[Sammelthread] MikroTik Geräte

:hail:

Vielen Dank für deine Mühe. Das mit vlan50 und vlanid1 ist mir tatsächlich durch die Lappen gegangen..

Ich hatte vor ein paar Jahren die aktuelle Konfiguration aus unterschiedlichen Tutorials zusammengestellt, deshalb ist das solch ein Chaos:fresse2:

Ich habe das, denke und hoffe ich, nun umgesetzt.
So sieht es nun aus:

/ip firewall filter
add action=accept chain=input comment="Allow Established connections" \
connection-state=established,related
add action=accept chain=input comment="Allow VLAN" in-interface-list=VLAN
add action=accept chain=input comment="Allow LAN" in-interface=bridge1
add action=accept chain=forward comment="Allow Estab & Related" \
connection-nat-state=dstnat connection-state=established,related
add action=accept chain=forward comment="VLAN darf ins Internet" \
connection-nat-state="" connection-state=related,new in-interface-list=VLAN \
out-interface-list=WAN
add action=drop chain=input connection-state=invalid
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="accept OpenVPN" dst-port=1192 log=yes \
protocol=tcp
add action=accept chain=forward comment="Wireguard #1" dst-port=51820 protocol=\
udp
add action=accept chain=forward comment="Wireguard #2" dst-port=51821 protocol=\
udp
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add action=accept chain=forward comment="allow already established connections" \
connection-state=established
add action=reject chain=input dst-port=22 in-interface-list=WAN log=yes \
protocol=tcp reject-with=tcp-reset
add action=drop chain=forward dst-port=22 in-interface-list=WAN log=yes \
protocol=tcp
add action=accept chain=forward comment="allow related connections" \
connection-state=related

add action=accept chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=10.9.0.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.20.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.10.0/24 src-address=192.168.100.0/24
add action=drop chain=input comment="drop ssh from wan" connection-state=\
related in-interface-list=WAN log=yes
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 \
in-interface-list=WAN log=yes protocol=tcp
add action=accept chain=input comment="Allow winbox from LAN" dst-port=8291 \
in-interface-list=!WAN log=yes protocol=tcp
add action=drop chain=forward comment="Block Fressebuch" layer7-protocol=\
"Block Site" src-address=192.168.0.0/24
add action=accept chain=input dst-port=4443 protocol=tcp
add action=accept chain=input dst-port=88 protocol=tcp
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=input dst-port=161 in-interface=bridge1 protocol=udp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=tcp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
udp
add action=accept chain=forward comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE (Wlan Telefonie)" \
connection-type=sip dst-port=500 log=yes protocol=udp
add action=accept chain=forward comment="allow IKE (Wlan Telefonie)" dst-port=\
500 protocol=udp
add action=accept chain=forward comment="VLANBlock darf ins Internet" \
connection-nat-state="" connection-state=related,new in-interface-list=\
VLANblock out-interface-list=WAN
add action=accept chain=forward comment=\
"alllow inter VLAN Access for all not originated from vlan30" \
connection-state=new in-interface=!vlan30 in-interface-list=VLAN \
out-interface-list=VLAN
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
WAN
add action=drop chain=input comment="Block everything else"
add action=drop chain=forward disabled=yes comment="Block everything else"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=accept chain=srcnat dst-address-type=local
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=\
xx.xx.xx.xxx dst-port=80,443 protocol=tcp to-addresses=192.168.100.110
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xxx dst-port=8444 \
in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=443
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xxx dst-port=1194 \
in-interface=ether1 log=yes protocol=udp to-addresses=192.168.0.113 \
to-ports=1194
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xxx dst-port=1195 \
in-interface=ether1 protocol=udp to-addresses=192.168.0.250 to-ports=1195
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xxx dst-port=1197 \
in-interface=ether1 log=yes protocol=udp to-addresses=192.168.0.9 to-ports=\
1197
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=3478 log=yes protocol=tcp to-addresses=\
192.168.100.156 to-ports=3478
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=3479 log=yes protocol=tcp to-addresses=\
192.168.100.156 to-ports=3479
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=3478 protocol=udp to-addresses=\
192.168.100.156 to-ports=3478
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=3479 log=yes protocol=udp to-addresses=\
192.168.100.156 to-ports=3479
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=5349 log=yes protocol=tcp to-addresses=\
192.168.100.138 to-ports=5349
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=5350 log=yes protocol=tcp to-addresses=\
192.168.100.138 to-ports=5350
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=5349 log=yes protocol=udp to-addresses=\
192.168.100.138 to-ports=5349
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain1" \
dst-address=xx.xx.xx.xxx dst-port=5350 in-interface=ether1 log=yes \
protocol=udp to-addresses=192.168.100.138 to-ports=5350
add action=dst-nat chain=dstnat dst-port=51820 in-interface=ether1 protocol=udp \
to-addresses=192.168.0.217 to-ports=51820
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xxx dst-port=51821 \
in-interface=ether1 protocol=udp to-addresses=192.168.0.124 to-ports=51821
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes

Wenn ich nun aber diese Zeile hier aktiviere: add action=drop chain=forward comment="Block everything else", dann verliere ich jegliche Internetverbindung. Auch von meiner DMZ aus. Habe ich da was übersehen?

Hier noch /interface:

/interface bridge
add igmp-snooping=yes name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name="ether2(WLAN)"
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=50
/interface bonding
add disabled=yes mode=802.3ad name=bonding1 slaves=ether3,ether5
/interface list
add name=WAN
add name=LAN
add name=VLAN
add name=BASE
add name=VLANblock
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether5
add bridge=bridge1 disabled=yes interface="ether2(WLAN)" pvid=50
add bridge=bridge1 interface=ether3
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=1
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=vlan10 list=VLAN
add interface=vlan20 list=VLAN
add interface=vlan30 list=VLAN
add interface=vlan50 list=VLAN
add interface=vlan1 list=BASE

Edit: habe nochmal versucht VLAN-Filtering auf der Bridge zu aktivieren. Resultat: Internet wieder weg von allen Ports (außer der DMZ). Konnte auch nur noch über die MAC+Winbox auf den hex S zugreifen. Also komplettes Netzwerk wieder down.

