth2-5 hebben PVID 1. Hier is de output van waar je naar vroeg (allemaal defconf):

[admin@MikroTik] > /ip/address/print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
#   ADDRESS            NETWORK       INTERFACE
;;; defconf
0   192.168.88.1/24    192.168.88.0  bridge
1 D 188.89.115.120/20  188.89.112.0  vlan internet

[admin@MikroTik] > /ip/route/print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP
Columns: DST-ADDRESS, GATEWAY, DISTANCE
    DST-ADDRESS      GATEWAY        DISTANCE
DAd 0.0.0.0/0        188.89.112.1          1
DAc 188.89.112.0/20  vlan internet         0
DAc 192.168.88.0/24  bridge                0

[admin@MikroTik] > /ip/firewall/filter/print
Flags: X - disabled, I - invalid; D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept
      connection-state=established,related,untracked

 2    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid

 3    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

 4    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1

 5    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN

 6    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec

 7    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

 8    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection hw-offload=yes
      connection-state=established,related

 9    ;;; defconf: accept established,related, untracked
      chain=forward action=accept
      connection-state=established,related,untracked

10    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid

11    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new
      connection-nat-state=!dstnat in-interface-list=WAN

[admin@MikroTik] > /ip/firewall/nat/print
Flags: X - disabled, I - invalid; D - dynamic
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN
      ipsec-policy=out,none

 

Ik snap het ook niet. Hoe zit je op de router aangesloten? Laat me de routing table op de PC eens zien?

Ik blijf er over nadenken: check ook dat alle interface in de juiste lijst zitten:

interfaces → interface list

Alleen je vlan300 interface moet in de WAN list zitten, bridge in LAN

Als de PC echt 192.168.1.1 als default gateway heeft en de interface in de juiste list zitten: stuur me dan svp een export (DM).

Er zit toch niet een 2e router tussen de PC en de Hex?

 

 

Hoi @louisL

Ik had je reactie gisteren gemist en ben tot vrijdag niet meer thuis om zaken te testen. De pc zit met een enkele utp kabel zonder tussenkomende apparaten aangesloten op eth2. Verder is er niets aangesloten. De pc krijgt verbinding met de router (obvious), maar heeft dus geen internetverbinding. Ik zal vrijdag of zaterdag een export maken. Misschien kan ik het op dit punt beter ook op het mikrotikforum of op tweakers vragen? Het lijkt nu niet meer odido specifiek te zijn of heb ik dat verkeerd? 

mikrotik forum kan zeker goed zijn. Maar die zullen ook eerst vragen om een export.

Voor nu:

print routing table:

ip → routes

en op de PC (windows)

ipconfig /print (denk ik, ik gebruik geen windows)

En check de interfaces → interface list

Hoe heb je de PC geconfigureerd? Manual of DHCP?

 

Hoi @louisL
Sorry, ik was wat druk de laatste dagen. Hier een lading informatie, waar ik zelf behoorlijk weinig mee vooruit kom 😃

Windows laptop info:

Windows ipconfig
---------------------------------------------------------------------------

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection (6) I219-V
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::8027:2770:e87e:d592%29(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.88.254(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Sunday, 8 September 2024 08:42:55
   Lease Expires . . . . . . . . . . : Sunday, 8 September 2024 09:18:04
   Default Gateway . . . . . . . . . : 192.168.88.1
   DHCP Server . . . . . . . . . . . : 192.168.88.1
   DHCPv6 IAID . . . . . . . . . . . : 211352219
   DNS Servers . . . . . . . . . . . : 192.168.88.1
   NetBIOS over Tcpip. . . . . . . . : Disabled


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Windows route print:
---------------------------------------------------------------------------

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.88.1   192.168.88.254     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.88.0    255.255.255.0         On-link    192.168.88.254    281
   192.168.88.254  255.255.255.255         On-link    192.168.88.254    281
   192.168.88.255  255.255.255.255         On-link    192.168.88.254    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.88.254    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.88.254    281
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    331 ::1/128                  On-link
 29    281 fe80::/64                On-link
 29    281 fe80::8027:2770:e87e:d592/128
                                    On-link
  1    331 ff00::/8                 On-link
 29    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

RouterOS config file:

# 1970-01-02 00:14:34 by RouterOS 7.15.3
# software id = SFL8-QTRL
#
# model = RB750Gr3
# serial number = ------------
/interface bridge
add admin-mac=--:--:--:--:--:-- auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name="vlan internet" vlan-id=300
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface="vlan internet"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
    dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

Ik ga nog verder kijken maar een eerste probleempje wat je problemen kan verklaren:

Je interface list members is niet correct: je  hebt ether1  als WAN interface, dat moet je vlan 300 interface zijn (“vlan  internet”). Verander dat onder interfaces -> interface list. De firewall (incl NAT) gebruikt die om te bepalen hoe verkeer behandeld moet worden.

Ik weet even niet of de namen van interface lists case sensitive zijn, mogelijk moet je een WAN (incl VLAN internet) en LAN (incl bridge) list aanmaken met de aangegeven members

 

 

Kijk eens of je met deze Github info verder komt;

https://github.com/Eigenrouter/eigenrouter/blob/main/guides/mikrotik/t-mobile/Mikrotik-Internet-only.md

Ik ga nog verder kijken maar een eerste probleempje wat je problemen kan verklaren:

Je interface list members is niet correct: je  hebt ether1  als WAN interface, dat moet je vlan 300 interface zijn (“vlan  internet”). Verander dat onder interfaces -> interface list. De firewall (incl NAT) gebruikt die om te bepalen hoe verkeer behandeld moet worden.

Ik weet even niet of de namen van interface lists case sensitive zijn, mogelijk moet je een WAN (incl VLAN internet) en LAN (incl bridge) list aanmaken met de aangegeven members

 

 

De WAN interface aanpassen naar vlan300 heeft het opgelost! Bedankt! Zijn er nog andere dingen die je waren opgevallen waar ik naar zou moeten/kunnen kijken?

Reageer


ForumvoorwaardenCookie instellingen