[Ervaringen/discussie] Ubiquiti-apparatuur

Dennischo schreef op zondag 11 september 2016 @ 13:10:
Hmm, al m'n devices willen niet op de 5Ghz. Ze hebben beide zelfde naam, en 5Ghz staat op auto channel en power.

Channel 124,+1 (DFS Waiting)
Transmit Power 20 dBm (EIRP)

Iemand die mij hiermee kan helpen? Echt raar!

djkavaa schreef op vrijdag 09 september 2016 @ 19:14:
[...]


Dat komt dan op de Switch0 omdat je een bridge maakt van alle 3 de poorten;)
De Eth2-3-4 van een Edgerouter PoE kunnen als enige in een Switch gezet worden.

[ Voor 3% gewijzigd door MRE-Inc op 12-09-2016 08:20 ]

MRE-Inc schreef op maandag 12 september 2016 @ 08:19:
[...]


Hmm, okee. Ik heb het 192.168.1.1/24 adres op eth2 zitten nu. De UAP-AC-Lite zit via POE op eth3. Deze krijg een fixed ip adres op basis van mac adres van de DHCP server welke op eth2 zit. Clients die via de UAP-AC-LITE (TEC-AP01) connecten krijgen ook gewoon een ip adres van de DHCP server op eth2. Ik heb nog niet getest of die clients daadwerkelijk andere hosts op het netwerk konden pingen of het internet op konden.

Zie ook het overzicht hieronder. Als ik het 192.168.1.1/24 adres aan switch0 hang, waar komt de DHCP server op te zitten dan ? Moet je daarna nog eth2, eth3 en eth4 van een 192.168.1.x adres voorzien ? Dus:

Switch0: 192.168.1.1/24
Eth2: 192.168.1.2/24
Eth3: 192.168.1.3/24
Eth4: 192.168.1.4/24

DCHP server op eth2.

Eth2, 3 en 4 zitten bij ons dus in switch0 voor de duidelijkheid. Ga ook nog wel even het UBNT forum door spitten Weer een leuk leer momentje.

[afbeelding]

THE_BASE schreef op maandag 12 september 2016 @ 08:16:
Ook na de meest recente update het hele weekend last van wegvallende verbinding op Mac, iPhone en AirPort Express.

Begint me nu echt tegen te staan. Het kost nogal wat en dan verwacht je dat het werkt.

Al diverse instellingen geprobeerd, lijkt echt aan software te liggen. Wat ik doe als de verbinding wegvalt: of even wachten (WiFi blijft namelijk verbonden) of de stekkers uit de Unifi's halen. Daarna draait het weer. Kan nooit de bedoeling zijn zo.

Het gebeurt meestal als er veel gestreamd wordt of teveel apparaten online bezig zijn. Om gek van te worden.

tcviper schreef op maandag 12 september 2016 @ 08:48:
[...]
Of blijven wachten tot Ubiquiti een keer wel alles fixed.....

[ Voor 20% gewijzigd door stormfly op 12-09-2016 08:52 ]

tcviper schreef op maandag 12 september 2016 @ 08:48:
[...]


Het klinkt misschien stom, maar als je echt 100% stabiliteit wilt, zonder 'geklooi', kijk eens naar de Cisco WAP lijn (371/571 bijv) - Small Business. Die dingen hebben wel net ietsjes minder bereik, maar blijven stabiel draaien, sinds laatste firmware (ook met iphones). Of blijven wachten tot Ubiquiti een keer wel alles fixed.....

djkavaa schreef op maandag 12 september 2016 @ 08:39:
[...]


Volgens mij klopt dit aardig inderdaad.

MRE-Inc schreef op maandag 12 september 2016 @ 10:53:
[...]


Heb het aangepast.

switch0: 192.168.1.1/24
eth0 = WAN
eth1 = - (niks configureerd, zit ook geen utp in)
eth2 = 192.168.1.2/24
eth3 = 192.168.1.3/24
eth4 = 192.168.1.4/24

Ik kan nu wel pingen naar bv 192.168.1.11 waar een test server op zit. Echter port forwarding werkt niet meer. Van buitenaf op 443 naar intern 192.168.1.11:443 werkt niet meer.