Wie kann ich Ether2 so einrichten, dass es ein Notfall-Port ist? D.h. ich stecke Laptop da ein und schon kriege ich eine IP im VLAN1 zugeteilt.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
:hail:

Vielen Dank für deine Mühe. Das mit vlan50 und vlanid1 ist mir tatsächlich durch die Lappen gegangen..

Ich hatte vor ein paar Jahren die aktuelle Konfiguration aus unterschiedlichen Tutorials zusammengestellt, deshalb ist das solch ein Chaos:fresse2:

Ich habe das, denke und hoffe ich, nun umgesetzt.
So sieht es nun aus:
Sorry, es sieht immer noch nach Chaos aus ;-) ...will sagen, ich will das immer noch nicht durchackern.

Das Beispiel von mir, war jetzt analog des VLAN guide.
Ich habe das so für mein Gast-VLAN so laufen.
ich kann von meinem LAN ins Gäste LAN, aber die Gäste bleiben allein und haben nur I-net.

Wenn ich nun aber diese Zeile hier aktiviere: add action=drop chain=forward comment="Block everything else", dann verliere ich jegliche Internetverbindung. Auch von meiner DMZ aus. Habe ich da was übersehen?
also, grundsätzlich sollte es so sein, dass dies die letzte Regel ist.
Alles "verboten", es sei denn vorher erlaubt.
Wenn das nicht geht, aber ohne diese Regel schon, ist das forwarding von VLAN auf WAN eben nicht explizit erlaubt und mit dieser letzten forward Regel damit verboten.

Du weisst schon, dass die Firewall Regeln in ihrer Reihenflge voneinander abhängen?
Ich würde oben mit input chain, dann mit forward chain, jeweils in der pasenden/gewünschten Reihenfolge der Regeln beginnen.

Dann nach Ausschlussprinzip vorgehen.
Evtl. nochmal klein anfangen und dann wieder Themen (VLAN, DMZ) usw reinnehmen.

Edit: habe nochmal versucht VLAN-Filtering auf der Bridge zu aktivieren. Resultat: Internet wieder weg von allen Ports (außer der DMZ). Konnte auch nur noch über die MAC+Winbox auf den hex S zugreifen. Also komplettes Netzwerk wieder down.
Wie gesagt, zurück ans Reissbrett.
Ich würde mit der kleinen Default Firewall-Filter, inkl. NAT für das zentrale VLAN (VID=1 aka LAN) anfangen.
Dann die VLANs hinzufügen (inkl. VLAN Filtering). Ich würde alle Ports als Trunk starten, dann auf Access- oder Hybrid-Port "migrieren".
Und dann die ganzen Extras, wie DMZ.

...und am besten ein Bild/Diagramm machen.

Wie kann ich Ether2 so einrichten, dass es ein Notfall-Port ist? D.h. ich stecke Laptop da ein und schon kriege ich eine IP im VLAN1 zugeteilt.
Als Trunk Port mit PVID = 1 konfigurieren?
 
Du weisst schon, dass die Firewall Regeln in ihrer Reihenflge voneinander abhängen?
Ja, die drops stehen am Ende der Liste.

Wie gesagt, zurück ans Reissbrett.
Ich würde mit der kleinen Default Firewall-Filter, inkl. NAT für das zentrale VLAN (VID=1 aka LAN) anfangen.
Dann die VLANs hinzufügen (inkl. VLAN Filtering). Ich würde alle Ports als Trunk starten, dann auf Access- oder Hybrid-Port "migrieren".
Und dann die ganzen Extras, wie DMZ.

...und am besten ein Bild/Diagramm machen.

Ich habe jetzt mal alles überflüssige entfernt und nun sieht das so aus:
/ip firewall filter
add action=accept chain=input comment="Allow Established connections" \
connection-state=established,related
add action=accept chain=input comment="Allow VLAN" in-interface-list=VLAN
add action=accept chain=input comment="Allow LAN" in-interface=bridge1
add action=accept chain=forward comment="Allow Estab & Related" \
connection-nat-state="" connection-state=established,related
add action=accept chain=forward comment="VLAN darf ins Internet" \
connection-nat-state="" connection-state=related,new in-interface-list=VLAN \
out-interface-list=WAN
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=forward comment="Wireguard #1" dst-port=51820 protocol=\
udp
add action=accept chain=forward comment="Wireguard #2" dst-port=51821 protocol=\
udp
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=10.9.0.0/24
add action=accept chain=input comment="Allow winbox from LAN" dst-port=8291 \
in-interface-list=!WAN log=yes protocol=tcp
add action=accept chain=input dst-port=4443 protocol=tcp
add action=accept chain=input dst-port=88 protocol=tcp
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=input dst-port=161 in-interface=bridge1 protocol=udp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=tcp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=udp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
udp
add action=accept chain=forward comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE (Wlan Telefonie)" \
connection-type=sip dst-port=500 log=yes protocol=udp
add action=accept chain=forward comment="allow IKE (Wlan Telefonie)" dst-port=\
500 protocol=udp
add action=accept chain=forward comment=\
"alllow inter VLAN Access for all not originated from vlan30" \
connection-state=new in-interface=!vlan30 in-interface-list=VLAN \
out-interface-list=VLAN
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.20.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.10.0/24 src-address=192.168.100.0/24
add action=drop chain=input comment="drop ssh from wan" connection-state=\
related in-interface-list=WAN log=yes
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 \
in-interface-list=WAN log=yes protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="Block everything else"
add action=drop chain=forward comment="Block everything else" disabled=yes

Wenn ich jetzt den letzten Eintrag enable, dann kann ich nicht mehr ins Internet. Komisch. Wenn ich aber da "in-interface=WAN" angebe, dann funktioniert es.

