Beantwoord

Voorbeeldconfiguratie MikroTik 912UAG-5HPnD met ME909s-120 mini-PCIe modem

  • 17 oktober 2018
  • 3 reacties
  • 3307 Bekeken

Hallo allemaal,

ik heb sinds kort 4G voor thuis als backup internetverbinding. Ik werk veel vanuit huis, dus daarom is een reserveverbinding belangrijk voor mij.

Ik ben wel een "tweaker" en ik wilde niet de standaard modem/router van T-Mobile zelf gebruiken, maar een MikroTik 912UAG-5HPnD met een Huawei ME909s-120 mini-PCIe LTE-modem. MikroTik maakt goed betaalbare netwerkapparatuur waarbij je écht alles zelf in kan stellen en helemaal "eigen baas" bent. (Je wordt niet tegen jezelf beschermd, dus configuratiefouten kunnen hard worden afgestraft. 😉) Het is apparatuur voor de gevorderde netwerkspecialist, niet voor de consument die een klik-aan-klaar-oplossing zoekt.

Ik heb een werkende voorbeeldconfiguratie gemaakt, gebaseerd op de standaardconfiguratie die "vroeger" in RouterOS zat. Deze is getest met de huidige long-term-release versie 6.42.9. Alleen wat gevoelige informatie heb ik eruit geknipt (>).

code:
# Let op: zelf doen: /system routerboard usb set type=mini-PCIe
# Deze instelling wordt blijkbaar niet standaard mee-geëxporteerd.
# Daar kan je lang naar zoeken...
#
# oct/17/2018 09:04:07 by RouterOS 6.42.9
#
# model = 912UAG-5HPnD
# serial number = >
/interface list
add comment=wan name=wan
add comment=lan name=lan
add comment="mikrotik discovery" name=discover
/interface lte apn
add apn=fms
/interface lte
set [ find ] apn-profiles=fms mac-address=> name=lte1 \
network-mode=lte pin=>
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk disable-pmkid=yes eap-methods="" \
group-key-update=1h management-protection=allowed mode=dynamic-keys name=\
profile-wifi supplicant-identity="" wpa2-pre-shared-key=>
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-onlyn country=netherlands disabled=\
no distance=indoors frequency=5200 frequency-mode=regulatory-domain mode=\
ap-bridge rx-chains=0,1 security-profile=profile-wifi ssid=\
> tx-chains=0,1 wireless-protocol=802.11 wmm-support=\
enabled wps-mode=disabled
/ip pool
add name=pool-88 ranges=192.168.88.101-192.168.88.200
add name=pool-90 ranges=192.168.90.101-192.168.90.200
/ip dhcp-server
add address-pool=pool-88 disabled=no interface=ether1 lease-time=2h name=\
dhcp-88
add address-pool=pool-90 disabled=no interface=wlan1 lease-time=2h name=\
dhcp-90
/ip neighbor discovery-settings
set discover-interface-list=discover
/ip settings
set rp-filter=strict
/interface list member
add interface=lte1 list=wan
add interface=ether1 list=lan
add interface=wlan1 list=lan
add interface=ether1 list=discover
add interface=wlan1 list=discover
/ip address
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
add address=192.168.90.1/24 interface=wlan1 network=192.168.90.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=lte1 script=":local n\
atComment \"lte1 nat\";\
\n:local natCount [/ip firewall nat print count-only where comment=\$natCo\
mment out-interface=\$interface];\
\n:log info \"dhcp-client on \$interface script execution, bound=\$bound\"\
;\
\n:if (\$bound = 1) do={\
\n :if (\$natCount = 0) do={\
\n /ip firewall nat add action=src-nat chain=srcnat comment=\$natCo\
mment \\\
\n ipsec-policy=out,none out-interface=\$interface \\\
\n to-addresses=\$\"lease-address\"\
\n :log info \"dhcp-client: firewall src-nat rule added\";\
\n } else={\
\n :if (\$natCount = 1) do={\
\n :local natRule [/ip firewall nat find where comment=\$natCom\
ment out-interface=\$interface];\
\n :if ([/ip firewall nat get \$natRule to-addresses] != \$\"le\
ase-address\") do={\
\n /ip firewall nat set \$natRule to-addresses=\$\"lease-ad\
dress\"\
\n :log info \"dhcp-client: firewall src-nat rule updated\"\
;\
\n }\
\n } else={\
\n :error \"Multiple nat rules found\";\
\n }\
\n }\
\n}" use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
add address=192.168.90.0/24 dns-server=192.168.90.1 gateway=192.168.90.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!lan
add action=accept chain=forward comment="accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=wan
# Welk IPv4-adres hieronder staat doet er niet toe. Zodra de internetverbinding
# opkomt wordt deze overschreven met het actuele IPv4-adres (zie script bij
# DHCP-client).
/ip firewall nat
add action=src-nat chain=srcnat comment="lte1 nat" ipsec-policy=out,none \
out-interface=lte1 to-addresses=192.0.2.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set host-key-size=4096 strong-crypto=yes
/system clock
set time-zone-name=Europe/Amsterdam
/system leds
# using RSRP, modem-signal-treshold ignored
set 0 interface=lte1 type=modem-signal
add interface=lte1 leds=user-led type=interface-activity
/system ntp client
set enabled=yes server-dns-names=0.europe.pool.ntp.org,1.europe.pool.ntp.org
/system routerboard settings
set init-delay=3s reformat-hold-button=10s silent-boot=yes
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=discover
# Bij allowed-number het nummer van de SIM-kaart in internationaal formaat:
# +31970etc.
/tool sms
set allowed-number=> keep-max-sms=10 port=lte1 receive-enabled=\
yes


