[Sammelthread] MikroTik Geräte

Weiß jemand, ob die QSFP+-Slots des CRS326-24S+2Q+RM "polaritätssensitiv" sind, man bei einem MPO-Kabel zwingend auf eine PolA-Verbindung zwischen Klient und Switch haben muss oder man wie bei einer Direktverbindung zwischen zwei Netzwerkkarten mit QSFP+ auch PolB verwenden kann (dort ist PolB ja Pflicht)?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo,
ich brauche mal wieder eure Hilfe.

Ich habe mir zur Erweiterung meines Netzwerks einen neuen Access Point ( cAP ac) gekauft. Ich betreibe einen Access Point von Zyxel (NWA1123-AC-PRO) im Netzwerk. Das Wifi soll nun durch den MikroTik erweitert werden. Ggf. tausche ich den Zyxel auch noch aus, aber aktuell würde ich gerne beide Geräte betreiben.

Der Router ist ein RB3011UiAS-RM (DNS, DHCP, Firewall laufen darüber).

Mein Zyxcel sendet meine SSID auf 2,4 & 5 GHz aus (es ist die gleiche SSID). Manuell auf Kanal 8 und Kanal 40.

Im cAP ac habe ich eine Bridge angelegt und dort meine beiden Ethernet Ports sowie die beiden Wlan Interfaces hinzugefügt, einen DHCP Client eingerichtet um eine IP & die restlichen Daten vom Router zu bekommen. Die beiden WLAN-Interfaces sind als AP-Bridge eingerichtet.

Ich habe meine SSID eingerichtet - identisch zum Zyxel und habe hier die Kanäle 13 und 128 vergeben.

Allerdings kann ich mich mit keinem Gerät auf die 5GHz verbinden. In der Bridge wird mir der Port als "Disabled Port" angezeigt.
Auch bin ich mir noch nicht sicher, was ich bei Antenna Gain einstellen soll. 2 bzw. 3 dBi sind ja das Minimum. Was würdet ihr empfehlen.

Ziel des ganzen soll es sein, dass meine Geräte je nach Empfangsstärke sich entweder mit dem Zyxel oder dem MikroTik verbinden und bevorzugt natürlich im 5 GHz Bereich, wenn diese das unterstützen.

Vielen Dank!

PS: Was Netzwerke betrifft bin ich eher ein Anfänger und sehe sowas immer als Gelegenheit zum lernen. Habt daher bitte Nachsicht :oops:
 
Ziel des ganzen soll es sein, dass meine Geräte je nach Empfangsstärke sich entweder mit dem Zyxel oder dem MikroTik verbinden und bevorzugt natürlich im 5 GHz Bereich, wenn diese das unterstützen.

Viel Spaß.
Das WiFi-Roaming ist Endgeräte-basiert und zw. unterschiedlichen Herstellern eher schwierig.
Säubere deine Infrastruktur und regel alles mit Mikrotiks, dann könntest du z.B. auf dem Routerboard CAPSMan aktivieren und die Acesspoints, SSIDs und Kanäle sauber zentral verwalten.
Weiterhin ist damit auch die Möglichkeit gegeben, die Endgeräte (un-)sanft zum Roaming zu zwingen.
(Du kannst MAC-basiert Empfangsstärken verwalten, bei denen Endgeräte vom CAPSMan getrennt werden, dann wählen sie sich selbst wieder in das stärkste WLAN ein.)
Disabled Port könnte meinen, dass die Regionseinstellungen im Mikrotik falsch sind.

Mit Mikrotik hast du eine schöne, steile Lernkurve gewählt, aber du wirst definitiv sehr viel über Netzwerke dabei lernen. =)
 
Der Sinn erschließt sich mir aber noch nicht was ich mit SFP und 1.25gbit soll....?
Der SFP-Cage ermöglicht das Nachrüsten verschiedenster Schnittstellen. Z.B. könntest Du dort ein SFP-VDSL-Modem einstecken. Oder irgendwas, was dir ein physikalisches vorhandenes Medium jenseits von CAT nutzbar macht.
Hört sich erstmal ganz nett an, ist aber, nach dem was ich bisher darüber gelesen habe, eher ein steiniger Weg. Aber prinzipiell ist das wohl die Idee. Ein Erweiterungssteckplatz mit einer Standardisierten Schnittstelle zum Gerät.
 
Da kannst du beruhig von einem Fehler bei Heise / Geizhals ausgehen.
Ich habe (oder hatte mal) alle der drei genannten Modelle, sind alle passiv gekühlt, keins davon hat einen Lüfter.
 