Das sind die Interfaces und die Bridge:
/interface bridge
add igmp-snooping=yes name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name="ether2(WLAN)"
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=50
/interface bonding
add disabled=yes mode=802.3ad name=bonding1 slaves=ether3,ether5
/interface list
add name=WAN
add name=LAN
add name=VLAN
add name=BASE
add name=VLANblock
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether5
add bridge=bridge1 disabled=yes interface="ether2(WLAN)" pvid=50
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether3
add bridge=bridge1 interface="ether2(WLAN)"
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=1
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=vlan10 list=VLAN
add interface=vlan20 list=VLAN
add interface=vlan30 list=VLAN
add interface=vlan50 list=VLAN
add interface=vlan1 list=BASE



Siehst du da noch ein Problem? Traue mich schon gar nicht mehr VLAN Filtering zu aktivieren :fresse2:


Als Trunk Port mit PVID = 1 konfigurieren?
Eth2 muss auch der Bridge hinzugefügt werden und dann PVID=1 gesetzt werden (siehe oben)?


Ich habe mal Quick and Dirty ein Diagramm erstellt. Netzwerk(1).png



Edit: wenn ich nun von VLAN10 auf VLAN30 pinge, sehe ich zwar, dass die Filterregel "
add action=accept chain=forward comment=\
"alllow inter VLAN Access for all not originated from vlan30" \
connection-state=new in-interface=!vlan30 in-interface-list=VLAN \
out-interface-list=VLAN"
etwas registriert und ich kann ins VLAN30 pingen. Wenn ich von VLAN30 aber in VLAN20 hineinpinge, dann registriert die Filterregel nichts und ich kann auch pingen? Das sollte doch eigentlich nicht gehen, oder?
Edit2: Klar, logisch. die letzte "drop-regel" ist ja noch deaktiviert, weil ich sonst kein Internet habe..


Edit 3: Ich konnte das mit dem Verlust der Internetverbindung eingrenzen: Bei den sommerlichen Temperaturen sitze ich mit einem mobilen Hotspot auf der Terrasse und verbinde mich per wireguard (eine LXC auf dem Server) in mein Netzwerk. Wenn ich die besagte drop-Regel aktiviere, dann funktioniert nur auf meinem Laptop kein Internet mehr. Ich kann aber noch mit den Geräten im LAN kommunizieren. UND die Geräte im LAN haben auch nach Internet. Also scheint da etwas mein Wireguard zu blockieren.

Dabei habe ich aber eine Filter-Regel für Wireguard erstellt:
add action=accept chain=forward comment="Wireguard #1" dst-port=51820 protocol=\
udp

Ist die Falsch? ich habe das nach dieser Anleitung gemacht: https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-als-vpn-server-mit-wireguard/
 
Zuletzt bearbeitet:
Ja, die drops stehen am Ende der Liste.
Deine Liste ist komplett durcheinandergewürfelt, auch wenn alles funktioniert, ist es nicht lesbar.
Ich meinte eher, dass Du die auch mal gruppieren solltest, nach chains.


Edit 3: Ich konnte das mit dem Verlust der Internetverbindung eingrenzen: Bei den sommerlichen Temperaturen sitze ich mit einem mobilen Hotspot auf der Terrasse und verbinde mich per wireguard (eine LXC auf dem Server) in mein Netzwerk. Wenn ich die besagte drop-Regel aktiviere, dann funktioniert nur auf meinem Laptop kein Internet mehr. Ich kann aber noch mit den Geräten im LAN kommunizieren. UND die Geräte im LAN haben auch nach Internet. Also scheint da etwas mein Wireguard zu blockieren.
Tja, das würde ja so manches erklären.

Dabei habe ich aber eine Filter-Regel für Wireguard erstellt:
add action=accept chain=forward comment="Wireguard #1" dst-port=51820 protocol=\
udp

Ist die Falsch? ich habe das nach dieser Anleitung gemacht: https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-als-vpn-server-mit-wireguard/
keine Ahnung, nutze ich nicht..ich nehme zerotier
 
Heyho, ich habe zwei crs305-1g-4s.

Auf dem ersten habe ich soweit vlans drauf und IP Adressen konfiguriert.

Den zweiten habe ich gerade wieder online geholt.

Die laufen rein als Switch für vlans im 10gbit bereich.

Gibt's ne Möglichkeit die konfig der vlans zu exportieren und auf dem zweiten draufzubügeln?
Beitrag automatisch zusammengeführt:

DAC Kabel passt, gibt es von Mikrotik in 1m und 3m. Andere gehen aber auch.

SFP+ Modul 10G passt auch. Liegt bei ungefähr 50€, deutlich günstiger wirst Du wohl nichts bekommen. Mikrotik frisst aber auch fast alles andere, wenn du was billigeres findest.
Als LC LC war das wohl das günstigste was ich gefunden habe.

Hab damit zwei mikrotik per Glasfaser verbunden.
 
