(Kampf allen Fritzboxen für immer!)
Sie sind jetzt zumindest von der Fritzbox weg und haben ZTE ins Boot geholt. Ob das besser ist, gilt abzuwarten. 😁
Was ich bei dem Teil nicht verstehe: Er hat einen 10G-Anschluss und der Rest ist alles 1G Anschluss! Man hätte ja zumindest 2,5G-Anschlüsse nehmen können!
DNS:NET veränderte Tarifstruktur & 10Gbits (8,5) Tarif zur Auswahl
-
-
[…]
Garantiert um die Kosten zu drücken. Der normale User soll sich einen eigenen 10G Switch holen vermutlich.
-
[…]
Ein kleines Update gibt es. Im Kundenportal ist der Anschluss wieder sichtbar. Alle Daten sind die alten außer dem Tarif. Speed hat sich nicht geändert.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Da interessieren mich die IPv4 und IPv6 Firewallregeln im RouterOS die Du verwendest. Magst Du diese mal mit uns teilen?
Leider findet man nicht so richtige Infos wie ein sicheres Regelwerk im RouterOS aufgebaut sein soll, damit die übliche Nutzung der häuslichen Mitbewohner nicht eingeschränkt ist.
-
Habe einen Mikrotik CCR2004-1G-12S+2XS, der über das XGSPON Modul XGS-ONU-25-20NI von FS (https://www.fs.com/de/products/185594.html) and den Fiber Twist von DNS:Net angeschlossen ist. (Kampf allen Fritzboxen für immer!)
Nun ja, das ist aber eine andere Hausnummer von den Kosten. 500 € für den Router und 250 € für das Modul, das ganze ohne WLAN.
Das ZTE-Teil mit XGS-PON Eingang und 10 GB-LAN Ausgang sowie WiFi 7(auch 6 GHz) gibt es kostenlos dazu.
Unabhängig davon, dass Mikrotik beim Einrichten keine leichte Kost ist, nichts für den "normalen" Endkunden.
-
So, nun kommt morgen Nachmittag ein Techniker zu uns.
Warum man das nicht von der Ferne lösen kann konnte man mir nicht sagen.
Ich werde berichten!
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Nun ja, das ist aber eine andere Hausnummer von den Kosten. 500 € für den Router und 250 € für das Modul, das ganze ohne WLAN.
Das ZTE-Teil mit XGS-PON Eingang und 10 GB-LAN Ausgang sowie WiFi 7(auch 6 GHz) gibt es kostenlos dazu.
Unabhängig davon, dass Mikrotik beim Einrichten keine leichte Kost ist, nichts für den "normalen" Endkunden.
Ja stimmt alles. Hatte mal einiges investiert in die Hardware investiert. Macht aber auch etwas Spass.
-
Leider findet man nicht so richtige Infos wie ein sicheres Regelwerk im RouterOS aufgebaut sein soll, damit die übliche Nutzung der häuslichen Mitbewohner nicht eingeschränkt ist.
Für Einsteiger bringt RouterOS mittlerweile eigentlich ein solides Default Regelwerk für die Firewall mit zum start. Nichts aus dem WAN rein, aus dem LAN darf erst mal jeder raus ins Internet. Dann klappt die die übliche Internetnutzung der häuslichen Mitbewohner erst mal.
Die ersten Fallstricke kommen dann aber vielleicht schon wenn man PPPoE anstelle von ether1 als WAN nutzt, IPv6 einrichten möchte usw. So richtig spannend wird es dann auch sobald man anfangen möchte Dinge zu konfigurieren die über den 0815 Endkundenrouter hinausgehen, RouterOS hat da eine steile Lernkurve und ist nicht unbedingt das richtige für den "normalen" Enduser der sich nicht unbedingt intensiv mit Netzwerk und Firewall beschäftigen möchte. Kann aber auch richtig Spaß machen
Habe einen Mikrotik CCR2004-1G-12S+2XS, der über das XGSPON Modul XGS-ONU-25-20NI von FS (https://www.fs.com/de/products/185594.html) and den Fiber Twist von DNS:Net angeschlossen ist. (Kampf allen Fritzboxen für immer!)
Macht DNS:NET eigentlich auch PPPoE? Falls ja, gerne Berichten ob der CCR2004 genug Dampf für ~10Gbit PPPoE Durchsatz hat, ich meine mal gelesen zu haben PPPoE ist bei Mikrotik leider nur single threaded und nicht HW offloaded.
Denke mal mein RB5009 käme da nicht mit, aber bei Telekom ist ja auch schon bei 2Gbit/s auf XGS-PON per PPPoE Schluss
Nun ja, das ist aber eine andere Hausnummer von den Kosten. 500 € für den Router und 250 € für das Modul, das ganze ohne WLAN.
Für ein XGS-PON SFP+ gäbe es auch günstigere Alternativen (~140€), falls die wer bei DNS:NET erproben möchte:
Luleey LL-XS1025 - https://www.luleey.com/de/produkt-2/x…fp-transceiver/ - Hab ich am Telekom XGS-PON im Einsatz
Luleyy LL-XS1010 - https://www.luleey.com/de/produkt-2/x…-onu-ll-xs1010/ - scheint der Nachfolger vom obigen zu sein -
Für Einsteiger bringt RouterOS mittlerweile eigentlich ein solides Default Regelwerk für die Firewall mit zum start.
Die ersten Fallstricke kommen dann aber vielleicht schon wenn man PPPoE anstelle von ether1 als WAN nutzt, IPv6 einrichten möchte usw.