Bij firewall staat alles correct zo te zien:
WAN interface = eth0
LAN interface = switch0

Portforwarding:
outside port 443
protocol TCP
Forward address to: 192.168.1.11
Forward port to: 443

Waar gaat dit fout ?

[ Voor 8% gewijzigd door Kavaa op 12-09-2016 11:07 ]

m3gA schreef op maandag 12 september 2016 @ 11:09:
Is er een mogelijkheid om op de edgerouter de port en network groups voor de firewall groups te renamen?

djkavaa schreef op maandag 12 september 2016 @ 11:05:
[...]


Reboot?
Verder klopt het naar mijn idee.
En je hebt ook gewoon internet op je machines achter de Switch0
Neem aan dat de overige firewall rules ook aangepast zijn? van Eth1 naar Switch0

Bij mij met meerdere WAN verbindingen staat het zo:

stormfly schreef op maandag 12 september 2016 @ 08:51:
[...]


Dat moment is geweest ze hebben contact gehad met Apple, ze mogen niet vertellen wat er aangepast is in de code (release notes zijn leeg) vanwege het getekende Apple contract. Maar het zou opgelost moeten zijn vanaf heden, zal wel een flinke duit gekost hebben een Apple Consultant.

Je kan zeggen wat je wilt maar UBNT pakt wel door tot echt alles opgelost is, voor mij een zeer waardevolle factor in de aanschaf van apparatuur.

Firmware 3.7.15 zou super stabiel moeten zijn ook met iOS devices. Deze firmware komt automatisch als cloud download binnen met controllers 5.2.4 en 5.3.2.

djkavaa schreef op maandag 12 september 2016 @ 11:30:
Hierbij mijn Firewall Set:

[afbeelding]

Niet veel speciaals maar die LAN_OUT in mijn geval staat dus op de Switch0 weet niet of die bij jou nog op ETH1 staat.

MRE-Inc schreef op maandag 12 september 2016 @ 11:32:
[...]


Dank voor je input. Ik heb helemaal geen LAN_OUT. Die staat ook niet in de config die jullie voor mij gemaakt hebben in juli. Ben wel benieuwd wat er in LAN_OUT moet komen te staan dan aan regels.

djkavaa schreef op maandag 12 september 2016 @ 11:36:
[...]


Dit is alweer een wat oudere config kan zijn, dat het niet nodig was in je geval.
die van mij draait al meer dan een jaar zonder problemen op 1.7 en heb nog geen zin en tijd gehad om alles te updaten met Jeroen.
Gezien ik ook Dual Wan heb met wat zaken die toch wat aandacht vereisen.

Maar denk dat het gewoon zou moeten werken die port forward als je in het NAT tab Switch0 hebt staan zoals ik.

MRE-Inc schreef op maandag 12 september 2016 @ 12:08:
[...]

reboot van de router heeft niet geholpen. Zou echt niet weten waar het in zit. Zelfs als ik op de router via vpn inlog en dan via de webinterface een ping naar een lokale host doe dan krijg ik een
192.168.1.3Destination Host Unreachable

Dit is dus een ping vanaf de router op 192.168.1.1 naar 192.168.1.11. Die 192.168.1.11 hangt achter swith0

[ Voor 30% gewijzigd door NovapaX op 12-09-2016 12:45 ]

NovapaX schreef op maandag 12 september 2016 @ 12:42:
Ik heb thuis een merkwaardig probleem met mijn UAP-LR
Als ik op 2,4Ghz en 5Ghz hetzelfde SSID gebruik wordt er nooit, door geen enkel apparaat, naar 5Ghz geswitcht. (bandsteering on/off maakt geen verschil)
Als ik twee verschillende SSID's gebruik kan ik de 5Ghz wel gewoon selecteren en verbinden gaat prima.

Had al geprobeerd om 2,4Ghz trasmit power op zijn laagst te zetten, maar dat hielp ook niet.

Iemand een idee?

Ik heb het overigens nog niet getest met de laatste firmware... zal ik binnenkort eens doen.

Waarom ik zo graag op 5Ghz wil? de 2,4 Ghz is nogal druk, en daar heb ik soms gewoon 50% packetloss en pingtimes naar het AP van >100ms.
(maar misschien dat de nieuwste firmware dat ook wel oplost... ik heb namelijk vrijwel uitsluitend Apple devices in m'n netwerk zitten.)

tcviper schreef op zondag 11 september 2016 @ 13:15:
[...]