Gibt's ne Möglichkeit die konfig der vlans zu exportieren und auf dem zweiten draufzubügeln?
Wir reden über RouterOS, oder?...kein backup aus einem anderen Gerät einspielen!
Schau Dir das export / import Kommando an.
Namen der Objekte sollten dann auch gleich sein, auf den Geräten, zB Name der Bridge....ansonsten zwischen export - import mit einem Texteditor auf das Ziel anpassen
 
Ich habe die VLANs mit der Bridge nun wohl ans Laufen gebracht mit dieser Config:

Code:
export hide-sensitive
# jun/23/2021 09:17:23 by RouterOS 6.48.3
# software id = XE0V-A40Q
#
# model = RB760iGS
# serial number = A815099AF64D

/interface bridge
add name=bridge1 vlan-filtering=yes

/interface ethernet
set [ find default-name=ether2 ] name="ether2(WLAN)"
set [ find default-name=sfp1 ] disabled=yes

/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan60 vlan-id=60

/interface bonding
add mode=802.3ad name=bonding1 slaves=ether3,ether5

/interface list
add name=WAN
add name=LAN
add name=VLAN
add name=BASE

/ip pool
add name=vlan1 ranges=192.168.0.20-192.168.0.40
add name=vlan20 ranges=192.168.20.2-192.168.20.254
add name=vlan10 ranges=192.168.10.2-192.168.10.254
add name=DMZ ranges=192.168.100.2-192.168.100.254
add name=vlan30 ranges=192.168.30.2-192.168.30.254
add name=vlan50 ranges=192.168.50.3-192.168.50.100
add name=vlan60 ranges=192.168.60.3-192.168.60.254

/ip dhcp-server
add address-pool=vlan1 disabled=no interface=bridge1 lease-script=\
    dhcp-lease-script lease-time=2h name=vlan1
add address-pool=vlan20 disabled=no interface=vlan20 lease-script=\
    dhcp-lease-script name=vlan20
add address-pool=DMZ disabled=no interface=ether4 name=dhcp3
add address-pool=vlan10 disabled=no interface=vlan10 lease-script=\
    dhcp-lease-script name=vlan10
add address-pool=vlan30 disabled=no interface=vlan30 lease-script=\
    dhcp-lease-script lease-time=4d4h10m name=vlan30
add address-pool=vlan1 interface="ether2(WLAN)" name=WLAN
add address-pool=vlan50 disabled=no interface=vlan50 lease-script=\
    dhcp-lease-script name=vlan50
add address-pool=vlan60 disabled=no interface=vlan60 lease-script=\
    dhcp-lease-script name=vlan60

/interface bridge port
add bridge=bridge1 disabled=yes ingress-filtering=yes interface=ether5
add bridge=bridge1 disabled=yes interface="ether2(WLAN)" pvid=50
add bridge=bridge1 interface=bonding1
add bridge=bridge1 interface="ether2(WLAN)"

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=10
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=20
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=30
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=50
add bridge=bridge1 tagged=bridge1 vlan-ids=1
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=60

/interface detect-internet
set detect-interface-list=all

/interface list member
add interface=ether1 list=WAN
add disabled=yes interface=ether5 list=BASE
add interface=vlan10 list=VLAN
add interface=vlan20 list=VLAN
add interface=vlan30 list=VLAN
add interface=vlan50 list=VLAN
add interface=vlan1 list=VLAN
add interface=vlan60 list=VLAN
 