Der SFP-Cage ermöglicht das Nachrüsten verschiedenster Schnittstellen. Z.B. könntest Du dort ein SFP-VDSL-Modem einstecken.

Das ist mit nichten der Fall. SFP ist erstmal ein Formfaktor, was da genau drinsteckt, sagt einem der Name so erstmal nicht.
Es gibt verschiedene konkrete SFP-Ausprägungen, am bekanntesten dürfte Ethernet oder auch fibre-channel sein.
Mit einem SFP macht man aber aus einem Ethernetport kein VDSL-Port, da wäre zu einfach.

Und schongarnicht bei dem beschriebenen Produkt, was ein reines Switch ist.

Der SFP dient erstmal dazu, wie schon richtig angeführt, unterschiedliche physikalische Medien und konkrete Varianten davon anzuschließen.
Früher, als es diese Modularität nicht gab, hatte ein Switch z.B. 100Mbit short range. Wollte man aber long range haben, Arschkarte....
Irgendwann gab es dann prorietäre Varianten, dann gbic und dann SFPs.

Dennoch ist das SPF-Modul erstmal ein Geräte welches ein Signal in ein anderes Signal wandelt. Und es gibt erstmal lediglich Absprachen innerhalb der MSA, wie das el. Interface vom SFP (Modul-Hauptgerät) aussieht und wie das Managementinterface des SFP aussieht.
Weitere Medienintelligenz da drin ist, ist da aber erstmal nicht enthalten.
Alle Sachen, die außerhalb der MSA stattfinden sind proprietär und damit nicht zwingend interoperabel.
Baut AVM also ein DSL-SFP und implementiert das in ihre Fritzbox, heißt das nicht, dass das auch in einem anderen Router funktionieren muss. Dabei geht es noch garnicht im das Branding, sondern lediglich im die Basisfunktionalität.
So gibt es z.B. SFPs, die haben zwar nach außen DSL, "tun" aber so, als wären sie Ethernettransceiver. Man braucht also zwei passende SFPs und kann dann damit über Klingeldraht z.B. zwei Mikrotiks verbinden.
(das ist also so etwsa ähnliches wie die Allnet Ethernet-DSL-Ethernet Geschichte)
Und die MT wissen garnicht, dass sie eigentlich DSL machen. Aber das bedeutet jetzt nicht, dass man mit einem Modul plötzlich an den DSLAM der Telekom ran kann.

Da kann man jetzt noch 8h Vortrag über SFP und Co abhalten, bringt hier aber den wenigsten etwas.

Letztendlich ermöglicht das z.B. in dem Fall, dass man den Switch an ein Backbone via LWL anzuschließen kann und der Kunde legt dann fest, wie das konkret aussehen soll.
Das muss nicht immer mit 10GBE passieren, manchmal reicht auch 1GBE aus, weil das evtl. nur für einen Druck/Scan-Raum gedacht ist oder für ein Praktikantenbüro oder oder oder.
Ich habe hier auch nen Switch mit 4x SFP, von dem ich, seit dem ich den habe (immerhin >10 Jahre) , noch nie die Schutzkappe rausgezogen habe...
 
Zuletzt bearbeitet:
Hallo zusammen,

ich nutze neben meinem Hex S (dhcp) einen PiHole (DNS).Jetzt hätte ich gerne die Namensauflösung konfiguriert.


Dazu habe ich folgende Einstellungen vorgenommen

- Domain im Hex S definiert
- allow remote requests aktiviert

- im Pihole conditional forwarding aktiviert, sowie IP und domain vom Hex S eingetragen.

Soweit so gut, dass funktioniert.


Nur habe ich Bauchschmerzen mit "allow remote requests".Da ich hier nicht definieren kann für welche Schnittstelle das gilt, gehe ich davon aus, dass es alle betrifft - also auch WAN.


Daher vorerst wieder deaktiviert.

Jetzt ist die Frage ob ich damit richtig liege und ob ich dass ausschließlich für das LAN nutzen kann - ich will mir hier kein Loch in den Router konfigurieren...

Gruß

Lucky
 
Wenn Du die Default Firewall Policy noch aktiv hast, dann blockiert er an der WAN Schnittstelle fast(?) alles. DNS ist keinesfalls erlaubt. Und Mikrotik Dienste bohren keine Löcher in die FW, das musst Du immer explizit freigeben.

Mach doch mal ein "/ip firewall filter export", dann kann ich Dir mehr sagen.
 
Hier die Ausgabe.Ich selbst habe nur zwei drop Regeln hinzugefügt und eine Portweiterleitung für meinen Wireguard Server.


Code:
[luckysh0t@MikroTik] > /ip firewall filter export
# may/13/2020 15:16:25 by RouterOS 6.46.6
#
#
# model =
# serial number =
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=Itunesserver src-mac-address=\
    xx:xx:xx:xx:xx:xx
add action=drop chain=forward comment=Filer src-mac-address=xx:xx:xx:xx:xx:xx
 
Zuletzt bearbeitet:
In Deiner fünften Regel wird alles, was an die WAN Schnittstelle geht und vorher nicht explizit erlaubt wurde, endgültig verworfen. DNS ist nicht dabei, passt also.

Zu Sicherheit könntest Du nochmal schauen, dass das WAN Interface nicht in der Liste LAN-Interfaces ist, aber ist sehr unwahrscheinlich :)
 
Alles klar, vielen Dank.

Meinst du dass mit der Liste ?
 

Anhänge

  • Bild.png
    Bild.png
    4 KB · Aufrufe: 181
Ja. An ether1 hängt Dein Modem/Fritzbox, oder? Dann ist alles safe.
 
Servus,

ich bin vor kurzem auf einen Mikrotik Hex S umgestiegen, und könnte etwas Unterstützung gebrauchen.

Mein Setup ist wie folgt:
T-Com -> Draytek Vigor 2860 (als Modem ohne Zugansdaten) ->Mikrotik Hex S (Verbindungsdaten inkl. VLan7 an ether1 - DHCP) -> Mirkrotik CRS317 -> Mikrotik CRS305
-> non Managed Switch
Die Einwahl funktioniert soweit ich das bisher beurteilen kann stabil. DIe Firewall Regeln sind standard bis auf entsprechende Portweiterleitungen an bestimmte Server.

Alle Services Bis auf den Winbox Service sind deaktiviert.
Code:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Ein entsprechender User (Group full) ist angelegt der admin User entfernt.

- Was muss man im Keepalive Timeout zum PPPoE-out1 eintragen, damit die Verbindung nicht getrennt wird? Aktuell steht es auf 10

- Den DDNS (dyn.com) habe ich bereits mit einem Script entsprechend zum Update angesprochen. Ein Update erfolgt, nach bisherigen Tests fehlerfrei.
Wie könnte man das Script anpassen, das es ein Bulk update aller angelegten Hostnames macht? Also ggf. um die einzelne Anlage diverser DDNS-Update Scripts herum zu kommen.

Code:
:global ddnsuser "usr"
:global ddnspass "token"
:global theinterface "pppoe-out1"
:global ddnshost xxx.dyndns.org
:global ipddns [:resolve $ddnshost];
:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
   :log info ("DynDNS: No ip address on $theinterface .")
} else={
   :for i from=( [:len $ipfresh] - 1) to=0 do={
      :if ( [:pick $ipfresh $i] = "/") do={
    :set ipfresh [:pick $ipfresh 0 $i];
      }
}
:if ($ipddns != $ipfresh) do={
    :log info ("DynDNS: IP-DynDNS = $ipddns")
    :log info ("DynDNS: IP-Fresh = $ipfresh")
   :log info "DynDNS: Update IP needed, Sending UPDATE...!"
   :global str "/nic/update\?hostname=$ddnshost&myip=$ipfresh&wildcard=OFF&system=dyndns&mx=&backmx=NO"
   /tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser \
         password=$ddnspass dst-path=("/DynDNS.".$ddnshost)
    :delay 1
    :global str [/file find name="DynDNS.$ddnshost"];
    /file remove $str
    :global ipddns $ipfresh
  :log info "DynDNS: IP updated to $ipfresh!"
    } else={
     :log info "DynDNS: dont need changes";
    }
}

Folgenden scheduler habe ich dazu angelegt:

Code:
/system scheduler
add interval=1m name=DynDns on-event=DynDns policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-time=startup

Verstehe ich das richtig, das dieser nur zum Start des Mikrotik aktiv ist? Bzw kann man ihn anhand eines log events z.b. Verbindung-hergestellt , oder Änderung der WAN IP triggern?


- Ein merkwürdiges Verhalten habe ich festgestellt. Wenn ich mich per WLAN über meine Ubiquiti AP (sind in verschiedenen Stockwerken/an verschiedenen Switches) von meinem Handy per Teamspeak 3 App auf einen externen Teamspeak verbinde funktioniert die Verbindung. Soweit so gut.
Wenn ich allerdings von meinem Win10 PC (Kabelgebunden am CRS305 Bezug per DHCP) per Teamspeak auf einen externen Teamspeak Server Verbinden möchte schlägt der Connect fehl. Im Bitdefender Ist eine automatische allow regel zum Ts3 an alle Netzwerke alle Protokolle Ports beide richtungen aktiv.
Mein lokaler Teamspeak ist ensprechend lokal von allen Geräten zu erreichen, egal ob WLAN oder LAN per Kabel.

Könnte dieses Verhalten durch eine Firewall Regel verursacht werden? Die Firewall ist Standard bis auf entsprechende Port Freigaben.

Folgend ein Auszug:
Code:
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=00.00.00.00 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="xxx" dst-port=000 \
    in-interface=pppoe-out1 protocol=udp to-addresses=00.00.00.00 to-ports=\
    000

Dann noch die Frage wie ändere ich in /ip dns static add address=00.00.00.00 comment=defconf name=router.lan
den name router.lan gibt es hier einen Menüpunkt zum einstellen?
Ist dies der Name über den der Hex S anzusprechen ist? Den es gibt ja noch den Punkt Identity. Was wäre hier der Unterschied?

Für Infos wäre ich wie immer dankbar. Hoffe mal das waren jetzt nicht zu viele Fragen auf einmal.

Grüße
Elektromat
 
Hallo,

gibt es hier aktuell Leute, die WLAN über Mikrotik realisieren?

Meine Frage wäre, wie ist der Mikrotik CAP AC gegenüber dem Unifi AC Pro einzuordnen?

Kann man die APs vergleichen / gegegenüberstellen?

Funktioniert zb die Clientübergabe reibung?

Würde mir dann 2-3 APs holen, später ggfs noch ein Outdoor Mikrotik AP.

Danke!
 
Das sind wirklich eine Menge Fragen :unsure: :LOL:

Was muss man im Keepalive Timeout zum PPPoE-out1 eintragen, damit die Verbindung nicht getrennt wird? Aktuell steht es auf 10

"Früher" zu T-DSL Zeiten wurden mal allgemein 120 Sekunden für PPPoE Verbindungen empfohlen, könnte auch nach wie vor der Standardwert auf Seiten der Internetanbieter sein, bevor (abgesehen von einer Zangstrennung) die Verbindung getrennt werden würde. Aktuell würde dein Mikrotik Router von sich aus nach 10 Sekunden trennen, wenn gar nichts auf der Leitung los ist.
Wenn du hier einen Wert größer 60 Sekunden wählst, dürfte allein dein DynDNS Scheduler (siehe weiter unten) ausreichen um die Verbindung bis zur nächsten Zwangstrennung offen zu halten. Auch gibt es heutzutage auch eh schon soviel "Hintergrundrauschen" im Internet (Portscans/Botnets die alle IPs abklappern, Programme die nach Hause telefonieren, ein VoIP Telefon/Telefonanlage das seine Verbidnung hält, usw.) so dass eh immer etwas Traffik auf der Leitung ist und es zu keinem Timeout kommt.

/system scheduler
add interval=1m name=DynDns on-event=DynDns policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-time=startup[/CODE]

Verstehe ich das richtig, das dieser nur zum Start des Mikrotik aktiv ist? Bzw kann man ihn anhand eines log events z.b. Verbindung-hergestellt , oder Änderung der WAN IP triggern?
Das Script startet über den Scheduler wenn der Router gestartet wird ( start-time=startup ) und wird dann jede Minute 1x ausgeführt ( interval=1m ), dauert also im schlimmsten Fall eine Minute bis nach einer Trennung die neue IP an DynDNS übermittelt wurde. Das lässt sich von Scripting Veteranen bestimmt auch auf mehrere Hosts anpassen, für den Anfang hätte ich es mir einfach gemacht und für jeden DynDNS Host ein Script angelegt und alle Scripte im Scheduler hinterlegt.

Wenn ich allerdings von meinem Win10 PC (Kabelgebunden am CRS305 Bezug per DHCP) per Teamspeak auf einen externen Teamspeak Server Verbinden möchte schlägt der Connect fehl.
Könnte dieses Verhalten durch eine Firewall Regel verursacht werden? Die Firewall ist Standard bis auf entsprechende Port Freigaben.

Wenn noch fast alles auf der Default Konfig ist wird ausgehend, Richtung Internet eigentlich nichts rausgefiltert.
Da "pppoe-out1" deine Schnittestelle zum Internet ist, solltest du aber unbedingt prüfen ob auch das "pppoe-out1" Interface in der Interface-Liste "WAN" eingetragen ist, sonst greifen unter anderem nicht mehr alle Default Regeln, die den Router von z.B. von außern absichern sollen. In der Default Konfig ist dort glaube ich nur die "ether1" Schnittstelle hinterlegt.
Kontrollieren über "/interface list print where name=WAN" oder in der GUI unter "Interface" -> "Interface List" schauen wo/ob dort pppoe-out1 auftauscht und ggf. hinzufügen.

Dann noch die Frage wie ändere ich in /ip dns static add address=00.00.00.00 comment=defconf name=router.lan
den name router.lan gibt es hier einen Menüpunkt zum einstellen?
Ist dies der Name über den der Hex S anzusprechen ist? Den es gibt ja noch den Punkt Identity. Was wäre hier der Unterschied?
Einfach ausgedrückt:
Identity = eine Bezeichnung die der Router bekommen soll, nutzt er z.B. für die "Neighbour Discovery" gegenüber anderen Geräten, oder wenn man z.B. wenn du auf der Kommandozeile arbeitet auch hilfreich, um im Blick zubehalten auf welchen Router/Switch man den gerade verbunden ist. Wenn man nur ein Mikrotik Gerät im LAN hat, anfangs wohl erstmal weniger interessant.

router.lan ist dagegen der DNS Name unter dem man den Router im Netzwerk erreichen können will (sofern man den Mikrotik auch als DNS Server nutzt), wenn man sich nur über die IP direkt verbindet auch erstmal wenig relevant. Über Winbox/Webgui änderbar (IP -> DNS -> Button "Static") kann man die im Router hinterlegten festen DNS Einträge bearbeiten, oder auch weitere eigene DNS Einträge erstellen.
 
Erst mal tausend dank für die Infos. Das bringt mich schon mal in eine bessere Richtung.

Wenn noch fast alles auf der Default Konfig ist wird ausgehend, Richtung Internet eigentlich nichts rausgefiltert.
Da "pppoe-out1" deine Schnittestelle zum Internet ist, solltest du aber unbedingt prüfen ob auch das "pppoe-out1" Interface in der Interface-Liste "WAN" eingetragen ist, sonst greifen unter anderem nicht mehr alle Default Regeln, die den Router von z.B. von außern absichern sollen. In der Default Konfig ist dort glaube ich nur die "ether1" Schnittstelle hinterlegt.
Kontrollieren über "/interface list print where name=WAN" oder in der GUI unter "Interface" -> "Interface List" schauen wo/ob dort pppoe-out1 auftauscht und ggf. hinzufügen.

So ist es aktuell eingerichtet:

1589577363699.png


Ist als WAN hinterlegt

Ist es normal das ich meinen ESxI / das vCenter (beide statisch) im standard nicht per Namen erreichen kann? Da fehlt bestimmt auch der Richtige bezug.
Habe das vcenter z.b. mit vcenter.home.name hinterlegt Muss man im MT oder im Pihole für den korrekten bezug sorgen?
im DHCP hatte ich ebenfalls die home.name hinterlegt. Nicht das das ein schritt zu viel war.
Ich hatte vor allem vergessen zu erwähnen das ich einen Pihole im Einsatz habe, der per DHCP als DNS verteilt wird. Oder wenn statisch eingerichtet direkt hinterlegt ist.
Beitrag automatisch zusammengeführt:

Verstehe ich das richtig, das ich dort für meine Geräte einen Static entry hinterlegen kann das sie auch korrekt aufgelöst werden, also nicht nur der MT Router selbst.
 
Zuletzt bearbeitet:
Ja, dort könnte nach belieben weitere eigene Static DNS Einträge anlegen, wenn allerdings dein piHole auf allen Geräten als DNS Server benutzt wird, müsste dort der Bezug zwischen IP und internen Namen für z.B. ESXi und vCenter erfolgen.

Wenn überhaupt kein Client den Mikrotik Router als DNS Server eingetragen hat (auch nicht der pihole), könnte man theoretisch den DNS Server im Mikrotik auch ganz abschalten, wäre dann ein Dienst weniger der auf dem Router läuft ( IP -> DNS den Haken bei "Allow Remote Requests" raus).
 
Da der piHole in einer VM in meinem ESxI läuft, wäre es vermutlich besser wenn auch als Backup der Router einspringen kann wenn es um DNS anfragen geht. Also sollte die piHole VM nicht erreichbar oder aus sein. Von so an verteile ich lieber auch den Router als zweiten DNS.
 
PPPoE Timeout dürfte relativ wurst sein, der Default von 10s läuft bei mir seit Jahren ohne Probleme und er bedeutet nicht, dass wenn 10s nichts an Nutzdaten über die Leitung lief, die Verbindung getrennt wird. Eine Erhöhung schadet aber auch nicht, er wird wahrscheinlich nur im Falle einer Trennung später reconnecten.

Da "pppoe-out1" deine Schnittestelle zum Internet ist, solltest du aber unbedingt prüfen ob auch das "pppoe-out1" Interface in der Interface-Liste "WAN" eingetragen ist, sonst greifen unter anderem nicht mehr alle Default Regeln, die den Router von z.B. von außern absichern sollen. In der Default Konfig ist dort glaube ich nur die "ether1" Schnittstelle hinterlegt.
Das stimmt nicht ganz. Die Default Regeln beziehen sich auf alles außer Liste LAN. Wenn er es dort nicht aktiv eingetragen hat, ändert sich nichts und er ist safe.
Das ursprüngliche Teamspeak Problem habe ich leider nicht ganz verstanden.

Da der piHole in einer VM in meinem ESxI läuft, wäre es vermutlich besser wenn auch als Backup der Router einspringen kann wenn es um DNS anfragen geht. Also sollte die piHole VM nicht erreichbar oder aus sein. Von so an verteile ich lieber auch den Router als zweiten DNS.
Die Geschichte mit dem zweiten DNS als Backup-DNS funktioniert leider fast nie, wie man intuitiv denken würde. Es gehen (egal ob Windows oder andere) auch im Normalfall (erster DNS erreichbar) auch Requests an den zweiten. Und sobald der erste fehlschlägt, gehen auch auch dorthin noch nachfolgende Requests.
Sinnvoller wäre folgendes: Den Mikrotik als DNS per DHCP vergeben und der regelt dann per Script selbst, wen er als erreichbaren Upstream DNS befragen will. Damit ist Dir auch von der Backe, dass mal ein DNS/pihole off genommen wird, aber Deine Rechner je nach Lease Time noch tagelang versuchen, diesen DNS zu erreichen. Ein Script hierfür hatte ich mir auch erst vor einigen Tagen gebaut, falls gewünscht.
Beitrag automatisch zusammengeführt:

Meine Frage wäre, wie ist der Mikrotik CAP AC gegenüber dem Unifi AC Pro einzuordnen?
Kann man die APs vergleichen / gegegenüberstellen?
Funktioniert zb die Clientübergabe reibung?
Würde mir dann 2-3 APs holen, später ggfs noch ein Outdoor Mikrotik AP.

Hi, ich habe bei jemand anderem acht cAP ac und ein 60GHz Bridge-Päarchen verbaut und das läuft reibungslos. Privat habe ich fünf cAP acs, zwei cAP lite und einen wAP ac für draußen im Einsatz. Laufen ebenfalls sehr gut, bedarf aber schon auch einer geplanten Konfiguration. Über capsman gut machbar, aber man muss sich wie bei jedem größeren WLAN Projekt schon Gedanken machen und auch entsprechend konfigurieren.
Seamless Handing im Sinne 802.11r/k können Mikrotik APs bisher nicht.
Obwohl ich eher MikroTik FanBoy bin, haben meiner Meinung nach die UBNT Dinger bzgl. Wireless eher die Nase vorne. MT ist sehr gut und hat extrem vielfältige Konfigurationsmöglichkeiten (aber auch Pflichten!). UBNT ist eher plug-and-play. Punkt für Ubiquiti aber weil die Leistungen und Durchsätze meiner Meinung nach im WLAN-Bereich noch etwas höher sind. Sind aber auch teurer und meiner Meinung nach zu sehr von Zusatzprodukten etc abhängig.
 
Zuletzt bearbeitet:
PPPoE Timeout dürfte relativ wurst sein, der Default von 10s läuft bei mir seit Jahren ohne Probleme und er bedeutet nicht, dass wenn 10s nichts an Nutzdaten über die Leitung lief, die Verbindung getrennt wird. Eine Erhöhung schadet aber auch nicht, er wird wahrscheinlich nur im Falle einer Trennung später reconnecten.
Ich lass es erst mal laufen, es wird sich zeigen wie es sich verhält. Aktuell sieht es gut aus. Die Verbindung bleibt aktiv.


Das ursprüngliche Teamspeak Problem habe ich leider nicht ganz verstanden.
Die Sachlage is so das ich von meinem Handy im WLAN (die Ubiquiti APs beziehen per DHCP) problemlos per Ts3 App auf externe TS Server ausserhalb meines Netzwerkes verbinden kann.
Von Meinem Win 10 Pro rechner schlägt selbst die verbindung zum Teamspeak Public Server fehl. Ich bekomme einfach keinen Connect. Als der Vigor noch der Router war ging es von allen Rechnern.
Oder auch vom Handy. So ganz verstehe ich es auch nicht warum es per WLAN am Handy geht aber per Kabel am PC nicht.

Könnt mal testen wie scih mein PC verhält wenn ich ihn ins WLAN hänge, ob es dann geht..



Die Geschichte mit dem zweiten DNS als Backup-DNS funktioniert leider fast nie, wie man intuitiv denken würde. Es gehen (egal ob Windows oder andere) auch im Normalfall (erster DNS erreichbar) auch Requests an den zweiten. Und sobald der erste fehlschlägt, gehen auch auch dorthin noch nachfolgende Requests.
Sinnvoller wäre folgendes: Den Mikrotik als DNS per DHCP vergeben und der regelt dann per Script selbst, wen er als erreichbaren Upstream DNS befragen will. Damit ist Dir auch von der Backe, dass mal ein DNS/pihole off genommen wird, aber Deine Rechner je nach Lease Time noch tagelang versuchen, diesen DNS zu erreichen. Ein Script hierfür hatte ich mir auch erst vor einigen Tagen gebaut, falls gewünscht.
Jetzt wo ich das so lese wird mir einiges klar. Das erklärt so manches verhalten. Wenn ich nur den MT als DNS per DHCP verteile, wo wird dann der Pihole hinterlegt, das dieser noch seinen Dienst verrichtet?
Kann grad die Laufwege nicht so ganz nachvollziehen.

Im standard Stellt der Provider ja entsprechende DNS zur verfügung (extern). Oder auch Cloudflare etc. Nun habe ich den MT und den Pihole als lokale option. Wobei der Pihole ja in jedem Falle angefragt werden muss. Wie oder wo hinterlegt man am besten wen. Und was bekommen dann die Statisch vergebenen geräte, nur die MT der dann über den Pi aushandelt, da der Pi ja auch externe DNS einträge hinterlegt bekommt?
Ein entsprechendes Script wäre super.
 
Könnt mal testen wie scih mein PC verhält wenn ich ihn ins WLAN hänge, ob es dann geht..
Mach das mal. Wirklich erkennen kann ich das Problem anhand bisher gestellter Infos nicht. Kannst mal einen "/export hide-sensitive" auf alles machen, dann wühle ich mich bei Gelgenheit mal durch.

Wenn ich nur den MT als DNS per DHCP verteile, wo wird dann der Pihole hinterlegt, das dieser noch seinen Dienst verrichtet?
Kann grad die Laufwege nicht so ganz nachvollziehen.
Alle Geräte (egal ob DHCP oder statisch sollten den MT bekommen. Der kümmert sich dann um den Rest. Im Regelfall sollte der MT dann den piHole als DNS haben und Du in der PPPoE Verbindung die Dynamic DNS Servers ausschalten.
Meion Script sieht so aus, dass er zunächst zwei Domaincontroller an unterschiedlichen Standorten befragt, dann Cloudflare, dann Google. In dieser Rehenfolge wird der "beste" DNS eingetragen. Wenn keiner funktioniert, geht er von einem Fehler aus und lässt alles beim alten.
Code:
/system script
add dont-require-permissions=no name=dns-failover owner=martin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local queryDomain \"google.de\"\r\
    \n:local dnsServerList { 10.1.10.2; 10.0.10.2; 1.1.1.1; 8.8.8.8 }\r\
    \n\r\
    \n:local currentDnsServer [ /ip dns get servers ]\r\
    \n:local newDnsServer false\r\
    \n\r\
    \n:foreach dnsServer in=\$dnsServerList do={\r\
    \n    :if ( \$newDnsServer = false ) do={\r\
    \n        :do {\r\
    \n            :resolve server=\$dnsServer domain-name=\$queryDomain\r\
    \n            :set newDnsServer { \$dnsServer }\r\
    \n        } on-error={\r\
    \n            :log info \"DNS failed resolving \$queryDomain: \$dnsServer\"\r\
    \n        }\r\
    \n    }\r\
    \n}\r\
    \n\r\
    \n:if ( \$newDnsServer = false ) do={\r\
    \n    :log error \"All DNS failed resolving \$queryDomain. Assuming common failure and aborting withoud doing anything.\"\r\
    \n    :error \"All DNS failed resolving \$queryDomain. Assuming common failure and aborting withoud doing anything.\"\r\
    \n} else={\r\
    \n    :if ( \$currentDnsServer != \$newDnsServer ) do={\r\
    \n        :log warning \"DNS changed: \$currentDnsServer -> \$newDnsServer\"\r\
    \n        /ip dns set servers=\$newDnsServer\r\
    \n    } else={\r\
    \n        :log debug \"DNS seems fine, staying at \$currentDnsServer.\"\r\
    \n    }\r\
    \n}\r\
    \n"

/system scheduler
add interval=1m name=dns-failover on-event="/system script run dns-failover" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=apr/26/2020 start-time=15:03:05
 
Per WLAN verbunden kann ich auch vom PC Problemlos wie es sein sollte zu externen Teamspeak Servern verbinden.
Den Export kann ich morgen mal erzeugen. Schon spät.
Erst mal danke und gute n8.
 
Hallo,

gibt es hier aktuell Leute, die WLAN über Mikrotik realisieren?
...
Danke!
Ja, ich.
Zwei wAP AC und zwei normale wAPs (nur N) über CAPsMan verwaltet.
Zeitweise hatte ich auch einen mAP mini (das klitzekleine Ding von Mikrotik) oder so dran, der hängt aber momentan arbeitslos am Serverschrank.
Fluppt einwandfrei, Handover geht fix und ohne Probleme.
Mit den Zwangstrennregeln (ab bestimmter Feldstärke) habe ich nichts weiter groß gemacht, für mich reichts.
Wenn ich die Treppe vom Arbeitszimmer im 1. OG in den Keller zur Werkstatt schluffe, habe ich keinen sichtbaren Verbindungsabbruch.
Vergleichen kann ich mangels Ubiquiti-Hardware leider nicht.
Habe mich von Anfang an auf MT festgelegt.
 
Habe leider verpennt, auf diesen Beitrag zu antworten, weil ich mir etwas Zeit nehmen wollte. Nun doch zwischen Tür und Angel:
Im Restaurant + Gästezimmern meines Cousins haben wir glaube 8 cAP acs mit einer 60GHz Richtfunkstrecke dazwischen, privat haben wir auf großem Grundstück und großem Haus 4 cAP AC, einen wAP ac für draußen und einen cAP Lite.

Die größere Location macht bisher ohne jegliche Channeldefinition keine Probleme (gefühlt am Ende der Welt wobei es dort auch viele Fremd-Accesspoints gibt). Daheim ist es mir sehr massiv aufgefallen, dass alles auf Default/Auto nicht zuverlässig funktioniert. Obwohl ich quasi am anderen Ende der Welt wohne. Daheim habe ich dann bei der Umstellung auch gemerkt, dass die MT APs nicht nur konfiguriert werden wollen, sondern auch konfiguriert werden müssen. Nach kleiner Konzepterarbeitung und etwas Wissensanreicherung läuft nun alles top.

Einfacher und stressfreier ist Ubiquiti. Aber auch nennenswert teurer und weniger flexibel.
Signifikant könnte man nur Sende/Empfangsleistung/-wirkungsgrad angeben und ich denke, dass da (leider) UBNT die Nase vorne hat. Im Wireless-Firmware-Umfeld ist MT leider nicht die erste Adresse.
Ich weiß nicht, wie es bei UBNT ist, aber MT unterstützt in Bezug auf seamless roaming weder 802.11r noch 802.11k. Bedeutet reconnects. Je nach Anwendung kann das nerven, aber ich komme damit klar.
Ich bleibe trotzdem bei MT weil es mir doch unsagbar viele Vorteile bietet :d
 
Das kann ich so nur unterschreiben.
Unkonfiguriert geht bei MT eigentlich nur basic Glump.
Aber genau das ist das schöne, wenn man's konfiguriert hat, läuft's ohne Macken.
Schauen wir mal, was MT mit ROS 7.0 bringt.
 
Mit ROS 7 ist etwa das gleiche wie mit Perl 6. Dauerbaustelle ohne absehbares Ende. Gefühlt ist das seit zehn Jahren in der Entwicklung.
Weiß auch nicht genau, was die so lange treiben. Scheinen das komplett neu aufzubauen. In der mittlerweile verfügbaren Preview funktioniert gefühlt die Hälfte der alten Features noch nicht.
 
Ich lese gerade hier ein bisschen mit. Also sind die MT APs vom Funktionsumfang umfangreicher und von der Technik deutlich besser als die von Unifi? Preislich sind die MTs ja doch schon recht günstig.
 
Eher andersrum, wenn du seamless roaming und / oder Reichweite willst, nimmst Ubiquiti.
Wenn du flexibel jeden einzelnen klitzekleinen Parameter parametrieren magst, nimmst Mikrotik. =)

Das mein ich tatsächlich so.
Ehe ich mein RB850Gx2 als popeligen Router samt Firewall zum laufen gebracht habe, sind mehrere Tage vergangen.
Jetzt fluppt das Teil mit CAPsMan, Multi-WAN (ETH1 -> Kabel, ETH2 -> DSL) und Auto-DNS-Namen (alle Geräte bekommen einen statischen DNS-Eintrag ala "gerät.domain.ext") wie Hulle.
Mach dat mal mit den Ubiquitis.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh