Configuraties › Concepts ICT - Internet & TV

Deze configuratie stelt je Mikrotik router in om verkeer vanaf je glasvezelmodem naar je interne netwerk te routeren, en om je Animo settopbox achter de router te gebruiken. Daardoor hoef je geen dubbele netwerkkabels te trekken.

Uitgangspunt

Schematische opstelling

Deze configuratie is redelijk complex en stelt de Mikrotik zo in dat hij het internetverkeer routert, en het IPTV signaal doorgeeft. Je moet je voorstellen dat de Mikrotik qua IPTV signaal puur fungeert als een switch. Vervolgens voegen we internet- & IPTV verkeer samen in 1 trunk naar een switch die bijv. in de Woonkamer staat.

Routerconfiguratie


#
# LET OP
# Neem nooit de configuratie klakkeloos over, maar controleer altijd of hij ook
# helemaal klopt met je persoonlijke situatie. Ik kan niet verantwoordelijk
# gehouden worden door onjuiste configuraties etc.
#
# Dit configuratievoorbeeld komt uit een werkende opstelling met een Mikrotik
# RB2011UAS-2HnD-IN, maar stelt geen Wi-Fi netwerk in. Gebruik de configuratie
# als leidraad.
#


# We maken een bridge voor internetverkeer en een bridge voor IPTV
/interface bridge
add name=bridge-internet
add name=bridge-iptv

# Zorg dat alle interfaces een correcte naam hebben
/interface ethernet
set 0 name=ether1
set 1 name=ether2
set 2 name=ether3
set 3 name=ether4
set 4 name=ether5
set 5 name=ether6
set 6 name=ether7
set 7 name=ether8
set 8 name=ether9
set 9 name=ether10

# We maken 2 VLANs, 1 voor internet en 1 voor IPTV. Deze zorgen ervoor dat het
# IPTV en internet verkeer strict gescheiden blijft.
/interface vlan
add interface=ether1 l2mtu=1594 name=vlan1.1 vlan-id=1
add interface=ether1 l2mtu=1594 name=vlan1.3 vlan-id=3

# Deze configuratie gaat er vanuit dat alle apparaten via DHCP een adres krijgen.
# De DHCP server deelt adressen uit in de range 10.0.0.1-10.0.0.200.
/ip pool
add name=default-dhcp ranges=10.0.0.1-10.0.0.200

# DHCP server instellen, deel adressen uit aan alle apparaten die in
# bridge-internet zitten.
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-internet name=default

# Voeg ether2-ether8 toe aan de br internet, ether9 aan br iptv
/interface bridge port
add bridge=bridge-internet interface=ether2
add bridge=bridge-internet interface=ether3
add bridge=bridge-internet interface=ether4
add bridge=bridge-internet interface=ether5
add bridge=bridge-internet interface=ether6
add bridge=bridge-internet interface=ether7
add bridge=bridge-internet interface=ether8
add bridge=bridge-internet interface=vlan1.1
add bridge=bridge-iptv interface=ether9
add bridge=bridge-iptv interface=vlan1.3

# Laat de router zelf luisteren op 10.0.0.254
/ip address
add address=10.0.0.254/24 interface=wlan1 network=10.0.0.0

# De router krijgt via de NTU een publiek adres via DHCP
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether10

# Laat de router de DNS server en gateway zijn voor het interne netwerk
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.254 gateway=10.0.0.254

# Stel de router in als DNS server, we gebruiken de nieuwe KPN DNS server en
# als fallback de 2 DNS servers van Concepts ICT.
/ip dns
set allow-remote-requests=yes servers=37.251.1.100,213.197.30.28,213.197.28.3

# Stel wat klein grut in
/ip firewall connection tracking
set tcp-established-timeout=1h30m

# Timmer het apparaat dicht voor verkeer vanaf het internet
/ip firewall filter
add chain=input connection-state=related in-interface=ether10
add chain=input connection-state=established in-interface=ether10
add action=drop chain=input comment="Invalid packets" connection-state=invalid in-interface=ether10
add action=drop chain=forward connection-state=invalid in-interface=ether10
add action=reject chain=input in-interface=ether10 protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=ether10 protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input in-interface=ether10 protocol=icmp reject-with=icmp-admin-prohibited
add action=log chain=input comment="Log everything else" in-interface=ether10 log-prefix="DROP INPUT"

# Doe NAT op al het verkeer dat de router verlaat via ether10
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10 to-addresses=0.0.0.0 !to-ports

# Stel de tijd in via NTP
/system clock
set time-zone-name=Europe/Amsterdam
/system ntp client
set enabled=yes mode=unicast primary-ntp=194.109.22.18 secondary-ntp=194.109.20.18
		

Switch configuratie

Op de switch moet uiteraard ook nog e.e.a. worden ingesteld. Let erop dat je een zogenaamde L2 switch (managed switch) gebruikt. Normale switches ondersteunen namelijk geen VLANs. Een goede L2 switch is de HP1810G serie.

Screendump instellingen VLANs

We maken eerst 2 VLANs aan. Zorg ervoor dat je hier dezelfde VLAN-nummers gebruikt als in de Mikrotik configuratie.


Screendump instellingen Port participation VLAN1

Zet port1 en 3-7 in als Untagged, op poort 2 komt de Trunk binnen.


Screendump instellingen Port participation VLAN3

Zet port 8 als Untagged, op poort 2 komt de Trunk binnen. Sluit alle andere poorten buiten.

Als je meer poorten wilt gebruiken voor IPTV, zet je ze in VLAN1 op E (Exclude) en in VLAN3 op U (Untagged).