Het valt mij op dat de lease-tijd van de DHCP-lease van T-Mobile 6 dagen is, terwijl ik elders op dit forum heb gelezen dat het publieke IPv4-adres elke 24 uur wisselt. Is dit recent veranderd of staat me nog een verrassing te wachten en kan ik beter elke 24 uur zelf om een nieuw adres laten vragen?
icon

Beste antwoord door tmoesel 17 oktober 2018, 17:59

Er is (minimaal) 1x per 24uur een LTE network disconnect (dus infrastructure initiated), daarna weer een cell-search van je modem en vervolgens weer een LTE connect (even aangenomen dat je 4G-only bedrijft). Als de lease-tijd is verlopen of half-time is, kan de client b.v. om verlenging vragen. Maar als simpelweg het fysieke kanaal wegvalt en daarna weer via een niet noodzakelijk zelfde weg wordt verbonden kan het process anders verlopen.

Een tijd geleden monitorde in de verbinding 24/7 en sommige nachten zag je geen lange disconnect, alleen maar Cell-ID wissel. Misschien dat in dat geval het IP adres hetzelfde kan blijven, maar kan ik niet zeggen want ik heb een vast IP-adres (van de pilot nog) een ook geen Unlimited maar oude ('17) abo.

Ik zou sowieso denk ik per 24 uur werken, want de verbinding blijft maar max 24 uur behouden.
Bekijk origineel

3 reacties

Reputatie 6
Badge +11
Er is (minimaal) 1x per 24uur een LTE network disconnect (dus infrastructure initiated), daarna weer een cell-search van je modem en vervolgens weer een LTE connect (even aangenomen dat je 4G-only bedrijft). Als de lease-tijd is verlopen of half-time is, kan de client b.v. om verlenging vragen. Maar als simpelweg het fysieke kanaal wegvalt en daarna weer via een niet noodzakelijk zelfde weg wordt verbonden kan het process anders verlopen.

Een tijd geleden monitorde in de verbinding 24/7 en sommige nachten zag je geen lange disconnect, alleen maar Cell-ID wissel. Misschien dat in dat geval het IP adres hetzelfde kan blijven, maar kan ik niet zeggen want ik heb een vast IP-adres (van de pilot nog) een ook geen Unlimited maar oude ('17) abo.

Ik zou sowieso denk ik per 24 uur werken, want de verbinding blijft maar max 24 uur behouden.
Ik zit naar iets vergelijkbaars te kijken (ook met een MikroTik routertje), maar ik kwam er achter dat die LTE module van Huawei geen TDD-LTE ondersteund. Dat vond ik wel erg jammer. Weet iemand ook een modem (via MiniPCI-e) die wel band 38 op TDD LTE ondersteund?
Reputatie 6
Badge +11
Ik zit naar iets vergelijkbaars te kijken (ook met een MikroTik routertje), maar ik kwam er achter dat die LTE module van Huawei geen TDD-LTE ondersteund. Dat vond ik wel erg jammer. Weet iemand ook een modem (via MiniPCI-e) die wel band 38 op TDD LTE ondersteund?
SierraWireless MC7430, Huawei ME909s-821

Reageer