Ich reite deshalb so auf den FW-Regeln herum, da MikroTik nicht so gut bei der Absicherung der Internetaccess-Router dasteht: https://www.google.com/search?q=mikro…griffe+security
Das RouterOS bietet extrem viele Möglichkeiten und ist auch sicher nichts für Anfänger. In Zeiten von DS-Lite, Dual Stack (mit und ohne CGNAT) sollten auch sichere IPv4+ IPv6 FW-Konfigurationen Standard sein. Die IPv6 Schwächen hat das RouterOS abgelegt, bleibt noch die Baustelle performantes PPPoE übrig. Immerhin ein europäisches Unternehmen und man muss nicht AVM/FRITZ! und LANCOM den Markt überlassen. Gibt es denn noch weitere europäische HW-Hersteller für den Consumer- und Semiprofessionellen Bereich?
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Nokia und Ericsson, wobei sich Ericsson, abseits des 5G Geschäfts, weitestgehend aus dem Carrier-Networking verabschiedet hat.
-
Ich reite deshalb so auf den FW-Regeln herum, da MikroTik nicht so gut bei der Absicherung der Internetaccess-Router dasteht: https://www.google.com/search?q=mikro…griffe+security
Viele Firewall Systeme fahren zum Glück den Ansatz "Deny all" was oft sogar unsichtbar immer am Ende aller Firewall Regeln sitzt. Bei Mikrotik ist das leider umgekehrt, wenn man etwas mit keiner Regeln verbietet, wird es halt offen gelassen, wer an eine leere Firewall bei Mikrotik kein Deny all setzt, lässt somit "alles offen". Damit sind dann auch alle Services des Routers am WAN erreichbar, bis hin zum DNS Forwarder der dann für DDoS Attacken missbraucht werden kann.
Mikrotik lässt dem User damit zwar viel Konfigurationsmöglichkeiten, aber auch sehr viel Verantwortung. Sofern er denn will, kann ein User auch mit einer komplett leeren "alles ist offen" Firewall starten (auch am WAN). Wer Mikrotik schon lange nutzt weiß das der Default Admin ein leeres PW hatte und dass man dies früher auch nicht mal ändern musste.
Dann kam irgendwann das Zwangsweise ändern bei der Erstanmeldung und mittlerweile zum Glück sogar bei neuen Modellen auch individuelle PWs pro Gerät, egal ob Router, Switch mit RouterOS oder AP.Bei Mikrotik sind es leider viel zu oft die Möglichkeiten die zu Konfigurationsfehlern führen und damit eine Security Lücke erst aufreißen.
Leider, weil es möglich ist die Default Regeln abzuwählen bei Ersteinrichtung, werden diese auch gerne mal ignoriert. Oder man doch einfach "nur" Remote Management haben will irgendwas auf dem WAN nachträglich geöffnet statt ein VPN einzurichten, oder per copy&paste irgendwelche Regeln aus dem Internet eingefügt "weil man das für xyz braucht" ohne zu verstehen was da im Detail passiert. Dann noch "Firmwareupdates? Geht doch alles" und irgendwann hat dann auch mal der http oder SSH Daemon eine ungepatchte Sicherheitslücke. Das Security Desaster vorprogramiert. Mikrotik kann viel, aber manche frühere Endscheidungen den User in verantwortung zu lassen, waren sicher nicht das Gelbe vom Ei und haben dem Ruf in Sachen Security sicher geschadet.
Die angebotene Default Firewallregeln (Beispiel aus einem neuen Mikrotik hEX (E50UG) sind meiner Meinung nach z.B. nicht schlecht für den Anfang, sofern man diese denn annimmt bei der Ersteinrichtung. Sicher kann man noch überlegen ob man icmp oder ipsec input via WAN haben will/braucht.
Spoiler anzeigen
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN -
Kurzes Update (DNS:NET, Ticket #1866229)
Problem: neuer Tarif - alte Geschwindigkeit (2,5gb/s/1gb/s)DNS:NET hat Messreihen über speedtest.net (Server „DNS:NET Berlin“) zu verschiedenen Tageszeiten angefordert – jeweils mit Screenshots inkl. CPU-Last.
Meine Arbeitshypothese: Das OLT/BNG-Profil wurde noch nicht auf den neuen Tarif umgestellt. Das hat aber der Support natürlich nicht verstanden.
Ich reiche die Messungen ein und melde mich wieder, sobald das Profil angepasst ist bzw. es eine Rückmeldung gibt. -
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
So, nun kommt morgen Nachmittag ein Techniker zu uns.
Warum man das nicht von der Ferne lösen kann konnte man mir nicht sagen.
Ich werde berichten!
Ich bin schon so gespannt!! Kann es kaum erwarten!
-
So, nun kommt morgen Nachmittag ein Techniker zu uns.
Warum man das nicht von der Ferne lösen kann konnte man mir nicht sagen.
Ich werde berichten!
Du bist Versuchskaninchen.
-
Du bist Versuchskaninchen.
Mir egal🤣
Hauptsache es funktioniert danach😉
Das blöde ist, ich bin nicht zu Hause
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Mir egal🤣
Hauptsache es funktioniert danach😉
Das blöde ist, ich bin nicht zu Hause
Neiiiin!..
-
So sieht es aus, wenn es mal läuft...
-
Solche Werte werde ich schon alleine dadurch nicht erreichen da das meine Hardware nicht mitmacht😁
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Solche Werte werde ich schon alleine dadurch nicht erreichen da das meine Hardware nicht mitmacht😁
Ich brauche Updates!
-
Mal andere Server getestet ?