/ip address
add address=192.168.0.1/24 interface=vlan1 network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.100.1/24 interface=ether4 network=192.168.100.0
add address=xx.xx.xx.xx2/30 interface=ether1 network=xx.xx.xx.xx0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.50.1/24 interface=vlan50 network=192.168.50.0
add address=192.168.0.1/24 disabled=yes interface=vlan1 network=192.168.0.0
add address=192.168.60.1/24 interface=vlan60 network=192.168.60.0
/ip dhcp-server lease
add address=192.168.0.136 allow-dual-stack-queue=no disabled=yes mac-address=\
    00:02:C9:4E:89:26 server=vlan1
add address=192.168.0.113 allow-dual-stack-queue=no disabled=yes mac-address=\
    F2:E7:52:EB:6E:9B server=vlan1
add address=192.168.0.26 client-id=1:0:26:ab:6c:6:27 disabled=yes mac-address=\
    00:26:AB:6C:06:27 server=vlan1
add address=192.168.0.33 client-id=1:0:2:c9:51:77:dc disabled=yes mac-address=\
    00:02:C9:51:77:DC server=vlan1
add address=192.168.50.100 client-id=1:2c:f0:5d:3b:db:d3 disabled=yes \
    mac-address=2C:F0:5D:3B:DB:D3 server=WLAN
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 domain=home.lab gateway=\
    192.168.0.1 netmask=24
add address=192.168.10.0/24 dns-server=192.168.0.1 domain=service.lab gateway=\
    192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.0.1 domain=vlan20.lab gateway=\
    192.168.20.1 netmask=24
add address=192.168.30.0/24 dns-server=192.168.30.1 domain=vlan30.lab gateway=\
    192.168.30.1
add address=192.168.50.0/24 dns-server=192.168.0.1 domain=private.lab gateway=\
    192.168.50.1
add address=192.168.60.0/24 dns-server=192.168.0.1 domain=vlan60.lab gateway=\
    192.168.60.1
add address=192.168.100.0/24 dns-server=192.168.100.1 domain=dmz.lab gateway=\
    192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.10.3,192.168.10.13
/ip dns static
add address=192.168.100.110 name=mydomain2.de
add address=192.168.100.110 name=mydomain3.de
add address=192.168.100.110 name=mydomain1.de
/ip firewall filter
add action=accept chain=input comment="Allow Established connections" \
    connection-state=established,related
add action=accept chain=input comment="Allow VLAN" in-interface-list=VLAN
add action=accept chain=input comment="Allow VLAN" in-interface-list=BASE
add action=accept chain=input comment="Allow LAN" in-interface=bridge1
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=forward comment="Allow Estab & Related" \
    connection-nat-state="" connection-state=established,related
add action=accept chain=forward comment="VLAN darf ins Internet" \
    connection-nat-state="" connection-state=related,new in-interface-list=VLAN \
    out-interface-list=WAN
add action=accept chain=forward comment=\
    "alllow inter VLAN Access for all not originated from vlan30" \
    connection-state=new in-interface=!vlan30 in-interface-list=VLAN \
    out-interface-list=VLAN
add action=accept chain=forward comment="Wireguard #1" dst-port=51820 protocol=\
    udp
add action=accept chain=forward comment="Wireguard #2" dst-port=51821 protocol=\
    udp
add action=accept chain=forward comment="Allow traffic between these subnets" \
    dst-address=192.168.0.0/24 src-address=10.9.0.0/24
add action=accept chain=input comment="Allow winbox from LAN" dst-port=8291 \
    in-interface-list=!WAN log=yes protocol=tcp
add action=accept chain=input dst-port=4443 protocol=tcp
add action=accept chain=input dst-port=88 protocol=tcp
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=input dst-port=161 in-interface=bridge1 protocol=udp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=tcp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=udp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=forward comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE (Wlan Telefonie)" \
    connection-type=sip dst-port=500 log=yes protocol=udp
add action=accept chain=forward comment="allow IKE (Wlan Telefonie)" dst-port=\
    500 protocol=udp
add action=accept chain=forward comment=\
    "Allow traffic between Workstation and Webserver" dst-address=192.168.0.127 \
    dst-port=445 protocol=tcp src-address=192.168.100.156
add action=accept chain=forward comment=\
    "Allow traffic between Workstation and Webserver" dst-address=\
    192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.0.0/24
add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid protocol=tcp
add action=drop chain=forward comment="Block traffic between these subnets" \
    dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
    dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
    dst-address=192.168.20.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
    dst-address=192.168.10.0/24 src-address=192.168.100.0/24
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 \
    in-interface-list=WAN log=yes protocol=tcp
add action=drop chain=forward comment="Block Fressebuch" layer7-protocol=\
    "Block Site" src-address=192.168.0.0/24
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="Block everything else"
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
    WAN
add action=drop chain=forward comment="Block everything else" disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=accept chain=srcnat dst-address-type=local
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=\
    xx.xx.xx.xx2 dst-port=80,443 protocol=tcp to-addresses=192.168.100.110
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xx2 dst-port=8444 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=443
add action=dst-nat chain=dstnat dst-address=xx.xx.xx.xx2 dst-port=1194 \
    in-interface=ether1 log=yes protocol=udp to-addresses=192.168.0.113 \
    to-ports=1194
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=3478 log=yes protocol=tcp to-addresses=\
    192.168.100.156 to-ports=3478
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=3479 log=yes protocol=tcp to-addresses=\
    192.168.100.156 to-ports=3479
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=3478 protocol=udp to-addresses=\
    192.168.100.156 to-ports=3478
add action=dst-nat chain=dstnat comment="TURN Server Nextcloud mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=3479 log=yes protocol=udp to-addresses=\
    192.168.100.156 to-ports=3479
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=5349 log=yes protocol=tcp to-addresses=\
    192.168.100.138 to-ports=5349
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=5350 log=yes protocol=tcp to-addresses=\
    192.168.100.138 to-ports=5350
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=5349 log=yes protocol=udp to-addresses=\
    192.168.100.138 to-ports=5349
add action=dst-nat chain=dstnat comment="TURN Server cloud.mydomain2" \
    dst-address=xx.xx.xx.xx2 dst-port=5350 in-interface=ether1 log=yes \
    protocol=udp to-addresses=192.168.100.138 to-ports=5350
add action=dst-nat chain=dstnat dst-port=51820 in-interface=ether1 protocol=udp \
    to-addresses=192.168.10.217 to-ports=51820
add action=dst-nat chain=dstnat dst-port=51821 in-interface=ether1 protocol=udp \
    to-addresses=192.168.10.218 to-ports=51821


Probleme:
- Auch wenn ich mich per Wireguard verbinden kann (LXC auf Proxmox), ist die Verbindung zu anderen Geräten im LAN bzw. in anderen VLANs extrem zäh. Per SSH kann ich mich manchmal verbinden, manchmal aber auch nicht. Der Ping zu meinem Proxmox-Server beträgt im Schnitt 1500 ms. Und das ist ein bisschen sehr hoch.

Wenn ich meinen Proxmox-Server vom VLAN50 aus auf der IP im VLAN20 anspreche (also die Webgui), dann ist es sehr zäh. Mache ich das selbe über eine andere NIC des Servers, die im VLAN50 hängt, dann ist es bedeutend schneller. Der Ping ist aber ähnlich.


Edit: Probleme wie folgt gelöst:

- Wiregurad von VLAN20 in VLAN1 zurückmigriert. Funktioniert.
- Neben dieser chain: "add chain=forward action=accept connection-state=new in-interface=!vlan30 in-interface-list=VLAN out-interface-list=VLAN comment="alllow inter VLAN Access for all not originated from vlan30""
musste ich noch je eine forward chain für die Kommunikation zwischen jedem Subnetz einfügen. Und schon klappt alles.

Einziger Wermutstropfen, was wohl an der schwachen Hardware des hex S liegt: Das VLAN-Routing beträgt laut iperf lediglich 350 mbit/s. Ich habe aber nun jeden Server mit einer NIC ins selbe VLAN gepackt wie mein PC, sodass hier der Datenverkehr nicht beeinträchtigt wird.


Welche Hardware sollte ich holen, damit das VLAN-Routing beschleunigt wird? den RB4xxx? Der unterstützt aber auch kein VLAN-Table, oder?


Edit2: Ich muss es revidieren. Auf einmal habe ich volle Gigabit Verbindung zwischen den einzelnen VLANs :bigok:

Ich will mich ja nicht beschweren, aber ich habe keine Ahnung, wie das kommt? Auch die CPU-Last auf dem hex S ist weg.
 