Probeer eens channel 36 of 48
en Transmit Power naar Auto.

[ Voor 5% gewijzigd door LightStar op 12-09-2016 13:15 ]

NovapaX schreef op maandag 12 september 2016 @ 12:42:
Ik heb thuis een merkwaardig probleem met mijn UAP-LR
Als ik op 2,4Ghz en 5Ghz hetzelfde SSID gebruik wordt er nooit, door geen enkel apparaat, naar 5Ghz geswitcht. (bandsteering on/off maakt geen verschil)
Als ik twee verschillende SSID's gebruik kan ik de 5Ghz wel gewoon selecteren en verbinden gaat prima.

Had al geprobeerd om 2,4Ghz trasmit power op zijn laagst te zetten, maar dat hielp ook niet.

Iemand een idee?

Ik heb het overigens nog niet getest met de laatste firmware... zal ik binnenkort eens doen.

Waarom ik zo graag op 5Ghz wil? de 2,4 Ghz is nogal druk, en daar heb ik soms gewoon 50% packetloss en pingtimes naar het AP van >100ms.
(maar misschien dat de nieuwste firmware dat ook wel oplost... ik heb namelijk vrijwel uitsluitend Apple devices in m'n netwerk zitten.)

[ Voor 11% gewijzigd door iCrOn op 12-09-2016 13:26 . Reden: screenshot toegevoegd. ]

djkavaa schreef op maandag 12 september 2016 @ 12:18:
[...]


Denk dan toch dat Jeroen hier even naar moet kijken... Doe even een mailtje naar hem met mij in de CC:)

MRE-Inc schreef op maandag 12 september 2016 @ 13:55:
[...]


Dank voor het aanbod. Denk dat ik het al heb opgelost.

De switch0 was zijn config kwijt. Toen ik die openende stonden eth2, eth3 en eth4 niet meer aangevinkt. Nadat ik ze weer had aangevinkt, werkte port forwarding ook weer.

djkavaa schreef op maandag 12 september 2016 @ 11:14:
[...]


Niet via de GUI, misschien via de CLI nog nooit gedaan eerlijk gezegd.

NovapaX schreef op maandag 12 september 2016 @ 12:42:

Had al geprobeerd om 2,4Ghz trasmit power op zijn laagst te zetten, maar dat hielp ook niet.

Iemand een idee?

laurens0619 schreef op maandag 05 september 2016 @ 16:43:
[...]

Yes, of 30 prijsverschil het je waard is moet je zelf uitmaken. Ik heb de non-sfp variant met losse PoE injectors ertussen. Maar dat komt omdat ik goedkope hollander ben

THE_BASE schreef op maandag 12 september 2016 @ 12:07:
Inmiddels e-mail gekregen van Ubiquiti: heb een speciale develop.5162 firmware gekregen en geïnstalleerd. Deze zou het toch echt moeten verhelpen. Ben enorm benieuwd. Vingers gekruist dan maar!

[ Voor 29% gewijzigd door MRE-Inc op 13-09-2016 13:16 ]

THE_BASE schreef op dinsdag 13 september 2016 @ 13:12:
Wat @wopper zegt: wel wifi, geen internet. Zeer frustrerend, al maandenlang. Alles geprobeerd, zoals hierboven al eerder gepost.

Laat ik het afkloppen: vooralsnog gisteren geen downtime gehad.

stormfly schreef op dinsdag 13 september 2016 @ 13:34:
[...]


Alleen op IOS (welke devices?) of ook op MAC? Heb je de laatste van vandaag al geladen die schijnt weer beter te zijn 3.7.17.

Jammer genoeg heb ik de bug niet (vaak) dus ik kan het niet testen.

MRE-Inc schreef op dinsdag 13 september 2016 @ 13:13:
Ik ben een beetje aan het uitvogelen hoe je bepaalde websites kunt blocken in de Edge Router. Hoe hebben jullie het gedaan ? Ik heb 2 firewall rulesets, namelijk WAN_IN en WAN_LOCAL. Ik heb nu in WAN_IN een 2 tal websites (Facebook en twitter) geblokkeerd en dat werkt, maar vroeg me af of dit de goede manier is.

Tevens vraag ik me af hoe je kan zien wat allemaal binnen een application category zit.
https://community.ubnt.co...1-8-5/m-p/1610334#M117208

Dat ubnt-dpi-util werkt niet bij mij. Moet nog wat verder zoeken, maar tot op nu even nog niet gevonden hoe dat werkend te krijgen.

[afbeelding]

stormfly schreef op dinsdag 13 september 2016 @ 13:34:
[...]


Alleen op IOS (welke devices?) of ook op MAC? Heb je de laatste van vandaag al geladen die schijnt weer beter te zijn 3.7.17.

Jammer genoeg heb ik de bug niet (vaak) dus ik kan het niet testen.

[ Voor 10% gewijzigd door zeroday op 13-09-2016 15:52 ]

THE_BASE schreef op dinsdag 13 september 2016 @ 19:46:
De speciale developer-firmware voor Apple-gebruikers blijft ook na 24 uur positief. Wellicht te kort om te ervaren, maar ik had eerder al een downtime gehad.

Alle apparaten die op 5Ghz kunnen werken daar nu op, eerder veelal op 2.4Ghz. Ook hebben de apparaten nu logischerwijs verbinding met het dichtstbijzijnde AP. Ook niet onbelangrijk.

Streamen, surfen... alles lijkt nu soepel en stabiel te zijn. Nu maar hopen dat dit zo blijft. Voor wie problemen heeft: die developer-firmware lijkt de oplossing.

TPA schreef op dinsdag 13 september 2016 @ 22:34:
[...]

Linkje?

THE_BASE schreef op dinsdag 13 september 2016 @ 22:49:
[...]


Oeps.

http://community.ubnt.com...pple-devices/ba-p/1669888

stormfly schreef op woensdag 14 september 2016 @ 07:15:
[...]


Wil je (5.2.5) 3.7.17 van hieronder eens proberen, ik ben wel benieuwd die zou het nog beter moeten maken qua Apple devices? Die lost ook nog een extra bug op waarbij roamen vanaf 2 naar 5 of 5 naar 2 niet altijd goed ging.

[ Voor 7% gewijzigd door THE_BASE op 14-09-2016 07:49 ]

THE_BASE schreef op woensdag 14 september 2016 @ 07:48:
[...]


Naar ik meen heb ik die 3.7.15 zondag dus al geprobeerd alleen die gaf dezelfde problemen gewoon weer. Dit is de eerste die het nu dagen volhoudt en als je het niet erg vindt blijf ik er nu liever even af, haha.

Ik zal mijn contact eens mailen of dit te vergelijken is met die developer.

• [UAP] Further improvements to mitigate intermittent connectivity conditions.
• [UAP] Further improvements to Apple device compatibility.
• [UAP] Further improvements to multicast performance/packet success rate (PSR).
• [UAP] Fix wireless uplink issue introduced in 3.7.12.
• Do note that DFS channels can not be used for wireless uplink as of this release. Please use non-DFS channels if you need to use wireless uplink on dual band UAPs.
• It appears that VHT80 uplinks work on channel 36 and 149, but may not work with other channels selected (44, 153, 159). This bug has been present for a while. VHT20/40 and HT20/40 should work properly.

[ Voor 3% gewijzigd door stormfly op 14-09-2016 08:40 ]

[ Voor 45% gewijzigd door THE_BASE op 14-09-2016 10:35 ]

BluRay schreef op woensdag 14 september 2016 @ 16:36:
Op de USG kan je toch ook L2TP (en dacht tegenwoordig ook OpenVPN) instellen?

rally schreef op woensdag 14 september 2016 @ 16:47:
[...]

Ja, voor Site2Site. Maar ik gebruik een Remote User VPN en daar kun je niets instellen. Is standaard PPTP.

Dus moet ik even gaan puzzelen hoe ik dat dan voor elkaar ga krijgen...

rally schreef op woensdag 14 september 2016 @ 16:47:
[...]

Ja, voor Site2Site. Maar ik gebruik een Remote User VPN en daar kun je niets instellen. Is standaard PPTP.

Dus moet ik even gaan puzzelen hoe ik dat dan voor elkaar ga krijgen...

rally schreef op woensdag 14 september 2016 @ 16:11:
Mhhh... zojuist mijn iPhone een update gegeven naar iOS 10.

Apple heeft de VPN opties een "upgrade" gegeven en daarmee PPTP er uit gesloopt (IKEv2, IPSec en L2TP zijn nu de opties). Op zich erg lekker, maarrrr. hoe moet ik nu de VPN client van mijn USG verbinden?

Iemand hier een idee?

NovapaX schreef op woensdag 14 september 2016 @ 20:26:
Ik heb hier zojuist firmware 3.7.17 op de UAP-AC-LR geïnstalleerd.
De problemen met het automatisch switchen naar 5Ghz zijn nu opgelost. Zonder 'handmatige' instellingen, dus alles op standaard/auto (ook de kanaalkeuze) wordt nu wel gewoon de 5Ghz band gebruikt door alle apparaten die dat kunnen. Dat is in dit geval kanaal 108 (DFS), dus ook niet 'toevallig' kanaal 36.

LightStar schreef op donderdag 15 september 2016 @ 07:56:
[...]


Zojuist ook maar gedaan eens kijken of het nu wel goed werkt.., mijn iPhone en een android toestel gaan nu steeds terug na 2G ipv 5G...

Als het goed is komt volgende week (en ze hopen maandag) de nieuwe Unifi Controller uit (stable)

Yoki1985 schreef op donderdag 15 september 2016 @ 08:17:
Ik wil 2 Ubiquiti UniFi UAP-AC-LR AP's bestellen. Maar is het hiermee mogelijk om deze als repeater te gebruiken?

Bijvoorbeeld:
Ik hang 1 AP binnen in huis aangesloten op het internet. De 2de plaats ik achter in de garage. Deze krijgt geen rechtstreeks internet via de kabel maar zou het signaal van de 1ste moeten gebruiken om op het internet te connecteren en door te geven aan de switch waar de AP op hangt.

• Ziggo Ubee 3200 modem
• ZyXEL Zywall USG 100 router
• Ubiquiti UniFi AC Outdoor AP
• ASUS 5-poorts switch

• VPN verbindingen maken naar mijn interne netwerk met mijn mobiele devices (Android, iOS en Windows)
• Alles extern kunnen beheren
• Ubiquiti camera's via WiFi en bedraad (PoE) aansluiten
• Guest portal
• Bepaalde VPN users in een aparte VLAN zetten
• PIA ondersteuning

nielsn schreef op donderdag 15 september 2016 @ 12:40:
Ik ben aan het kijken om thuisnetwerk te upgraden en ben gecharmeerd van de Ubiquiti apparatuur.
Mijn huidige netwerk setup bestaat uit:

• Ziggo Ubee 3200 modem
• ZyXEL Zywall USG 100 router
• Ubiquiti UniFi AC Outdoor AP
• ASUS 5-poorts switch

Aan de router is een VMware server met o.a. Plex, Rpi met Home Assistant en de AP aangesloten. Vanuit de meterkast loopt er een kabel naar de switch in de huiskamer.

In de huiskamer zitten er een Philips Hue, TV, Ziggo ontvanger, mediaspeler en een PC aangesloten via de switch. Draadloos zijn er twee Chromecasts, 3 mobiele telefoons, een Chromebook, twee tablets en een WiFi camera aangesloten.

In de nabije toekomst komt er een waarschijnlijk een 500/500 glasvezel lijn waarbij ik dan niet weer nieuwe hardware moet aanschaffen om deze volledig te benutten.

Wat wil ik met de nieuwe hardware kunnen:

• VPN verbindingen maken naar mijn interne netwerk met mijn mobiele devices (Android, iOS en Windows)
• Alles extern kunnen beheren
• Ubiquiti camera's via WiFi en bedraad (PoE) aansluiten
• Guest portal
• Bepaalde VPN users in een aparte VLAN zetten
• PIA ondersteuning

Zelf zat ik te denken aan de volgende configuratie:

#	Product	Prijs	Subtotaal
1	Ubiquiti UniFi AC Outdoor	€ 473,11	€ 473,11
1	Ubiquiti EdgeRouter PoE - 5-Port	€ 168,90	€ 168,90
1	Ubiquiti UniFi Cloud Key	€ 87,31	€ 87,31
1	Ubiquiti IP Camera UVC-Micro WiFi - 1 stuk	€ 114,20	€ 114,20
Bekijk collectie Importeer producten		Totaal	€ 843,52

Hebben jullie nog op of aanmerkingen op deze configuratie in combinatie met mijn eisen?

nielsn schreef op donderdag 15 september 2016 @ 16:50:
De outdoor AC AP heb ik in bruikleen van de firma, had eerst een normale AP alleen deze gaf geen verbinding meer na een x aantal uren. Heb deze trouwens in mijn meterkast hangen.

De camera heb ik nog niet direct nodig, mijn Foscam R1 voldoet ook nog prima.

nielsn schreef op donderdag 15 september 2016 @ 16:50:
De outdoor AC AP heb ik in bruikleen van de firma, had eerst een normale AP alleen deze gaf geen verbinding meer na een x aantal uren. Heb deze trouwens in mijn meterkast hangen.

De camera heb ik nog niet direct nodig, mijn Foscam R1 voldoet ook nog prima.

Ethirty schreef op donderdag 15 september 2016 @ 18:27:
[...]

Als je hem toch binnenhangt zou ik zéker geen oudoor kopen, voor het geld koop je bijna 3 AC LR.

[ Voor 19% gewijzigd door Catmandos op 15-09-2016 18:59 ]

rally schreef op vrijdag 16 september 2016 @ 00:05:
Net getest met 5.2.5 adoption in mijn AWS controller.

Als ik een AP AC Lite adopt in mijn netwerk direct achter de USW-3P dan werkt dat prrrrima.

Als ik dezelfde AP vanaf een ander netwerk probeer te adopteren (dus niet achter een reeds geadopteerde USW), dan werkt het niet.

Dus blijkbaar zit er toch nog een inform bug in. Ik ga wel even kijken hoe ik een bug report bij Ubiquiti kan doen.

Totaalgeflipt schreef op vrijdag 16 september 2016 @ 06:27:
[...]

Ik heb ook problemen met adopten icm met een Lite. Oplossing leek te zijn een ipadres te gebruiken in de inform url en niet via dns verbinding te maken.

[ Voor 85% gewijzigd door Equator op 16-09-2016 22:10 ]

Geckoo schreef op vrijdag 16 september 2016 @ 13:46:
[small]psst nieuwe telefoon kopen?

rally schreef op vrijdag 16 september 2016 @ 08:58:
[...]


Helaas. Op IP adres werkt het ook niet. Blijft op "disconnected" staan.

Dit is toch wel een serieuze bug, want zo kun je dus geen enkel apparaat buiten een bestaan netwerk meer adopteren. Ga van de week over naar een USG Pro, en ik ben benieuwd hoe ik die dan kan adopteren. Wellicht eerst maar in een andere (tijdelijke) site adopteren en dan verplaatsen.

En anders maar weer de controller (tijdelijk) downgraden naar 5.0.7

mauricedetmers schreef op zaterdag 17 september 2016 @ 17:10:
Dit heb ik inderdaad ook gelezen dat het enige verschil tussen de edgerouter en de usg de management tool is. En aangezien ik ook van plan ben om eventueel meerdere site's te creëren en Accesspoints te gaan gebruiken vond ik de USG zeer interessant omdat je dit in één tool kan doen.

Nu heb ik ook wel config gevonden van de edgerouter, echter weet ik dus niet of dit zo exact te copy/pasten is op de USG i.v.m. de GUI.
https://kriegsman.io/2016...-edgerouter-lite-for-kpn/

[ Voor 3% gewijzigd door MRE-Inc op 17-09-2016 19:51 ]

MRE-Inc schreef op zaterdag 17 september 2016 @ 19:50:
Iemand ervaring met de ERL als VPN client ? Ik heb een vpn account bij een vpn provider maar nu wil ik af en toe dat al het internet verkeer via die vpn loopt.

Heb de 2 handleidingen van UBTN-Stig gevolgd in dit topic voor zowel PPTP Vpn als OpenVPN maar het verkeer gaat niet over de vpn.

https://community.ubnt.co...-Lite/m-p/1261282#M66319w

Iemand een goede guide die wel werkt ?

alexwel schreef op zaterdag 17 september 2016 @ 20:57:
[...]


Ik heb op een EdgeRouter Lite zowel OpenVPN Site-to-Site als LT2P over IPsec VPN draaien en dat werkt prima.

Dit heb ik volgens de volgende pagina's ingesteld:
https://help.ubnt.com/hc/...2TP-over-IPsec-VPN-server
https://help.ubnt.com/hc/...eMAX-OpenVPN-Site-to-Site

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

- download the CA cert

cd /config/auth
curl -O https://www.goldenfrog.com/downloads/ca.vyprvpn.com.crt

- create a file with username and password

ubnt@ubnt:/config/auth$ cat secret.txt                                          
<username>                                                     
<password>

- create a ovpn config file:

ubnt@ubnt:/config/auth$ cat vyprvpn.ovpn                                        
client                                                                          
dev-type tun                                                                    
proto udp                                                                       
remote us7.vpn.goldenfrog.com 1194                                              
resolv-retry infinite                                                           
nobind                                                                          
persist-key                                                                     
persist-tun                                                                     
ca /config/auth/ca.vyprvpn.com.crt                                              
auth-user-pass /config/auth/secret.txt                                          
comp-lzo                                                                        
verb 3                                                                          
user nobody                                                                     
group nogroup                    

- go into configuration mode 

configure                                                          
set interfaces openvpn vtun0 config-file /config/auth/vyprvpn.ovpn   
commit                                                               
save                                                                 
exit

MRE-Inc schreef op zaterdag 17 september 2016 @ 21:25:
[...]


Dank voor de links. L2TP over IPsec heb ik idd werkend draaien, dat was het probleem niet.

Jij maakt gebruik van site-to-site vpn, ik moet client-to-site hebben. Heb onderstaande uitgevoerd, maar het verkeer van het LAN gaat niet over de vtun0

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

- download the CA cert cd /config/auth curl -O https://www.goldenfrog.com/downloads/ca.vyprvpn.com.crt - create a file with username and password ubnt@ubnt:/config/auth$ cat secret.txt <username> <password> - create a ovpn config file: ubnt@ubnt:/config/auth$ cat vyprvpn.ovpn client dev-type tun proto udp remote us7.vpn.goldenfrog.com 1194 resolv-retry infinite nobind persist-key persist-tun ca /config/auth/ca.vyprvpn.com.crt auth-user-pass /config/auth/secret.txt comp-lzo verb 3 user nobody group nogroup - go into configuration mode configure set interfaces openvpn vtun0 config-file /config/auth/vyprvpn.ovpn commit save exit

MRE-Inc schreef op zaterdag 17 september 2016 @ 21:25:
[...]


Dank voor de links. L2TP over IPsec heb ik idd werkend draaien, dat was het probleem niet.

Jij maakt gebruik van site-to-site vpn, ik moet client-to-site hebben. Heb onderstaande uitgevoerd, maar het verkeer van het LAN gaat niet over de vtun0

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

- download the CA cert cd /config/auth curl -O https://www.goldenfrog.com/downloads/ca.vyprvpn.com.crt - create a file with username and password ubnt@ubnt:/config/auth$ cat secret.txt <username> <password> - create a ovpn config file: ubnt@ubnt:/config/auth$ cat vyprvpn.ovpn client dev-type tun proto udp remote us7.vpn.goldenfrog.com 1194 resolv-retry infinite nobind persist-key persist-tun ca /config/auth/ca.vyprvpn.com.crt auth-user-pass /config/auth/secret.txt comp-lzo verb 3 user nobody group nogroup - go into configuration mode configure set interfaces openvpn vtun0 config-file /config/auth/vyprvpn.ovpn commit save exit

[ Voor 10% gewijzigd door BluRay op 17-09-2016 21:55 ]

BluRay schreef op zaterdag 17 september 2016 @ 21:50:
[...]

Heb je wel een NAT rule aangemaakt zodat al het verkeer dat over de vtun0 interface gaat genat wordt? De andere kant kent jouw subnet niet. (Je moet een source nat masquerade rule aanmaken)
Naast het NAT verhaal zul je waarschijnlijk ook nog een route aan moeten maken, maar weet niet of dat moet in je EdgeRouter of dat je iets in je .ovpn file moet aanpassen.

EDIT:
routes aanmaken doe je alsvolgt:
set protocols static route 0.0.0.0/0 next-hop x.x.x.x distance 1 (bij x.x.x.x typ je het IP-adres van de andere kant van je openvpn verbinding)
set protocols static route 0.0.0.0/0 next-hop x.x.x.x distance 10 (bij x.x.x.x typ je het IP-adres van de gateway van je ISP)

1
2

set service nat rule 5000 outbound-interface vtun0
set service nat rule 5000 type masquerade

MRE-Inc schreef op zaterdag 17 september 2016 @ 21:57:
[...]


Ja, ik heb het onderstaande uitgevoerd:

code:

1 2	set service nat rule 5000 outbound-interface vtun0 set service nat rule 5000 type masquerade

De overige nat rules heb ik uitgeschakeld. Die waren van het LAN naar eth0.34, welke mijn WAN interface is. Zodra ik die enable, zie ik de zgn count op het NAT tabblad weer oplopen. Zodra ik deze disable en de NAT masquerade rule voor vtun0 weer aan zet, dan blijft de count op 0 staan. Er gaat dus niks over heen.

BluRay schreef op zaterdag 17 september 2016 @ 21:59:
[...]


Dan gaat er waarschijnlijk iets mis met de routering. Zie mijn laatste edit.

MRE-Inc schreef op zaterdag 17 september 2016 @ 22:20:
[...]


Ook dat had ik aangepast. Ik vraag me af hoe vtun0 weet dat hij over eth0.34 moet gaan want dat is mijn WAN interface.

Bij de NAT rule 5000 staat dat de outgoing interface vtun0 is. Verder staat er niks ingevuld.

De guide die UBNT-Stig heeft gemaakt heeft, heeft ook een dchp WAN adres op eth0, net als bij mij al moet ik voor mijn ISP wel een eth.034 vlan maken.

[ Voor 76% gewijzigd door BluRay op 17-09-2016 22:30 ]

BluRay schreef op zaterdag 17 september 2016 @ 22:29:
[...]


Kan je de output van 'show openvpn status client' en 'show ip route' posten?

1
2

user@MRE-ERL:~$ show openvpn status client
Cannot find active OpenVPN client connections

1
2
3
4
5
6
7
8
9
10
11
12
13

user@MRE-ERL:~$ show ip route
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       > - selected route, * - FIB route, p - stale info
IP Route Table for VRF "default"
S    *> 0.0.0.0/0 [1/0] via 209.99.115.73 (recursive via 84.245.14.1 )
S       0.0.0.0/0 [210/0] via 84.245.14.1, eth0.34
C    *> 84.245.14.0/23 is directly connected, eth0.34
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 192.168.1.0/24 is directly connected, eth1
K    *> 209.99.115.73/32 [0/0] via 84.245.14.1, eth0.34

[ Voor 3% gewijzigd door MRE-Inc op 17-09-2016 22:36 ]

MRE-Inc schreef op zaterdag 17 september 2016 @ 22:33:
[...]

code:

1 2	user@MRE-ERL:~$ show openvpn status client Cannot find active OpenVPN client connections

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

user@MRE-ERL:~$ show ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 > - selected route, * - FIB route, p - stale info IP Route Table for VRF "default" S *> 0.0.0.0/0 [1/0] via 209.99.115.73 (recursive via 84.245.14.1 ) S 0.0.0.0/0 [210/0] via 84.245.14.1, eth0.34 C *> 84.245.14.0/23 is directly connected, eth0.34 C *> 127.0.0.0/8 is directly connected, lo C *> 192.168.1.0/24 is directly connected, eth1 K *> 209.99.115.73/32 [0/0] via 84.245.14.1, eth0.34

m3gA schreef op maandag 12 september 2016 @ 11:09:
Is er een mogelijkheid om op de edgerouter de port en network groups voor de firewall groups te renamen?

1
2
3
4
5
6

configure
edit firewall group
rename network-group Y to network-group Z
top
commit
save

LightStar schreef op vrijdag 16 september 2016 @ 07:30:
https://community.ubnt.co...ate-Released/ba-p/1678163

Stable candidate is released, dus nu nog een paar dagen voor de "echte" versie.

[ Voor 4% gewijzigd door TPA op 19-09-2016 10:13 ]