Zuletzt bearbeitet:
Was bei meinem hAP ac2 den Durchsatz killt, ist zum Beispiel use-ip-firewall-for-vlan=yes. Zur Routing-Performance selbst kann ich leider nichts sagen, da ich meinen hAP ac2 als reinen Switch einsetze.

Beim hEX S liegt das theoretische Maximum jedenfalls laut MikroTik bei über 1 Gbit/s (siehe: https://mikrotik.com/product/hex_s#fndtn-testresults).
 
/interface bonding
add mode=802.3ad name=bonding1 slaves=ether3,ether5
Läuft der bond auf beiden Interfaces zwischen zwei MACs?
Ich musste bei mir ein "transmit-hash-policy=layer-2-and-3" dazufügen.

/interface detect-internet
set detect-interface-list=all
...wird mMn nicht gebraucht...im MT-Forum wird geraten das abzuschalten ;-)

/ip firewall filter
[...]
add action=accept chain=forward comment="Allow Estab & Related" \
connection-nat-state="" connection-state=established,related
...Du hast das fasttrack nicht aktiviert? -> https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack
das bringt mMn den Speed für Inter-VLAN routing.

add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\ WANadd action=drop chain=forward comment="Block everything else" disabled=yes
...disabled = yes? .. OK, solange Du den !dst-nat Rule drin hast, wg WAN.


Probleme:
- Auch wenn ich mich per Wireguard verbinden kann (LXC auf Proxmox), ist die Verbindung zu anderen Geräten im LAN bzw. in anderen VLANs extrem zäh. Per SSH kann ich mich manchmal verbinden, manchmal aber auch nicht. Der Ping zu meinem Proxmox-Server beträgt im Schnitt 1500 ms. Und das ist ein bisschen sehr hoch.

Wenn ich meinen Proxmox-Server vom VLAN50 aus auf der IP im VLAN20 anspreche (also die Webgui), dann ist es sehr zäh. Mache ich das selbe über eine andere NIC des Servers, die im VLAN50 hängt, dann ist es bedeutend schneller. Der Ping ist aber ähnlich.
Du kannst in die einzelnen Filter ja ein Loging einbauen uns sehen, welche Rule getriggert wird, wenn Du eine definierte Aktion ausführts.

Edit: Probleme wie folgt gelöst:

- Wiregurad von VLAN20 in VLAN1 zurückmigriert. Funktioniert.
Dan hemmt ein Filter fürs inter-VLAN routing, den Du dann umgangen hast

Welche Hardware sollte ich holen, damit das VLAN-Routing beschleunigt wird? den RB4xxx? Der unterstützt aber auch kein VLAN-Table, oder?
...hat aber ordentlich Bumms...etwa Faktor 4 zum Hex-S

Edit2: Ich muss es revidieren. Auf einmal habe ich volle Gigabit Verbindung zwischen den einzelnen VLANs :bigok:

Ich will mich ja nicht beschweren, aber ich habe keine Ahnung, wie das kommt? Auch die CPU-Last auf dem hex S ist weg.
...könnte daran liegen, dass bestehende Connections nun abgebaut und neu aufgebaut wurden, für die dann die neu definierten regeln greifen...kommt davon, wenn man unter dem laufenden rad dran spielt ;-)
 
Huhu, ich möchte meinem tp-link EAP 660HD ein Upgrade auf 2,5Gbit spendieren, was hole ich mir denn da schlauer weise für ein SFP+-Modul für meinen CRS328? Kann es hier auch was günstiges sein oder sollte man zu Mikrotik greifen? Das wird meine SFP+ ports dann "voll" machen, d.h. die anderen drei sind schon mit transceivern für LWL belegt. Krieg ich da ein Wärme-Problem?
 
der mikrotik S+RJ10 unterstützt lt. Datenblatt auch 2.5G und teuer ist der nicht wirklich..
Allerdings wird dann da kein PoE drüber gehen. Hat der EAP einen Injektor für 2.5G im Karton?
Edit: der 328 ist ja aktiv gekühlt oder? Da sollte einer kein Problem sein.
 
Nee, Injektor ist nicht dabei, "nur" ein Netzteil. Das ist im Moment auch noch kein Thema, weil der EAP "rumliegt". In ca nem Jahr wird der aber fest eingebaut, und spätestens dann brauch ich ne Lösung dafür. Ich hoffe bis dahin bringt Mikrotik etwas heraus was 2,5G mit PoE+ möglich macht - gibts von anderen ja auch so langsam. Da würde ich dann die beiden internen und einen externen EAP dran hängen. Das SFP+-Modul ist also eine temporäre Lösung.
 
Moin ihr Mikros,
hat schon jemand Erfahrung mit der Antenne: LHGG LTE6 kit

Werde die demnächst in einem Gebiet nutzen, wo zwar LTE Empfang verfügbar ist (Frequenzen werden von dem Mikrotik abgedeckt), aber oft fällt der Empfang auf Edge zurück, da das Signal für's Smartphone doch zu schwach ist. Daher war meine Idee, mir solch eine Antenne mit SIM-Karte auf's Dach zu klatschen und auf den dazugehörigen Funkmast auszurichten. Aber bringt diese Antenne hier (aufgrund angeblicher paralleler Nutzung von mehreren Bändern) wirklich DEN Durchbruch, im Vergleich zu einem 08/15 LTE Router auf dem Dach und wird die Geschwindigkeit erhöhen? Jemand einen Vergleich zwischen dieser Antenne und Standard-LTE Routern gemacht?

YouTube hat einige Reviews, allerdings nicht wirklich aussagekräftig. Da wurde die Antenne so im Zimmer hingestellt und nen Speedtest mitten in der Stadt gemacht. Hätte man sich auch klemmen können glaube ich! ;)

Doch noch nen gutes Review gefunden:

Bestellt und mal testen, wie es ist.
 
Zuletzt bearbeitet:
[...] Frequenzen werden von dem Mikrotik abgedeckt), aber oft fällt der Empfang auf Edge zurück, da das Signal für's Smartphone doch zu schwach ist. Daher war meine Idee, mir solch eine Antenne mit SIM-Karte auf's Dach zu klatschen und auf den dazugehörigen Funkmast auszurichten.
...sehr interessant. Das schaue ich mir an...bin sehr gespannt!

Habe schon seit Jahren ein LTE-WAN im EInsatz...seit 4 Wochen streikt aber die Fritz6840-LTE...VF sagt, die Frequenzen usw. hätten sich geändert, die Fritz nicht mehr supported...etcpp.
Welche Frequenzen aber nun gehen (welche Bänder) konnten/wollten die mir nicht sagen. :poop:
Habe jetzt gekündigt und ne Congstar-Homespot Rate, mit einem Huawei B818 ... der war günstig und kann viele Bänder....komme sogar indoors auf die 50Mbps, die der Tarif hergibt....insofern Top.
Allerdings ist die Firmware total armselig!
Ein MT wäre mir daher schon lieber...

...kurzum...wie finde ich denn raus welche Bänder ich wirklich brauche, in meiner Gegend?
 
...kurzum...wie finde ich denn raus welche Bänder ich wirklich brauche, in meiner Gegend?
Ich bin auch gespannt...Kommt frühestens ab 20. Juli, dann kommt das gute Stück erst an, sofern sich nicht wieder jemand im Suez quer legt! ;)

Ich hatte erst den Support von O2 bemüht, da diese auch keine Auskunft auf ihrer Netzabdeckung herausgeben...Dort gab es die Info, dass Band1, Band3, Band20 genutzt wird.

Und mittlerweile noch folgende Karte gefunden:

Provider & Network auswählen (LTE in meinem Fall) und schon tauchen Punkte auf der Karte auf, wo genau genannt wird, mit welchem Band der Turm funkt.
 
Und mittlerweile noch folgende Karte gefunden:

Provider & Network auswählen (LTE in meinem Fall) und schon tauchen Punkte auf der Karte auf, wo genau genannt wird, mit welchem Band der Turm funkt.
....gaanz prima, Danke Dir!!!
Ein VF Tower hier funkt tatsächlich auch mit Band 28, allerdings ist der unterhalb des Horizonts..."mein" Tower ist ca, 10km weg und nuzt nur Band 20.
Edit: ...und, oh Mann, der Tower auf dem ich mit VF war hat die Ausrichtuing geändert....keine Ausleuchtung mehr bei mir :wut: ...ein neuer, aber nur mit 10Mhz Bandbreite ist genau entgegengesetzt. Ein Telekom Tower ist gleich um die Ecke mit 1850MHz....kein Wunder, dass da 50+Mbps im DL rauskommen
Telekom hat mehr in der Nähe und nur "Standard" Bänder 1,3,20....ich glaube der Huawei geht nochmal zurück :unsure:
 
Zuletzt bearbeitet:
Ja, bei mir wird der Mikrotik auch darüber entscheiden, ob es (dauerhaft) über LTE geht oder LTE Starlink weichen muss... :)

Konstante 100 Mbit im Download würden mir reichen. Mehr muss gar nicht für 30€ im Monat. Wenn das Teil hier ist und getestet wurde, werde ich berichten.
 
Moin ihr Mikros,
hat schon jemand Erfahrung mit der Antenne: LHGG LTE6 kit

[...]


Bestellt und mal testen, wie es ist.

...der SIM Slot scheint wohl ein Dauerbrenner zu sein, zB hier: https://forum.mikrotik.com/viewtopic.php?f=2&t=176790
Edit: ...und aktuelle Modem Firmware v27 macht Probleme: https://forum.mikrotik.com/viewtopic.php?f=7&t=155945&p=863542&hilit=lte6#p863542

@Gen8 Runner ...also Vorsicht, was da für eine Firmware drauf ist, wenn Dein Teil ankommt (/interface LTE, nicht /system Routerboard).
Ich bin jetzt echt hin- und hergerissen.....brauche dringend eine Lösung für mein WAN2-Problem und will nicht schon wieder mit ner Fritte agieren müssen.
 
Zuletzt bearbeitet:
Ich bin auch gespannt...Kommt frühestens ab 20. Juli, dann kommt das gute Stück erst an, sofern sich nicht wieder jemand im Suez quer legt! ;)
So, meiner steht auf dem Küchentisch (kam übriogens mit Firmware v25...die habe ich erstmal gelassen).
Die richtige Zelle habe ich gefunden, aber der DL schwächelt...UL ist bei max.
Wie findet man die genaue Ausrichtung....gibt es da ein Tool?

versuche im Moment mit SNR zu optimieren....was ist noch wichtig RSSI oder RSRP?

@Gen8 Runner hast Du Dein Set schon am Start?
Der Huawei B818 kam ohne externe Antenne im WoZi sofort auf 51/8.8Mbps...das ist das Max in meiner Zelle...ich komme auf 12/8.8 mit dem LHGG :unsure:
OK, am WE kommt die auf den Dachboden...aber wie die richtige Ausrichtung genau finden :confused:
Wenn ich das auf der Karte anschaue, habe ich gefühlt besseren Empfang bei 90Grad Winkel zum Tower :sick:
 
...hab des Teil jetzt auf dem Dachboden und ausgerichtet, nach SNR.
RSRP ist einfach immer "poor" ...aber ich hänge auch am äusseren Rand der Zelle....ich komme nun auf 25/25 im Speedtest.

Screenshot_20210731-135715_MikroTik.jpg

..der Huawei kam locker auf 50/25 (Edit: hatte aber auch RSRP auf -101db und SNR sogar "nur" -4) , also auf das Max in meinem Tarif (congstar Homespot) auch wenn er nur im WoZi rumflog.
Es ist also nicht optimal...aber mein alter VF-Zuhause Tarif hatte nur 7.2/5 ;-) ....und die Zelle gibt es nicht mehr ....also ist es jetzt besser als vorher...warum ist der "olle" Huawei so gut darin?
Kann man das Modem im LHGG austauschen (ist ja mPCIE) und was muss ein alternives können?
 
@hominidae, sorry, ich hatte es falsch geschrieben. RSRQ ist der entscheidende Wert. Mein RSRQ liegt bei -7 und ich bekomm, wenn es die Zelle hergibt, bis zu 100 Mbit/s durch.
 
@0 8 15 User OK, danke...das ist bei mir ja immer auf "Excellent".
Laut der o.a. Karte schafft die Zelle kaum mehr als die 50Mbps.....was macht der Huawei, mit internen Omni-Antennen besser als die 17db Schüssel des LHGG ??
 
Wird wie so oft an der Software liegen. Das kennen wir ja schon vom Wi-Fi bei MikroTik.
Tja, einige User im MT Forum haben schon die Firmware v28 vom Support...die ist aber noch nicht offiziell und die aktuelle "öffentliche" v27 scheint Probleme zu machen....meine ist v25 und die v26 wurde eh nie ausgegeben....mal sehen, wann eine v29 kommt ;-) ...25/25 sind immerhin besser als garnix.

Ja, sonst könnte der Huawei auch nicht ohne Außenantenne solche Übertragungsraten zaubern.
...dann steht die LHGG zumindest mal richtig (edit: positionieret zu sein)...da oben auf dem Dachboden ist es eng...will nicht nochmal rauf...Software ist mir lieber ;-)
 
...hab des Teil jetzt auf dem Dachboden und ausgerichtet, nach SNR.
RSRP ist einfach immer "poor" ...aber ich hänge auch am äusseren Rand der Zelle....ich komme nun auf 25/25 im Speedtest.
....also ist es jetzt besser als vorher...warum ist der "olle" Huawei so gut darin?
Kann man das Modem im LHGG austauschen (ist ja mPCIE) und was muss ein alternives können?
Liegt Zuhause und ich hänge auf Arbeit fest. Also noch keine Möglichkeit gehabt zu testen! Nächste Woche, da ist Starlink parallel auch da.

Welchen der LHGG hast du denn genau (gibt ja eigentlich nur einen, dennoch mal fragen)? Den neusten mit 256MB RAM?

Dort wird dann wahrscheinlich folgendes Modem verbaut sein:

Schau mal nach, welche Bänder in deiner Gegend verfügbar sind (bspw. 20 & 28...Oder nur Band 1, wie auch immer das zusammengestellt ist).
Das Modem kann, siehe Link, 2xCA LTE bands verknüpfen, allerdings gibt es -siehe Datenblatt- gewisse Limits, welche Bänder er nicht gleichzeitig nutzen kann.
D.h. wenn der Sendemast bspw. mit Band 1 und Band 20 arbeitet, nutzt der Mikrotik im Idealfall beide Bänder, verknüpft diese und verdoppelt so (theoretisch) die Geschwindigkeit. Also auch im RouterOS nachschauen, ob Carrier Aggregation (CA) aktiviert ist und genutzt wird. Eventuell kommst du dann auch auf die volle Geschwindigkeit.
 
@Gen8 Runner Ja, genau---ist der neueste mit 256MB RAM und 1G Interface, mit dem LTE6 Modem....frische Lieferung via EuroDK...war erst am letzten WE lieferbar.

Bei mir, in der einen Zelle, die ich hier habe gibt es für meinen Provider Band 3 + 20......das sollte zumindest gehen, lt Datenblatt.

Wenn ich B3 allein aktiviere, dann sieht man im Status - beim Speedtest, geht es langsam los und geht dann hoch auf 25M - das CA aktiveirt wird.
Lasse ich auch B20 aktiv komme ich nur auf 4-7Mbps...das B3 Band wird nicht aktiviert :-(
Gebe ich kein Band vor, ist es das Gleiche.

Edit: OK, also jetzt - auf dem Dachboden - und B3+B20 aktiviert kommt das:

speedtest -> 48/20 :rolleyes2: ... ich schwöre, auf dem Küchentisch ging das noch nicht
 
Zuletzt bearbeitet:
@Gen8 Runner Ja, genau---ist der neueste mit 256MB RAM und 1G Interface, mit dem LTE6 Modem....frische Lieferung via EuroDK...war erst am letzten WE lieferbar.

Bei mir, in der einen Zelle, die ich hier habe gibt es für meinen Provider Band 3 + 20......das sollte zumindest gehen, lt Datenblatt.

Wenn ich B3 allein aktiviere, dann sieht man im Status - beim Speedtest, geht es langsam los und geht dann hoch auf 25M - das CA aktiveirt wird.
Lasse ich auch B20 aktiv komme ich nur auf 4-7Mbps...das B3 Band wird nicht aktiviert :-(
Gebe ich kein Band vor, ist es das Gleiche.
Das ist ja blöd.

Band 3 + 20 sollten mit CA definitiv funktionieren, interessant wäre ja auch, ob das HUAWEI genau dies auch nutzt und somit klar wäre, dass der Provider dies zulässt.
Ich werde kommende Woche mal schauen, wie es bei mir aussieht. Werde das Teil mit O2 nutzen.
 
@Gen8 Runner ...siehe meinen Edit oben....jetzt nochmal aktiviert und spontan 48/20 ....:oops:

Edit: OK, aber er bleibt in B3...nur ist Primary dann die 10MHz und CA die 20MHz CellID
1627755165621.png

...sonst war es andersrum :unsure:
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh