Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

[Ervaringen/discussie] Ubiquiti-apparatuur - Deel 2 Vorige deelOverzicht

Pagina: 1 2 3 ... 46 Laatste
Acties:

Acties:
  • +1Henk 'm!

  • maarud
  • Registratie: mei 2005
  • Nu online
Mede-auteurs:
  • djkavaa
  • Registratie: november 2009
  • Nu online

djkavaa

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-11 14:49

Jeroen_ae92

Klik hier om naar het einde van de OP te springen



Inleiding

Ubiquiti is een Amerikaans bedrijf, opgericht in 2005, en voornamelijk leverancier van (enterprise) netwerkapparatuur als routers, switches, VOIP-telefonie en access points. Tevens leveren zij sinds kort ook zonnepanelen en de bijbehorende apparatuur.

De focus van dit topic ligt voornamelijk op de netwerkapparatuur uit de EdgeMAX en Unifi-lijn en daarom worden de Video, VOIP, straalapparatuur en SunMAX-apparatuur niet in de TS vermeld.

EdgeMax


De EdgeMax series bevatten de EdgeRouters en EdgeSwitches.
https://tweakers.net/ext/f/11IflYYxrT6oOtHoF6aJd25Z/thumb.jpg
ER X
https://tweakers.net/ext/f/jq4NFHlI1pXYqq2oeQg9WGVo/thumb.jpg
ER X SFP
https://tweakers.net/ext/f/ANEbBUaddIGSkEaoKlGsQ9P2/thumb.jpg ER Litehttps://tweakers.net/ext/f/p9ru9aWKeQvicXINiBYRtIpB/thumb.jpg
ER POE
https://tweakers.net/ext/f/uhfPoq4fpn2RlYGa4ptviNdu/thumb.jpg
ER
https://tweakers.net/ext/f/Qeye39rMu3TgvPdJf0jGKa09/thumb.jpg
ER PRO
Poorten5x Gbps5x Gbps
1x SFP
3x Gbps
1x console
5xGbps
1x console
8xGbps
1x console
6xGbps
2x SFP/RJ45 Gbps combo
1x console
Power in1x 24V Passive PoE
of min. 12V adapter
24V adapter9-24V (12V incl.)48V adapter240V240V
PoE out1x 24V Passive5x 24V Passive-5x 48V/24V--
CPU2x 880Mhz MIPS1004Kc2x 880Mhz MIPS1004Kc2x 500Mhz MIPS642x 500Mhz MIPS642x 800Mhz MIPS642x 1Ghz MIPS64
Performance1.000.000pps (64B)
3 Gbps (>512B)
1.000.000pps (64B)
3 Gbps (>512B)
2.000.000pps (64B)
8 Gbps (>512B)
2.000.000pps (64B)
8 Gbps (>512B)
RAM256MB DDR3256MB DDR3512MB DDR2512MB DDR22GB DDR32GB DDR3
Storage256MB256MB2GB2GB4GB4GB
OverigTest tussen de ERL en MikroTikRackmountableRackmountable


EdgeOS
https://tweakers.net/ext/f/iKao3yW9lMreNlsG0h3E8arV/thumb.pnghttps://tweakers.net/ext/f/JrtKf4Ojnc5xGwvKGj6KyiHp/thumb.pnghttps://tweakers.net/ext/f/2Zg3cBIB87iavemqxsJuiNLR/thumb.pnghttps://tweakers.net/ext/f/HYggSnYptE8EMOX15hzq24Fy/thumb.pnghttps://tweakers.net/ext/f/eUKrchA22Od6qdvjPwAab2Kd/thumb.pnghttps://tweakers.net/ext/f/S0g8JezdnT4Q4hVwN6X5nVRc/thumb.png
  • Intuïtieve en krachtige interface, web-based met drag/drop, real time statistics en CLI vanuit de browser
  • Omvangrijke feature set: VLANs, bridging, bonding, ACL/zone firewalls, VPN (OpenVPON, L2TP, PPTP)
  • Open Platform: Gebaseerd op Debian Linux, complete toegang tot het filesystem, root en de shell, en mogelijkheid tot het installeren van Debian packages Foto's door Jeroen_ae92, thanx!


UniFi


UniFi AP
  • WiFi: 802.11 b/g/n (2.4Ghz)
  • Gewicht: 290g (430g met ophanging)
  • Ethernet: 10/100 Mbps
  • Antenne: 2 geïntegreerd (ondersteunt 2x2 MIMO met spatial diversity)
  • Voeding: 24V (!) PoE (24V ook adapter meegeleverd). Compatibel te maken met 802.3af (48V) door de Instant adapter
  • Concurrent Clients (theoretisch): 100+
Compacte, makkelijk schaalbare en elegante access point. Wordt gevoed via PoE en is beheerbaard via de UniFi Controller software die te installeren is op een PC in het netwerk.
UniFi AP AC LITE
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 300 Mbps (2x2)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Bereik: tot 122m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 24V Passive PoE
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC LR
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Long Range: Tot 183m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 24V Passive PoE Nieuwe modellen: 802.3af (Alternative A) PoE
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC PRO
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 1300 Mbps (3x3)
  • Bereik: tot 122m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik <- Onder overkapping / afdak
  • Concurrent Clients (theoretisch): 500+
UniFi AP AC PRO HD
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 800 Mbps (4x4)
  • 5.0 Ghz snelheid: 1733 Mbps (4x4)
  • Bereik: tot 122m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik <- Onder overkapping / afdak
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC Mesh
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 300 Mbps (2x2)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Bereik: tot 183m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 802.3af (Alternative A) PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik
  • Concurrent Clients (theoretisch): 250+
UniFi AP AC Mesh PRO
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 1300 Mbps (3x3)
  • Bereik: tot 183m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE
  • Geschikt voor: Indoor en Outdoor gebruik
  • Concurrent Clients (theoretisch): 250+
UniFi Security Gateway (PRO)
  • Standaard: Dual-core 500Mhz CPU, compact apparaatje met muurbevestiging
  • Pro: Rack-mountable dual-core 1Ghz CPU met fiber-mogelijkheid
  • Firewall, QoS, VLAN en VPN in één apparaat
UniFi Controller
  • Te installeren op een Mac of PC
  • Features als: Remote Firmware Upgrade, Portal/Hotspot support, Google Maps integratie, Events/Alerts, seamless roaming, L3 routering


UniFi Network Planner
Ubiquiti heeft een tooltje online gezet om grof te berekenen welke apparatuur nodig is om de behoefte te dekken. Met het invullen van de verwachte aantal clients en de oppervlakt komt er uit hoeveel AP's en switches er nodig zijn. Network Planner

Stralingsdiagrammen UniFi AP's:


Bron Ubiquiti: UniFi UAP Antenna Radiation Patterns

Links
Ubiquiti Knowledge Base
Ubiquiti Downloads en Firmware

UniFi Video Trainingen
YouTube: Introduction to UniFi (Part 1): Why UniFi - Troy Hunt
YouTube: Introduction to UniFi (Part 2): Understanding UniFi - Troy Hunt
YouTube: Introduction to UniFi (Part 3): Designing Your UniFi Network - Troy ...
YouTube: Introduction to UniFi (Part 4): Configuring UniFi - Troy Hunt

UniFi Demo / Training
Ga naar UniFi Demo en klik dan boven op het icoontje in de balk wat op een boekje lijkt.


Geluidproductie Ubiquiti Producten
Gezien er veel vragen op het forum voorbij komen over welke switches / routers wel en geen fans hebben.
Verdient dit wel een plek in de Startpost. Hieronder dus een opsomming met evt. stillere fans voor de Switches / Routers


Edgerouter X / SFP / Lite / PoE / 4 Port / 6 Port
  • Geen Fans
  • Worden wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

Edgerouter 8 Port / Pro / 8-XG // UniFi USG Pro

Edgeswitch 8 Port / UniFi Switch 8Port
  • Geen Fans
  • Wordt wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

Edgeswitch 16 Port / UniFi Switch 16 Port
  • Wel Fans
  • Fans draaien NIET continue -> Fans draaien bij het opstarten na de boot gaan deze uit. Hierna gaan ze enkel aan bij een te hoge temperatuur. Het zal dus helpen om het apparaat zo vrij mogelijk te plaatsen zodat de warmte weg kan.
  • Geluidsniveau: 34-37 dBa
  • Fans zijn indien gewenst te vervangen door;
    Noiseblocker BlackSilentPRO PM-1, 40mm
    Noiseblocker BlackSilentPRO PM-2, 40mm

Edgeswitch PoE 24-250W / 24-500W / 24-750W / 48-500W / 48-750W // EdgeSwitch ES-16-XG / ES-12F (Fiber)

UniFi Switch PoE 24-250W / 24-500W / 24-750W / 48-500W / 48-750W // UniFi Switch US-16-XG

Edgeswitch (Lite) 24 Port / 48 Port
  • Geen Fans
  • Wordt wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

UniFi Switch (Zonder PoE) 24 Port / 48 Port

Mocht iemand een toevoeging hebben voor bovenstaande betreft geluidsniveau stuur dan een DM naar @djkavaa

Vorig(e) de(e)l(en)
[Ervaringen/discussie] Ubiquiti-apparatuur

djkavaa wijzigde deze reactie 15-08-2017 11:48 (255%)
Reden: Geluidproductie Ubiquiti Producten


Acties:
  • +1Henk 'm!

  • masauri
  • Registratie: juli 2005
  • Laatst online: 12:12

masauri

aka qwybyte

Aangezien het andere topic op slot zal gaan, post ik m hier maar opnieuw:
quote:
Tylen schreef op zaterdag 4 maart 2017 @ 19:32:
[...]


Waarom zou je niet een eigen dns server kunnen instellen? Gewoon een eigen dns server draaien in apart netwerk met een eigen dhcp (assuming dat je de dhcp op de box van telenet niet uit kan zetten). Of zet al je clients op static dns en dan kan het ook.
Als ik het goed begrijp, zelfs al draai ik een eigen dns server, het internet verkeer moet nog steeds langs de telenet modem die me alsnog over een andere telenet dns server stuurt.
Omtrent de statische ip's:, k citeer bij deze .Mat die een reactie op mij gaf op pagina downloads: Pi-hole 2.13
quote:
Je zou al je toestellen een statisch IP kunnen geven maar dat raad ik af.

Tegenwoordig zijn er veel meer internet-enabled toestellen in huis dan enkel 1 vaste gezinsdesktop.
Heb je veel toestellen is het enorm omslachtig, bij sommige toestellen is het niet eenvoudig of zelfs onmogelijk om eigen DNS'en in te stellen, het werkt niet voor vreemde toestellen op je netwerk tenzij je ook hun DNS aanpast en bij falen van de server is het een enorm karwei om snel alles even op een andere DNS in te stellen.

Er is maar 1 oplossing voor u als je op een eenvoudige manier pi-hole wilt gebruiken en dat is de telenet homegateway die je nu hebt inruilen voor een modem-only. Daarachter hang je dan een deftige eigen router waar je wel de DNS voor al je netwerk clients in 1x kan aanpassen.
En om het dus eenvoudig en simpel te houden, voor we teveel off-topic gaan.
Terugkomend op mijn vraag, welke meerwaarde bied de Ubiquiti SG me eventueel tov de synology router? :)

Bla Bla Bla BlackFriday Cybermonday 2017


  • azz_kikr
  • Registratie: februari 2009
  • Nu online

azz_kikr

Heet patatje :o

quote:
masauri schreef op zaterdag 4 maart 2017 @ 19:05:
[...]

Teveel baba yega geluistert? :+

Eigen dns server instellen is niet mogelijk met de standaard modem wa ge krijgt.
Dus hoe doet ge dat dan?
Zorgt de dmz er dan nie voor da ge conflicten in u netwerk krijgt?
En werkt ge dan ook met pi-hole? (of notrack)
dpi is te vermijden door t verkeer te versleutelen via de router voor die de telenet modem passeert.
Dat niet-wifi ding heeft véél minder opties dan de standaard variant he.


[...]
Andere topic is toe dus ik ga hier gewoon antwoorden :D

Bij mij hang er gewoon eigen router achter de telenet alles in een.

Dan hangen al mijn apparaten aan mijn eigen router. Waar ook een pihole aan hangt.
Totaal geen conflicten. Mijn telenet ding heeft adressen (nuja 1 ) in de 192.168.0.x. Mijn eigen router verdeelt adressen in de 192.168.1.x range. Dus geen conflicten,
Dns server van telenet wordt niet gebruikt door de pihole die aan eigen router hangt.
Yeah, dpi kan je zo vermijden maar de modem only of de all in one maakt weinig verschil.

Als je echt modem only wilt, ga ik je niet tegen houden, maar je perfect alles bereiken met de wifi modem van telenet. Als je meer info erover wilt, mag je altijd DM sturen. O+

  • masauri
  • Registratie: juli 2005
  • Laatst online: 12:12

masauri

aka qwybyte

quote:
azz_kikr schreef op zaterdag 4 maart 2017 @ 20:09:
[...]
Andere topic is toe dus ik ga hier gewoon antwoorden :D

Bij mij hang er gewoon eigen router achter de telenet alles in een.

Dan hangen al mijn apparaten aan mijn eigen router. Waar ook een pihole aan hangt.
Totaal geen conflicten. Mijn telenet ding heeft adressen (nuja 1 ) in de 192.168.0.x. Mijn eigen router verdeelt adressen in de 192.168.1.x range. Dus geen conflicten,
Dns server van telenet wordt niet gebruikt door de pihole die aan eigen router hangt.
Yeah, dpi kan je zo vermijden maar de modem only of de all in one maakt weinig verschil.

Als je echt modem only wilt, ga ik je niet tegen houden, maar je perfect alles bereiken met de wifi modem van telenet. Als je meer info erover wilt, mag je altijd DM sturen. O+
Héél graag!
Ik dm u morgen wel ergens om alles ff op een rijtje te kunnen zetten.

Bla Bla Bla BlackFriday Cybermonday 2017


  • la_fusion
  • Registratie: maart 2007
  • Laatst online: 12:53
Goed, ik ben voor ons nieuwe huis aan het kijken voor de juiste aanschaf van materiaal en daarbij gaat het om een jaren 80 huis met de volgende eigenschappen:

- Iedere verdieping +/- 80 vierkante meter woonoppervlakte, meterkast centraal gepositioneerd.
- Tuin +/- 120 vierkante meter geleden aan de achterkant.

Ik heb voor mezelf het volgende gepland aan te schaffen maar ben eigenlijk benieuwd of het geen overkill is:
- ER X SFP, zodat ik de accesspoints via POE kan aansluiten en nog poorten over heb voor een 'normale' switch.
- 2x AC Lite in huis, iedere verdieping 1.
- 1x AC Lite in de tuin in het tuinhuis.

De hogere snelheid van de AC Pro is mooi maar verwacht ik zeker niet te gebruiken. Wat denken jullie ervan?

  • Taygeta
  • Registratie: april 2005
  • Laatst online: 12:24

Taygeta

KTM SMT 990

Heren,

Ik heb recent een ubiquiti unifi pro gekocht.
Dit heb ik gedaan omdat ik erg veel problemen had met het standaard ziggo wi-fi netwerk.
Nu heb ik hem een tijdje draaien maar ik blijf vaak latency pieken houden.
De AP staat in de meterkast (ik weet het doodzonde, maar huurhuis en blijf er niet lang meer wonen) maar is nog geen 7 meter van mij vandaan.
Er zit 1 gasbetonnen muur tussen en een deur.


Als ik ping -t naar google zit het ongeveer op 14ms. met 1 op de 25 pings (?) een verhoging tot 150ms.
Bekabelt netwerk werkt perfect.
Zou dit een instelling kunnen zijn in de AP?

Taygeta wijzigde deze reactie 04-03-2017 20:42 (4%)

quote:
Taygeta schreef op zaterdag 4 maart 2017 @ 20:41:
Heren,

Ik heb recent een ubiquiti unifi pro gekocht.
Dit heb ik gedaan omdat ik erg veel problemen had met het standaard ziggo wi-fi netwerk.
Nu heb ik hem een tijdje draaien maar ik blijf vaak latency pieken houden.
De AP staat in de meterkast (ik weet het doodzonde, maar huurhuis en blijf er niet lang meer wonen) maar is nog geen 7 meter van mij vandaan.
Er zit 1 gasbetonnen muur tussen en een deur.


Als ik ping -t naar google zit het ongeveer op 14ms. met 1 op de 25 pings (?) een verhoging tot 150ms.
Bekabelt netwerk werkt perfect.
Zou dit een instelling kunnen zijn in de AP?
Heb je de WiFi van het ziggo modem uitgezet?
Anders kan deze gaan storen als ze beide in de meterkast staan.
quote:
la_fusion schreef op zaterdag 4 maart 2017 @ 20:39:
Goed, ik ben voor ons nieuwe huis aan het kijken voor de juiste aanschaf van materiaal en daarbij gaat het om een jaren 80 huis met de volgende eigenschappen:

- Iedere verdieping +/- 80 vierkante meter woonoppervlakte, meterkast centraal gepositioneerd.
- Tuin +/- 120 vierkante meter geleden aan de achterkant.

Ik heb voor mezelf het volgende gepland aan te schaffen maar ben eigenlijk benieuwd of het geen overkill is:
- ER X SFP, zodat ik de accesspoints via POE kan aansluiten en nog poorten over heb voor een 'normale' switch.
- 2x AC Lite in huis, iedere verdieping 1.
- 1x AC Lite in de tuin in het tuinhuis.

De hogere snelheid van de AC Pro is mooi maar verwacht ik zeker niet te gebruiken. Wat denken jullie ervan?
Optie is goed inderdaad, welke provider heb je en welke snelheid? Dit gezien je niet moet verwachten dat je X met gemak 500Mbit dicht trekt met nog firewall rules etc.

djkavaa wijzigde deze reactie 04-03-2017 20:54 (38%)
Reden: Quotes aangepast

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?

-knip-

djkavaa wijzigde deze reactie 04-03-2017 20:54 (99%)

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


  • Taygeta
  • Registratie: april 2005
  • Laatst online: 12:24

Taygeta

KTM SMT 990

quote:
djkavaa schreef op zaterdag 4 maart 2017 @ 20:42:
[...]


Heb je de WiFi van het ziggo modem uitgezet?
Anders kan deze gaan storen als ze beide in de meterkast staan.
Uiteraard. Alle overige netwerken staan nu uit (had ook van die cr*p powerline dingen)

  • la_fusion
  • Registratie: maart 2007
  • Laatst online: 12:53
quote:
djkavaa schreef op zaterdag 4 maart 2017 @ 20:43:
[...]


Optie is goed inderdaad, welke provider heb je en welke snelheid? Dit gezien je niet moet verwachten dat je X met gemak 500Mbit dicht trekt met nog firewall rules etc.
Dat wordt Ziggo in eerste instantie met dus een max van 300 Mbit. Het gaat mij dus ook niet direct om de snelheid maar meer om een betrouwbare situatie qua verbinding.
quote:
la_fusion schreef op zaterdag 4 maart 2017 @ 20:48:
[...]

Dat wordt Ziggo in eerste instantie met dus een max van 300 Mbit. Het gaat mij dus ook niet direct om de snelheid maar meer om een betrouwbare situatie qua verbinding.
Ah ok, dus je gaat het ziggo modem houden als router?
Mooiste zou zijn.

Ziggo Modem in Bridge Mode > Edgerouter X of X-SFP (Indien X-SFP AP's op Edgerouter > Switch voor overige apparaten;)

Gezien het Ziggo modem moeilijk kan gaan doen bij meerdere clients ook bekabeld ;)
quote:
Taygeta schreef op zaterdag 4 maart 2017 @ 20:43:
[...]


Uiteraard. Alle overige netwerken staan nu uit (had ook van die cr*p powerline dingen)
Vreemd, en hoe is het als je dichter bij het Access Point een ping test doet? Is het dan beter?
En welke Firmware draai je? Zelf draaien we 5.4.9 met firmware: 3.7.39.6089 die werkt voor ons op alle AP's oud en nieuw het beste.
Er zit namelijk veel verschil in de firmware versies. Het kan zijn dat je dus een firmware hebt die een beetje brak is.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


  • la_fusion
  • Registratie: maart 2007
  • Laatst online: 12:53
quote:
djkavaa schreef op zaterdag 4 maart 2017 @ 20:53:
[...]


Ah ok, dus je gaat het ziggo modem houden als router?
Mooiste zou zijn.

Ziggo Modem in Bridge Mode > Edgerouter X of X-SFP (Indien X-SFP AP's op Edgerouter > Switch voor overige apparaten;)

Gezien het Ziggo modem moeilijk kan gaan doen bij meerdere clients ook bekabeld ;)
Het idee is inderdaad alsvolgt:

Ziggo Modem(bridge) -> ER X-SFP -> 3x AP -> wireless & 1x switch -> overige apparaten.

Vraag ik mij alleen nog af of het niet een beetje overkill is in huis.
quote:
la_fusion schreef op zaterdag 4 maart 2017 @ 21:08:
[...]

Het idee is inderdaad alsvolgt:

Ziggo Modem(bridge) -> ER X-SFP -> 3x AP -> wireless & 1x switch -> overige apparaten.

Vraag ik mij alleen nog af of het niet een beetje overkill is in huis.
Nee hoor:) het zorgt ervoor dat je een stabiel netwerk krijgt en dat is wat je wil:)
We doe het zo bij heel veel klanten. Werkt perfect en rock solid.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


  • RichieB
  • Registratie: mei 2003
  • Laatst online: 20-11 22:19
quote:
la_fusion schreef op zaterdag 4 maart 2017 @ 21:08:
[...]

Het idee is inderdaad alsvolgt:

Ziggo Modem(bridge) -> ER X-SFP -> 3x AP -> wireless & 1x switch -> overige apparaten.

Vraag ik mij alleen nog af of het niet een beetje overkill is in huis.
Ach, ik heb nu 2 AP's, maar overweeg ook een 3e aan te schaffen omdat ik vooral in de keuken slecht bereik heb. Dit is het gevolg van het beton in de moderne huizen en waterdichte folie onder het laminaat helpt ook niet mee.

Acties:
  • 0Henk 'm!

  • Tomsworld
  • Registratie: maart 2001
  • Niet online

Tomsworld

officieel ele fan :*

Heeft iemand die stralingsdiagrammen van alle unifi wireless producten ? Of een linkje ?

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"


Acties:
  • 0Henk 'm!
quote:
Tomsworld schreef op zondag 5 maart 2017 @ 00:06:
Heeft iemand die stralingsdiagrammen van alle unifi wireless producten ? Of een linkje ?
Staat in de startpost: http://www.wmd.ru/article...napravlennosti-unifi.html

Wel van de oude maar het geeft je een goed idee de nieuwe doen het op de zelfde manier al zullen de waardes anders zijn.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


Acties:
  • 0Henk 'm!

  • LighScan
  • Registratie: december 2009
  • Laatst online: 19-11 22:22
quote:
azz_kikr schreef op zaterdag 4 maart 2017 @ 20:09:
[...]


Andere topic is toe dus ik ga hier gewoon antwoorden :D

Bij mij hang er gewoon eigen router achter de telenet alles in een.

Dan hangen al mijn apparaten aan mijn eigen router. Waar ook een pihole aan hangt.
Totaal geen conflicten. Mijn telenet ding heeft adressen (nuja 1 ) in de 192.168.0.x. Mijn eigen router verdeelt adressen in de 192.168.1.x range. Dus geen conflicten,
Dns server van telenet wordt niet gebruikt door de pihole die aan eigen router hangt.
Yeah, dpi kan je zo vermijden maar de modem only of de all in one maakt weinig verschil.

Als je echt modem only wilt, ga ik je niet tegen houden, maar je perfect alles bereiken met de wifi modem van telenet. Als je meer info erover wilt, mag je altijd DM sturen. O+
In deze situatie heb je altijd dubbele NAT. Die pihole gaat, tenzij ik mij sterk vergis, toch de Telenet DNS-servers gebruiken omdat de eigen router aan de Telenet HGW hangt. Die laatste gaat de DNS-server bepalen(?)

 MacBook Pro Retina 15" Mid 2014, 16GB ram, 500GB SSD  AirPort Extreme 6th Gen. & UniFi AP AC Pro  iPhone 8 Plus


Acties:
  • 0Henk 'm!

  • masauri
  • Registratie: juli 2005
  • Laatst online: 12:12

masauri

aka qwybyte

quote:
LighScan schreef op zondag 5 maart 2017 @ 04:42:
[...]

In deze situatie heb je altijd dubbele NAT. Die pihole gaat, tenzij ik mij sterk vergis, toch de Telenet DNS-servers gebruiken omdat de eigen router aan de Telenet HGW hangt. Die laatste gaat de DNS-server bepalen(?)
Dacht ik dus ook, maar ook als de TN HGW in DMZ modus staat?

Bla Bla Bla BlackFriday Cybermonday 2017


Acties:
  • 0Henk 'm!

  • azz_kikr
  • Registratie: februari 2009
  • Nu online

azz_kikr

Heet patatje :o

quote:
LighScan schreef op zondag 5 maart 2017 @ 04:42:
[...]

In deze situatie heb je altijd dubbele NAT. Die pihole gaat, tenzij ik mij sterk vergis, toch de Telenet DNS-servers gebruiken omdat de eigen router aan de Telenet HGW hangt. Die laatste gaat de DNS-server bepalen(?)
Nu mag jij nog 20 nats achtereen gebruiken, als jij in je pi instelt dat die 8.8.8.8 moet gebruiken als dns, dan doet die dat gewoon.
Het is niet omdat je telenet modem een dns aanbied dat je ook verplicht bent die te gebruiken.
Enige nadeel is mss dat in theorie extra latency bijkomt, maar die 0.0000000000000000000000001 seconde neem ik wel voor lief :) O-)

azz_kikr wijzigde deze reactie 05-03-2017 09:44 (10%)


Acties:
  • 0Henk 'm!

  • Totaalgeflipt
  • Registratie: juli 2006
  • Laatst online: 13:01

Totaalgeflipt

De enige echte

Goeie TS!

Acties:
  • +1Henk 'm!

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 11:11
quote:
azz_kikr schreef op zondag 5 maart 2017 @ 09:09:
[...]


Nu mag jij nog 20 nats achtereen gebruiken, als jij in je pi instelt dat die 8.8.8.8 moet gebruiken als dns, dan doet die dat gewoon.
Het is niet omdat je telenet modem een dns aanbied dat je ook verplicht bent die te gebruiken.
Enige nadeel is mss dat in theorie extra latency bijkomt, maar die 0.0000000000000000000000001 seconde neem ik wel voor lief :) O-)
Dat weet we hier niet we kennen Telenet niet in NL
Het zou technische kunnen dat Telenet gebruikers forceert om de Telenet dns te gebruiken. Ik weet de situatie in België en Telenet niet.

Maar wij doen dat wel.
Wij vangen bij Klanten de dns request af en forceren dan de request via onze eigen dns. 8.8.8.8 instellen op je telefoon, pc of router heeft dan geen zin. Zo houden ben we meer controle over de bezoekers/gastnetwerken.

Zie hier hoe je alle dns verzoeken kan afvangen https://community.ubnt.co...rvers/m-p/1723366#M134874

xbeam wijzigde deze reactie 05-03-2017 13:21 (14%)


Acties:
  • 0Henk 'm!

  • azz_kikr
  • Registratie: februari 2009
  • Nu online

azz_kikr

Heet patatje :o

quote:
xbeam schreef op zondag 5 maart 2017 @ 11:31:
[...]


Dat weet wij niet we kennen Telenet niet in NL
Het zou technische kunnen dat Telenet gebruikers forceert om de Telenet dns te gebruiken. Ik weet de situatie in België en Telenet niet.

Maar wij doen dat wel.
Wij vangen de dns request af en forceren dan de request via onze eigen dns. 8.8.8.8 instellen op je telefoon, pc of router heeft dan geen zin.

Zie hier hoe je alle dns verzoeken kan afvangen https://community.ubnt.co...rvers/m-p/1723366#M134874
Zo er is het niet hier, je kan inderdaad niet de dns aanpassen op de telenet modem zelf, maar op je eigen apparaten kan je instellen wat je wil.

Zulke nazitoestanden hanteert telenet nog net niet :D

Acties:
  • 0Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Ach kan je ook wel omheen door al je verkeer door een vpn tunnel te gaan gooien als je dit echt wilt.
Het ging als ik het goed begreep dat er een technische mogelijkheid bestaat om dit te kunnen doen.

Wel een mooie link wat verbind richting het ubiquiti wat hier besproken word ;)
Gelijk even toegepast aangezien de dns alleen worden toegestaan naar de erl3 (prive), gelijk dus afgevangen dat eventuele gasten niet kunnen surfen omdat ze zelf een dns hebben ingesteld.

Acties:
  • 0Henk 'm!

  • Taygeta
  • Registratie: april 2005
  • Laatst online: 12:24

Taygeta

KTM SMT 990

quote:
djkavaa schreef op zaterdag 4 maart 2017 @ 20:53:

[...]


Vreemd, en hoe is het als je dichter bij het Access Point een ping test doet? Is het dan beter?
En welke Firmware draai je? Zelf draaien we 5.4.9 met firmware: 3.7.39.6089 die werkt voor ons op alle AP's oud en nieuw het beste.
Er zit namelijk veel verschil in de firmware versies. Het kan zijn dat je dus een firmware hebt die een beetje brak is.
Ik heb net alles geupdate.
Daarnaast heb ik even een laptop in de meterkast gezet en deze piekt soms (veel minder) naar 50 ms max.
Tijdens gamen krijg ik soms zelfs time-outs.
Misschien moet ik eerst maar eens een herinstallatie doen...

Acties:
  • 0Henk 'm!
quote:
MdBruin schreef op zondag 5 maart 2017 @ 12:53:
Ach kan je ook wel omheen door al je verkeer door een vpn tunnel te gaan gooien als je dit echt wilt.
Het ging als ik het goed begreep dat er een technische mogelijkheid bestaat om dit te kunnen doen.

Wel een mooie link wat verbind richting het ubiquiti wat hier besproken word ;)
Gelijk even toegepast aangezien de dns alleen worden toegestaan naar de erl3 (prive), gelijk dus afgevangen dat eventuele gasten niet kunnen surfen omdat ze zelf een dns hebben ingesteld.
Dan moet je bij de gasten ook PPTP en L2TP blokkeren en vermoedelijk ook OpenVPN. Daarnaast proberen met DPI dezelfde services af te vangen die op andere poorten draaien. De categorie "Bypass-Proxies-and-Tunnels" lijken dit wel voor het grootste gedeelte te kunnen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
jeroen@Router01:~$ /usr/sbin/ubnt-dpi-util search-app VPN    
                    Applications   Category
                    ============   ========
                      astrillvpn - Bypass-Proxies-and-Tunnels
                   cyberghostvpn - Bypass-Proxies-and-Tunnels
                          dotvpn - Bypass-Proxies-and-Tunnels
                      expressvpn - Bypass-Proxies-and-Tunnels
                          gomvpn - Bypass-Proxies-and-Tunnels
                        greenvpn - Bypass-Proxies-and-Tunnels
                         nordvpn - Bypass-Proxies-and-Tunnels
                         openvpn - Bypass-Proxies-and-Tunnels
                  secureline-vpn - Bypass-Proxies-and-Tunnels
                    steganos-vpn - Bypass-Proxies-and-Tunnels
                       strongvpn - Bypass-Proxies-and-Tunnels
                         tinyvpn - Bypass-Proxies-and-Tunnels
                vpn-key-exchange - Network-Protocols
                          vpn.ht - Bypass-Proxies-and-Tunnels

Wat zit er dan allemaal in de categorie "Bypass-Proxies-and-Tunnels"?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
jeroen@Router01:~$ /usr/sbin/ubnt-dpi-util show-cat-apps Bypass-Proxies-and-Tunnels
Applications in category [Bypass-Proxies-and-Tunnels]
========================
air-proxy
anonymouse
asproxy
astrillvpn
avast-secureline
avoidr
betternet
browsec
bypassthat
ccproxy
cgiproxy
coralcdn
cproxy
cyberghostvpn
defilter
disconnect.me
dotvpn
easy-proxy
easyhideip
expressvpn
fast-proxy
flyproxy
freegate
freesafeip
frozenway
getprivate
glype
gogonet
gomvpn
goproxing
gpass
greenvpn
guardster
hamachi
hide-all-ip
hide-my-ip
hidedoor
hideman
hidemyass
hola
hotspotshield
http-proxy-server
http-tunnel
ipvanish
jap/jondo
k12history
kproxy
logmein
megaproxy
ngrok
nordvpn
nstx-dns-tunnel
opendoor
openvpn
ourproxy
pagekite
pd-proxy
phproxy
ping-tunnel
privatetunnel
proxfree
proxify
proxy-era
proxy-rental
proxy4free
proxytopsite
rtmpt
safersurf
secureline-vpn
securitykiss
sofaware
softether/packetix
spotflux
sslunblock
stay-invisible
steganos-vpn
strongvpn
suresome
surfeasy
surrogafier
texasproxy
tinyvpn
tor
tunnelbear
unblock-proxy
vedivi
vnn
vpn.ht
vtunnel
webwarper
wujie/ultrasurf
zalmos
zapyo
zenmate
zerotier
zfreez

Jeroen_ae92 wijzigde deze reactie 05-03-2017 13:52 (25%)

U+


Acties:
  • 0Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
quote:
Jeroen_ae92 schreef op zondag 5 maart 2017 @ 13:50:
[...]


Dan moet je bij de gasten ook PPTP en L2TP blokkeren en vermoedelijk ook OpenVPN. Daarnaast proberen met DPI dezelfde services af te vangen die op andere poorten draaien. De categorie "Bypass-Proxies-and-Tunnels" lijken dit wel voor het grootste gedeelte te kunnen.
Maak er helemaal een fort van, sommigen maken al gebruik van hun eigen 4G. Hebben ze niet zo'n last van m'n firewall >:)
Laatst ook een die dacht snelle verbinding laten we even torrents downloaden, dacht het niet.... :w

Puur uit nieuwsgierigheid, heb je een voorbeeld/link waar dat uitgelegd word?

Ben nog steeds blij dat je mijn openvpn werkend hebt gekregen, op openbare netwerken gaat deze standaard aan.

Acties:
  • 0Henk 'm!
quote:
Taygeta schreef op zondag 5 maart 2017 @ 13:15:
[...]


Ik heb net alles geupdate.
Daarnaast heb ik even een laptop in de meterkast gezet en deze piekt soms (veel minder) naar 50 ms max.
Tijdens gamen krijg ik soms zelfs time-outs.
Misschien moet ik eerst maar eens een herinstallatie doen...
Of een herstart van alles wil ook nog wel eens helpen.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


Acties:
  • +6Henk 'm!
quote:
MdBruin schreef op zondag 5 maart 2017 @ 14:10:
[...]

Puur uit nieuwsgierigheid, heb je een voorbeeld/link waar dat uitgelegd word?
Het is niet heel lastig.. Op de CLI van je Edgerouter gebruik je de volgende commando's:
Om de apps binnen een category te zien:
code:
1
/usr/sbin/ubnt-dpi-util show-cat-apps categoryname

en om apps te zoeken:
code:
1
/usr/sbin/ubnt-dpi-util search-app appname

Stel, je wilt youtube blokkeren, dan zoek je deze eerst op middels:
code:
1
2
3
4
/usr/sbin/ubnt-dpi-util search-app youtube
                    Applications   Category
                    ============   ========
                         youtube - Streaming-Media

Deze hoort toe aan de category Streaming-Media maar die kan iets teveel omvatten van wat je wilt.
Dit zie je door het volgende commando te doen... Dus wat zit er in deze category:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
/usr/sbin/ubnt-dpi-util show-cat-apps Streaming-Media           
Applications in category [Streaming-Media]
========================
56.com
6.cn
adnstream
adobe-flash
afreecatv
airplay
amazon-instant-video
amazon-prime-music
apple-music
arirang
asf
audible
avi
babelgum
baidumusic
baofeng
baomihua
barks
bbc-iplayer
blip.tv
break.com
channel-4
channel-5
china-streaming-video
cinemanow
cjb.co.kr
cntv
crackle
cradio
crunchyroll
daap
dailymotion
deezer
doubanfm
douyutv
empflix
eskimotube
filmin
flixster
flixwagon
flv
fora.tv
freecast
freeones.com
funshion
grooveshark
gyao
hbogo
headweb
hichannel
hulkshare
hulu
hustlertube
ifeng-video-
imbc
imdb.com
imgo-tv
iqiyi/pps
itunes
itunes-festival
itv
joy.cn
kaltura.com
kbs
kctvjeju
keyholetv
kideos
kids.gov
kkbox
kodi
ku6
kugou
lastfm
letv
live365
livejasmin.com
livesearch.tv/coolstreaming
livestation
livestream
lovefilm
m1905
m4v
madbitties
majorleaguegaming
maxdome
mbn
metacafe
mgoon
microsoft-silverlight
miro
mixbit
mlb.com
mlssoccer
mms/wmsp
mov
movenetworks
mp3
mp4
mtv.com
musicsoda
mwave
mysolive
national-geographic-kids
netflix
newbigtube
nhl
niconicodouga
nubeox
ooyala
pandora
pbs-kids
pbs-video
photobucket
pipi
plex.tv
podcast
porn.com
pornhub.com
pptv-(pplive)
qello
qqlive
quicktime
qvod/bobohu
realplayer
redtube.com
rhapsody
rmvb
roku
rtl.nl
rtmp
rtp
rtsp
sbs
shazam
shoutcast
sina-video
siriusxm
smithsonian-channel
sohu-tv
sopcast
spotify
streamate.com
swf
ted
thunderkankan
tnaflix
trailers
tube8
tudou
tudouva
tunein
twitch.tv
uitzendinggemist
ustream.tv
uusee
v.163.com
veetle
veohtv
vevo
viaplay
videodetective
vimeo
vlc
voddler
vube
vudu
vyclone
watchever
weather-channel
web-streaming
winamp
windows-media-player
wma
wmv
wowtv.co.kr
wsj-live
wuaki.tv
xhamster.com
xnxx.com
xtube
xvideos.com
yahoo-video
yinyuetai
yobt.tv
youjizz
youku.com
youkuva-
youporn.com
youtube
ytn

Zo zie je, als je enkel YouTube wil allowen maar yahoo-video niet (visa versa or whatever), zul je Youtube in een nieuwe category moeten plaatsen. Simpel order van allow en deny komt om de hoek kijken.
Anyway, je gaat eerst een custom category maken met diensten die jij wilt bevatten en dus voldoende/afdoende en/of wenselijk is.
code:
1
set system traffic-analysis custom-category WebStreaming

En hierna doe je hier Youtube aan toevoegen:
code:
1
set system traffic-analysis custom-category WebStreaming name Youtube

Hierna kun je de custom category gebruiken in een firewall rule. Zowel in Allow als Block vorm.

In de CLI krijg je dan zoiets:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
 rule 80 {
     action allow
     application {
         custom-category WebStreaming
     }
     description "allow Streaming Media"
     log enable
     protocol all
     source {
         group {
             network-group GUEST_LAN
         }
     }
 }

Wil je de Youporn etc blokkeren, dan maak je eerst een allow rule voor de custom category "Webstreaming" en daarna een drop rule voor de standaard category "Streaming-Media"
Zo zijn er ook standaard categories voor Topsites-Adult al blijft die bij mij leeg 8)7
code:
1
2
3
/usr/sbin/ubnt-dpi-util show-cat-apps TopSites-Adult
Applications in category [TopSites-Adult]
========================

Of eigenlijk alles wat TopSites is.... weird

Let wel even op binnen de Streaming-Media category dat dit ook RTSP, WMA,WMV, VLC, MP3, MP4 etc omvat. Dus das wel heul veul in één keer dat je uitzet. En ik zie Airplay hier ook instaan... Zou dus inhouden dat je geen AppleTV meer kan aansturen.

Bij het juiste gebruik, heel krachtig maar bij afraffelen en domweg vanalles doen, een drama

Hier nog even alle categorieën die er default inzitten:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
Business
Bypass-Proxies-and-Tunnels
File-Transfer
Games
Instant-messaging
Mail-and-Collaboration
P2P
Remote-Access-Terminals
Security-Update
Social-Network
Stock-Market
Streaming-Media
Voice-over-IP
Web
Web-IM

En de TopSites
TopSites-Adult
TopSites-Arts
TopSites-Business
TopSites-Computers 
TopSites-Games
TopSites-Health
TopSites-Home
TopSites-KidsnTeens
TopSites-News
TopSites-Recreation
TopSites-Reference
TopSites-Regional
TopSites-Science
TopSites-Shopping
TopSites-Society
TopSites-Sports

<EDIT>Aan de hand van de bevindingen van @MdBruin een kleine aanvulling voor de Zone-Based firewall boys en girls. De firewall rules die DPI bevatten moeten bovenaan in je ruleset staan. Of iig boven de related/established en invalid rules staan.

Jeroen_ae92 wijzigde deze reactie 08-03-2017 21:31 (57%)

U+


Acties:
  • 0Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Bedankt, ik ga er eens mee spelen.
Wel mooi al die mogelijkheden, zal alleen waarschijnlijk eerst even moeten updaten, draai nog 1.6 en er zijn al wel een paar nieuwere firmware versies te vinden.

Acties:
  • 0Henk 'm!
quote:
MdBruin schreef op zondag 5 maart 2017 @ 16:43:
Bedankt, ik ga er eens mee spelen.
Wel mooi al die mogelijkheden, zal alleen waarschijnlijk eerst even moeten updaten, draai nog 1.6 en er zijn al wel een paar nieuwere firmware versies te vinden.
Eerst backup maken en updaten via CLI.
code:
1
2
ssh username@ip
add system image http://dl.ubnt.com/firmwares/edgemax/v1.9.1/ER-e100.v1.9.1.4939093.tar

Uiteraard replace old image
code:
1
Are you sure you want to replace old version? (Yes/No) [Yes]: y

en een reboot aan't eind
code:
1
Proceed with reboot? [confirm]y

Maar is de meest snelle en veilige manier.

U+


Acties:
  • 0Henk 'm!

  • mattdice
  • Registratie: december 2008
  • Laatst online: 20-11 14:11
Is het iemand al gelukt om met de 5.5.x versies de L2TP VPN icm. glasvezel internet (pppoe) aan de praat te krijgen? Ik blijf de volgende foutmelding krijgen:
code:
1
Mar  5 16:51:40 UniFiSecurityGateway pluto[29505]: packet from 62.140.137.110:28448: initial Main Mode message received on MIJN_EXT_IP:500 but no connection has been authorized with policy=PSK


Acties:
  • 0Henk 'm!
quote:
mattdice schreef op zondag 5 maart 2017 @ 16:52:
Is het iemand al gelukt om met de 5.5.x versies de L2TP VPN icm. glasvezel internet (pppoe) aan de praat te krijgen? Ik blijf de volgende foutmelding krijgen:
code:
1
Mar  5 16:51:40 UniFiSecurityGateway pluto[29505]: packet from 62.140.137.110:28448: initial Main Mode message received on MIJN_EXT_IP:500 but no connection has been authorized with policy=PSK

Dit gelezen?
https://community.ubnt.co...if-trying-it/td-p/1795192

En als dat het niet oplost... Probeer even via CLI het volgende commando setje:
code:
1
2
3
configure
set vpn l2tp remote-access outside-address 0.0.0.0
commit;save;exit

U+


Acties:
  • 0Henk 'm!

  • mattdice
  • Registratie: december 2008
  • Laatst online: 20-11 14:11
quote:
Jeroen_ae92 schreef op zondag 5 maart 2017 @ 16:59:
[...]


Dit gelezen?
https://community.ubnt.co...if-trying-it/td-p/1795192

En als dat het niet oplost... Probeer even via CLI het volgende commando setje:
code:
1
2
3
configure
set vpn l2tp remote-access outside-address 0.0.0.0
commit;save;exit

De missende firewall rule is in volgens mij in 5.5.3 opgelost, ik zit nu in 5.5.6 en daar staat hij gewoon netjes bij. Ook heb ik de outside-address gezet (hiervoor moest ik wel eerst de dhcp-interface weghalen).
Dit mocht helaas ook niet helpen.

Acties:
  • 0Henk 'm!
quote:
mattdice schreef op zondag 5 maart 2017 @ 17:13:
[...]


De missende firewall rule is in volgens mij in 5.5.3 opgelost, ik zit nu in 5.5.6 en daar staat hij gewoon netjes bij. Ook heb ik de outside-address gezet (hiervoor moest ik wel eerst de dhcp-interface weghalen).
Dit mocht helaas ook niet helpen.
Ik vermoed toch dat het met de listen-interface te maken heeft. Heb je vanuit de CLI ook al een "restart vpn" gedraait? En blijf je dan nog steeds een niet werkende verbinding houden met dezelfde logging?

U+


Acties:
  • 0Henk 'm!

  • itsalex
  • Registratie: januari 2003
  • Laatst online: 11:05
Ik heb vandaag getest met de Unifi 3 port securiy gateway en met WAN2 en failover. Dat gaat super en dat werkt gewoon goed. Alleen de update/adopt/settings van de USG ging niet zoals het moest en had wat haperingen maar uiteindelijk na 1 uur liep alles zoals het moest en bij een test om 1 lijn uit te laten vallen, ging alles keurig na 20 seconden door naar de andere lijn. Wel even de Uplink Connectivity Monitor monitor aanzetten met de twee vinkjes erachter en het draait als een trein. Na een paar minuten zag ik ook weer de hoofdlijn naar voren komen.

Except less, the more you get


  • chickpoint
  • Registratie: oktober 2009
  • Laatst online: 18-11 01:24
Ik heb even een vraagje, kun je op de USG met het zelfde gemak QoS instellen? In de EdgeRouter ben ik het al tegengekomen in de GUI alleen in de UniFi controller heb ik het nog niet terug kunnen vinden. Of ben ik dan aangewezen op CLI? (overigens ook geen probleem.

Ik heb echt geen 9 tot 5 mentaliteit! Eerder 10 tot 3...


  • brandon
  • Registratie: oktober 2000
  • Laatst online: 16-11 20:09
Het vervangen van de Technicolor Modem naar een Connect Box modem in bridge heeft mijn latency probleem opgelost. Fijn dat mijn USG Unify modem nu goed zijn werk kan doen.

  • Blommie01
  • Registratie: juli 2010
  • Laatst online: 09:20
Ik heb een vraagje...

Ik wil graag een extra accespoint buiten plaatsen zodat ik goed bereik in de tuin heb. Binnen heb ik reeds diverse AC-lite accespoints hangen.

Nu ben ik wat aan het rondkijken naar de mogelijkheden maar kom er niet helemaal uit.. Ik zit er aan te denken om onderstaand AP toe te passen.

pricewatch: Ubiquiti UniFi AC Mesh (1-pack)

Mijn vraag is of deze stand-alone te gebruiken is of dat ik een Mesh Pro moet hebben. Ik ben het spoor wat bijster aangezien in de tekst van de Pro wordt aangeven dat dit de basis is van het mesh systeem.

Ik hoef er trouwens maar een te hebben.. De tuin is niet zo groot :)
quote:
Blommie01 schreef op maandag 6 maart 2017 @ 16:24:
Ik heb een vraagje...

Ik wil graag een extra accespoint buiten plaatsen zodat ik goed bereik in de tuin heb. Binnen heb ik reeds diverse AC-lite accespoints hangen.

Nu ben ik wat aan het rondkijken naar de mogelijkheden maar kom er niet helemaal uit.. Ik zit er aan te denken om onderstaand AP toe te passen.

pricewatch: Ubiquiti UniFi AC Mesh (1-pack)

Mijn vraag is of deze stand-alone te gebruiken is of dat ik een Mesh Pro moet hebben. Ik ben het spoor wat bijster aangezien in de tekst van de Pro wordt aangeven dat dit de basis is van het mesh systeem.

Ik hoef er trouwens maar een te hebben.. De tuin is niet zo groot :)
Die UAP AC Mesh werkt gewoon het zelfde als de andere UniFi AP's en die kun je dus ook gewoon vanuit je huidige controller bedienen.

De extra functies wat de "Mesh" heeft is dat je meerdere uplinks op het Access Point kunt maken zonder al te veel snelheid verlies.

Het is dus een geschikte opvolger voor de Outdoor+

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?

quote:
Blommie01 schreef op maandag 6 maart 2017 @ 16:24:
Ik heb een vraagje...

Ik wil graag een extra accespoint buiten plaatsen zodat ik goed bereik in de tuin heb. Binnen heb ik reeds diverse AC-lite accespoints hangen.

Nu ben ik wat aan het rondkijken naar de mogelijkheden maar kom er niet helemaal uit.. Ik zit er aan te denken om onderstaand AP toe te passen.

pricewatch: Ubiquiti UniFi AC Mesh (1-pack)

Mijn vraag is of deze stand-alone te gebruiken is of dat ik een Mesh Pro moet hebben. Ik ben het spoor wat bijster aangezien in de tekst van de Pro wordt aangeven dat dit de basis is van het mesh systeem.

Ik hoef er trouwens maar een te hebben.. De tuin is niet zo groot :)
Zie mijn ervaring met de UAP-AC-M als vervanger van de Outdoor+

U+


  • Blommie01
  • Registratie: juli 2010
  • Laatst online: 09:20
quote:
Jeroen_ae92 schreef op maandag 6 maart 2017 @ 18:01:
[...]


Zie mijn ervaring met de UAP-AC-M als vervanger van de Outdoor+
Bedankt voor de info :)

  • Blommie01
  • Registratie: juli 2010
  • Laatst online: 09:20
quote:
djkavaa schreef op maandag 6 maart 2017 @ 17:16:
[...]


Die UAP AC Mesh werkt gewoon het zelfde als de andere UniFi AP's en die kun je dus ook gewoon vanuit je huidige controller bedienen.

De extra functies wat de "Mesh" heeft is dat je meerdere uplinks op het Access Point kunt maken zonder al te veel snelheid verlies.

Het is dus een geschikte opvolger voor de Outdoor+
Bedankt...

Acties:
  • +1Henk 'm!

  • wopper
  • Registratie: juli 2001
  • Laatst online: 12:31
Collega vandaag: "op elke betonnen verdieping van een huis zou je een UAP moeten hebben" En ik twijfelde al een beetje over een 3e, net maar besteld. Volgende week jarig dus die boeken we daar wel onder weg ;-)

3x UAP-AC-PRO in huis super cool.

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
quote:
Jeroen_ae92 schreef op zondag 5 maart 2017 @ 16:23:
[...]
Zo zie je, als je enkel YouTube wil allowen maar yahoo-video niet (visa versa or whatever), zul je Youtube in een nieuwe category moeten plaatsen. Simpel order van allow en deny komt om de hoek kijken.
Anyway, je gaat eerst een custom category maken met diensten die jij wilt bevatten en dus voldoende/afdoende en/of wenselijk is.
code:
1
set system traffic-analysis custom-category WebStreaming name 'Web Streaming'

En hierna doe je hier Youtube aan toevoegen:
code:
1
set system traffic-analysis custom-category WebStreaming name Youtube

Hierna kun je de custom category gebruiken in een firewall rule. Zowel in Allow als Block vorm.
[...]
Ben het aan het uitproberen maar kom niet zo ver.

Waaraan moet de 'Web Streaming' aan voldoen als je een andere category wilt maken?
Wil er een maken voor bijv. Facebook. Wat heb ik geprobeerd:

set system traffic-analysis custom-category SocialWeb name 'Social Network'
Unknown application [Social Network]

Value validation failed
Set failed

Heb ook 'Social Web' geprobeert maar dat werkt ook niet. Pak ik jouw 'Web Streaming' dan pakt hij het wel.
Maakt het wat uit in welke category je het commando plaatst?

Oja, voor de anderen. Als je de commando's wilt uitvoeren zorg dan wel dat je in de edit mode zit (configure), was zelf de stap even vergeten :+

Edit:
De stap voor de backup is zeker een aanrader, helaas na het upgraden na 20 min nog niet bereikbaar (ook niet op de default IP) dus een reset moeten uitvoeren en de backup daarna weer toegepast.

MdBruin wijzigde deze reactie 06-03-2017 21:47 (6%)

quote:
MdBruin schreef op maandag 6 maart 2017 @ 21:43:
[...]


Ben het aan het uitproberen maar kom niet zo ver.

Waaraan moet de 'Web Streaming' aan voldoen als je een andere category wilt maken?
Wil er een maken voor bijv. Facebook. Wat heb ik geprobeerd:

set system traffic-analysis custom-category SocialWeb name 'Social Network'
Unknown application [Social Network]

Value validation failed
Set failed

Heb ook 'Social Web' geprobeert maar dat werkt ook niet. Pak ik jouw 'Web Streaming' dan pakt hij het wel.
Maakt het wat uit in welke category je het commando plaatst?

Oja, voor de anderen. Als je de commando's wilt uitvoeren zorg dan wel dat je in de edit mode zit (configure), was zelf de stap even vergeten :+

Edit:
De stap voor de backup is zeker een aanrader, helaas na het upgraden na 20 min nog niet bereikbaar (ook niet op de default IP) dus een reset moeten uitvoeren en de backup daarna weer toegepast.
Je hebt gelijk... pretty awesome 8)7
Ik heb gelijk de uitleg aangepast in die post hier ergens boven.

De naam van de category is webstreaming en name is voor de "app".
Dus in jouw geval dan krijg je:
code:
1
set system traffic-analysis custom-category SocialWeb name 'facebook'

U+


  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Krijg het toch niet voor elkaar, wat heb ik gedaan:

Eerst de category gemaakt:
set system traffic-analysis custom-category SocialWeb
set system traffic-analysis custom-category SocialWeb 'facebook'

Daarna de firewall regels gemaakt:
set firewall name LAN_TO_WAN rule 50 action drop
set firewall name LAN_TO_WAN rule 50 description "Drop Social Networks"
set firewall name LAN_TO_WAN rule 50 protocol all
set firewall name LAN_TO_WAN rule 50 application custom-category SocialWeb
set firewall name LAN_TO_WAN rule 50 log enable
set firewall name LAN_TO_WAN rule 50 source group network-group LAN-Subnet

Daarna het gesaved en gecommit.

Getest door naar www.facebook.com te gaan, kom gewoon op de pagina.
Daarna eens via de webinterface de application category op Social-Network gezet en gesaved, weer getest en geen probleem op de pagina te komen. Daarna alle States (Advanced tab) aangevinkt en kan opnieuw op de facebook pagina komen. Daarna geprobeerd met block i.p.v. drop, nogsteeds te bereiken.
Zit er aan te denken dat er een foutje in de dpi zit met de laatste firmware of ik kijk nog steeds ergens overheen. Wie heeft een idee?

  • The Fatal
  • Registratie: maart 2009
  • Laatst online: 20-11 20:43
van de week toch maar eens een edgerouter lite besteld om wat te testen.
Maar na hem ongeveer 10 keer opnieuw te hebben ingesteld via de wizzards en een keer hand matig. Ook de laatste 2 firmwares geprobeerd blijf ik het probleem houden dat hij geen DHCP address uit geeft op geen van beide interfaces (eth1 of eth2), heb mijn macbook er direct aangekoppeld en met statisch ip doet hij het wel.
Ik zie dat de dhcp server enabled is.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
ubnt@ubnt# show service dhcp-server shared-network-name                         
 shared-network-name LAN1 {                                                     
     authoritative enable                                                       
     subnet 192.168.1.0/24 {                                                    
         default-router 192.168.1.1                                             
         dns-server 192.168.1.1                                                 
         lease 86400                                                            
         start 192.168.1.38 {                                                   
             stop 192.168.1.243                                                 
         }                                                                      
     }                                                                          
 }                                                                              
 shared-network-name LAN2 {                                                     
     authoritative enable                                                       
     subnet 192.168.2.0/24 {                                                    
         default-router 192.168.2.1                                             
         dns-server 192.168.2.1                                                 
         lease 86400                                                            
         start 192.168.2.38 {                                                   
             stop 192.168.2.243                                                 
         }                                                                      
     }                                                                          
 }

Maar lease geven doet hij niet.
Any thoughts?
quote:
The Fatal schreef op dinsdag 7 maart 2017 @ 21:43:
van de week toch maar eens een edgerouter lite besteld om wat te testen.
Maar na hem ongeveer 10 keer opnieuw te hebben ingesteld via de wizzards en een keer hand matig. Ook de laatste 2 firmwares geprobeerd blijf ik het probleem houden dat hij geen DHCP address uit geeft op geen van beide interfaces (eth1 of eth2), heb mijn macbook er direct aangekoppeld en met statisch ip doet hij het wel.
Ik zie dat de dhcp server enabled is.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
ubnt@ubnt# show service dhcp-server shared-network-name                         
 shared-network-name LAN1 {                                                     
     authoritative enable                                                       
     subnet 192.168.1.0/24 {                                                    
         default-router 192.168.1.1                                             
         dns-server 192.168.1.1                                                 
         lease 86400                                                            
         start 192.168.1.38 {                                                   
             stop 192.168.1.243                                                 
         }                                                                      
     }                                                                          
 }                                                                              
 shared-network-name LAN2 {                                                     
     authoritative enable                                                       
     subnet 192.168.2.0/24 {                                                    
         default-router 192.168.2.1                                             
         dns-server 192.168.2.1                                                 
         lease 86400                                                            
         start 192.168.2.38 {                                                   
             stop 192.168.2.243                                                 
         }                                                                      
     }                                                                          
 }

Maar lease geven doet hij niet.
Any thoughts?
Welke adressen hangen er aan de interfaces? Ook 192.168.1.1 en 192.168.2.1?

U+


  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Heb je bij de interfaces wel dezelfde namen staan?

Probeer anders eens de volgende commando's in de ssh in de configure mode

set interfaces ethernet eth0 address 192.168.1.1
set interfaces ethernet eth0 description "LAN1"
set service dhcp-server shared-network-name LAN1 subnet 192.168.1.0/24 start 192.168.1.38 stop 192.168.1.243
set service dhcp-server shared-network-name LAN1 subnet 192.168.1.0/24 default-router 192.168.1.1
set service dhcp-server shared-network-name LAN1 subnet 192.168.1.0/24 dns-server 192.168.1.1
save
commit

Dit zorgt ervoor dat eth0 als LAN name LAN1 krijgt en een ip-adres met een dchp range toegewezen.
Even je ip instellingen van je computer op dchp zetten en deze zou nu op eth0 een ip toegewezen behoren te krijgen

  • The Fatal
  • Registratie: maart 2009
  • Laatst online: 20-11 20:43
quote:
Jeroen_ae92 schreef op dinsdag 7 maart 2017 @ 22:00:
[...]


Welke adressen hangen er aan de interfaces? Ook 192.168.1.1 en 192.168.2.1?
yes, net nog een keer gecontroleerd:
code:
1
2
3
4
5
6
7
8
9
10
11
12
homenetrouter@ubnt# show interfaces ethernet eth1                               
 address 192.168.1.1/24                                                         
 description Local                                                              
 duplex auto                                                                    
 speed auto                                                                     
[edit]
homenetrouter@ubnt# show interfaces ethernet eth2                               
 address 192.168.2.1/24                                                         
 description "Local 2"                                                          
 duplex auto                                                                    
 speed auto                                                                     
[edit]

Kun je ook de show service dhcp-server geven? Niet dat daar disabled false mist :-)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
service {
    dhcp-server {
        disabled false <<---- die dus 
        hostfile-update enable
        shared-network-name DHCP-GUEST {
            authoritative enable
            subnet 10.17.0.0/21 {
                default-router 10.17.0.1
                dns-server 10.17.0.1
                lease 43200
                start 10.17.0.2 {
                    stop 10.17.7.254
                }
            }
        }

U+


  • The Fatal
  • Registratie: maart 2009
  • Laatst online: 20-11 20:43
quote:
Jeroen_ae92 schreef op dinsdag 7 maart 2017 @ 22:11:
Kun je ook de show service dhcp-server geven? Niet dat daar disabled false mist :-)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
service {
    dhcp-server {
        disabled false <<---- die dus 
        hostfile-update enable
        shared-network-name DHCP-GUEST {
            authoritative enable
            subnet 10.17.0.0/21 {
                default-router 10.17.0.1
                dns-server 10.17.0.1
                lease 43200
                start 10.17.0.2 {
                    stop 10.17.7.254
                }
            }
        }


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
homenetrouter@ubnt# show service dhcp-server                                    
 disabled false                                                                 
 hostfile-update disable                                                        
 shared-network-name LAN1 {                                                     
     authoritative enable                                                       
     subnet 192.168.1.0/24 {                                                    
         default-router 192.168.1.1                                             
         dns-server 192.168.1.1                                                 
         lease 86400                                                            
         start 192.168.1.38 {                                                   
             stop 192.168.1.243                                                 
         }                                                                      
     }                                                                          
 }                                                                              
 shared-network-name LAN2 {                                                     
     authoritative enable                                                       
     subnet 192.168.2.0/24 {                                                    
         default-router 192.168.2.1                                             
         dns-server 192.168.2.1                                                 
         lease 86400                                                            
         start 192.168.2.38 {                                                   
             stop 192.168.2.243                                                 
         }                                                                      
     }                                                                          
:


  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Je interface namen komen niet overeen met de shared-network-name.
Pas eens je interface namen (kan bij het dashboard en dan action --> config) naar de namen welke je in de DHCP hebt ingesteld.
Dat maakt niet uit voor de werking...

Kun je me via PB eens de volledige config sturen?

U+


  • The Fatal
  • Registratie: maart 2009
  • Laatst online: 20-11 20:43
quote:
Jeroen_ae92 schreef op dinsdag 7 maart 2017 @ 22:39:
Dat maakt niet uit voor de werking...

Kun je me via PB eens de volledige config sturen?
heb je een config gestuurd.

  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

Ik zit nog steeds te klooien met een site to site naar een cisco asa vanaf een ERL.
De site to site is wel werkend maar als ik het verkeer wil firewallen lukt dat totaal niet.
Voorbeeldje: Ik heb op elke interface in zowel de in/out/local imcp uitgeschakeld door de pakketjes te droppen als eerste regel nog voor mijn established/related regels.
Zowel met als zonder Match inbound IPsec packets optie, maar nog steeds kan de andere kant (cisco-kant) alles in mijn netwerk vrolijk pingen.

Het uiteindelijke doel is dat alleen een bepaald subnet straks toegang heeft tot een bepaald subnet aan mijn kant, maar dat lijkt nu helemaal nog verre toekomstmuziek.

Ik heb overigens deze settings ook actief:

auto-firewall disable
auto-firewall-nat-exclude disable

Maar nog steeds 0,0 controle over het verkeer

Geen poes, maar een muis


  • Eboman
  • Registratie: oktober 2001
  • Laatst online: 09:12

Eboman

Ondertitel

na een tijdje meelezen maar eens een vraagje, mogelijk zit ik voor een tijdje op een camping waar ik gebruik wil maken van de wifi, hiervoor zou ik een outdoor AP als ethernet bridge in willen zetten. Ik lees dat airos dat kan bv de Ubiquity Picostation M2.

Maar uiteindelijk wil ik een unifi oplossing implementeren in mijn nieuwe locatie (huis met bv wifi in de tuin en alle verdiepingen). Is er nu al een unifi product die dit nu ook kan en ik later kan hergebruiken als AP ?

Ik begrijp dat een Picostation ook unifi kan draaien maar niet de nieuwste versie.

Ik heb nu een cisco ap en moet nog even uitzoeken of deze misschien ook als bridge kan fungeren via een random ander AP.

Signature


  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Je wilt dus met het draadloze netwerk van de camping connecten en een eigen draadloos netwerk creëren welke gebruik maakt van de connectie van de camping?

Je zal dan een dual radio ap moeten hebben welke ook nog kan routeren om de andere verbindingen mogelijk te maken. Zou eerst kijken of dit toegestaan word, vaak is dat niet het geval en kan je hierdoor ook de toegang worden ontzegt (zodra het opgemerkt word).

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
quote:
ZaZ schreef op dinsdag 7 maart 2017 @ 23:13:
Ik zit nog steeds te klooien met een site to site naar een cisco asa vanaf een ERL.
De site to site is wel werkend maar als ik het verkeer wil firewallen lukt dat totaal niet.
Voorbeeldje: Ik heb op elke interface in zowel de in/out/local imcp uitgeschakeld door de pakketjes te droppen als eerste regel nog voor mijn established/related regels.
Zowel met als zonder Match inbound IPsec packets optie, maar nog steeds kan de andere kant (cisco-kant) alles in mijn netwerk vrolijk pingen.

Het uiteindelijke doel is dat alleen een bepaald subnet straks toegang heeft tot een bepaald subnet aan mijn kant, maar dat lijkt nu helemaal nog verre toekomstmuziek.

Ik heb overigens deze settings ook actief:

auto-firewall disable
auto-firewall-nat-exclude disable

Maar nog steeds 0,0 controle over het verkeer
Zou toch redelijk eenvoudig horen te gaan.
Je zou het volgende kunnen proberen, gewoon een volledig Block

Instellen in de rules
Default action drop
Source vtun0 <-- ga even er vanuit dat dit de tunnel naam is welke word opgebouwd
Destination kan op verschillende manieren ingesteld worden
Via het ip-adres bijvoorbeeld 192.168.1.0/24
Via de interface bijvoorbeeld eth1
Via een gemaakte group bijvoorbeeld LAN-Subnet

Als je dan verder geen regels insteld dan zou je niet meer vanuit de tunnel naar dat netwerk kunnen komen. Andersom werkt dan ook niet tenzij je de new/established regel toevoegt.
Waar je uiteindelijk heen wilt zal waarschijnlijk leiden naar een zone-based-policy-firewall waardoor je volledig controle krijgt wat wel en niet mag.
https://help.ubnt.com/hc/...r-Zone-Policy-CLI-Example

  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

quote:
MdBruin schreef op woensdag 8 maart 2017 @ 00:05:
[...]


Zou toch redelijk eenvoudig horen te gaan.
Je zou het volgende kunnen proberen, gewoon een volledig Block

Instellen in de rules
Default action drop
Source vtun0 <-- ga even er vanuit dat dit de tunnel naam is welke word opgebouwd
Destination kan op verschillende manieren ingesteld worden
Via het ip-adres bijvoorbeeld 192.168.1.0/24
Via de interface bijvoorbeeld eth1
Via een gemaakte group bijvoorbeeld LAN-Subnet

Als je dan verder geen regels insteld dan zou je niet meer vanuit de tunnel naar dat netwerk kunnen komen. Andersom werkt dan ook niet tenzij je de new/established regel toevoegt.
Waar je uiteindelijk heen wilt zal waarschijnlijk leiden naar een zone-based-policy-firewall waardoor je volledig controle krijgt wat wel en niet mag.
https://help.ubnt.com/hc/...r-Zone-Policy-CLI-Example
Ik heb nog geen zone-based-policy firewall, maar trekt wel mijn aandacht, thanks.

Verder heb ik geen tunnel interface. Gewoon plain ipsec site to site, met als basis de wizard uit de web interface
Ziet er zoiets uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 ipsec {
     esp-group FOO0 {
         proposal 1 {
             encryption aes128
             hash sha1
         }
     }
     ike-group FOO0 {
         proposal 1 {
             dh-group 2
             encryption aes128
             hash sha1
         }
     }
     site-to-site {
         peer publicip {
             authentication {
                 mode pre-shared-secret
                 pre-shared-secret blablablablabla
             }
             connection-type initiate
             description werk
             ike-group FOO0
             local-address any
             tunnel 1 {
                 esp-group FOO0
                 local {
                     prefix 10.10.10.0/24
                 }
                 remote {
                     prefix 192.168.15.0/24
                 }
             }
         }
     }
 }

Misschien is dat mijn probleem wel en moet ik een virtual interface hebben?

Geen poes, maar een muis


  • Eboman
  • Registratie: oktober 2001
  • Laatst online: 09:12

Eboman

Ondertitel

quote:
MdBruin schreef op dinsdag 7 maart 2017 @ 23:48:
Je wilt dus met het draadloze netwerk van de camping connecten en een eigen draadloos netwerk creëren welke gebruik maakt van de connectie van de camping?

Je zal dan een dual radio ap moeten hebben welke ook nog kan routeren om de andere verbindingen mogelijk te maken. Zou eerst kijken of dit toegestaan word, vaak is dat niet het geval en kan je hierdoor ook de toegang worden ontzegt (zodra het opgemerkt word).
Nee ik wil een desktop erop aansluiten, dus als wifi client op het netwerk en dan wired naar de desktop. Kan ook een wifi dongle kopen maar dat lijkt me zonde als ik later het ap kan inzetten voor wifi buiten in een nieuw huis. (Camping is tijdelijke bewoning )

Signature


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 10:25
quote:
Eboman schreef op woensdag 8 maart 2017 @ 07:17:
[...]

Nee ik wil een desktop erop aansluiten, dus als wifi client op het netwerk en dan wired naar de desktop. Kan ook een wifi dongle kopen maar dat lijkt me zonde als ik later het ap kan inzetten voor wifi buiten in een nieuw huis. (Camping is tijdelijke bewoning )
Die camping heeft al eigen wifi in de woning ? (wij hebben ook tijdelijk op een vakantiepark gewoond ivm een nieuwbouw-woning en onze had al wifi, het enige wat ik gedaan heb is hun AP eruit gehaald en mijn eigen router teruggeplaatst)

Ubiquiti UniFi®


  • Eboman
  • Registratie: oktober 2001
  • Laatst online: 09:12

Eboman

Ondertitel

quote:
LightStar schreef op woensdag 8 maart 2017 @ 07:20:
[...]


Die camping heeft al eigen wifi in de woning ? (wij hebben ook tijdelijk op een vakantiepark gewoond ivm een nieuwbouw-woning en onze had al wifi, het enige wat ik gedaan heb is hun AP eruit gehaald en mijn eigen router teruggeplaatst)
Ik moet nog op bezoek maar vermoed een outdoor hotspot infrastructuur. Anders kan ik gewoon mijn eigen cisco eraan hangen ja

Eboman wijzigde deze reactie 08-03-2017 07:34 (59%)

Signature


  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
Je zoekt dus een AP welke in cliënt mode kan draaien.
Zover ik weet heeft de unifi serie hiervoor geen ondersteuning.
De airmax serie heeft zover ik lees hiervoor wel ondersteuning, deze wordt ook toegepast om bridge verbindingen te maken. Zoals bijvoorbeeld de nanostation m2 (2.4GHz) en m5 (5GHz)

Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 20-11 13:26
quote:
ZaZ schreef op woensdag 8 maart 2017 @ 01:50:
[...]

Ik heb nog geen zone-based-policy firewall, maar trekt wel mijn aandacht, thanks.
[...]

Misschien is dat mijn probleem wel en moet ik een virtual interface hebben?
Het is even wat werk maar daarna heb je ook wat. Nadeel is alleen dat je het eigenlijk aan beide zijden wilt toepassen. Maar als je het aan 1 kant goed opzet dan krijg je aan de andere kant alleen toegang tot de dingen die je zelf toestaat.
De link welke ik al gaf heb ik zelf ook gebruikt als leidraad, vooral het laatste stukje is even wennen maar wel logisch. Ze werken net anders als je mogelijk gewend ben met bijvoorbeeld WAN from LAN i.p.v LAN to WAN. Dus destination vanuit source terwijl de meesten anderen werken als source naar destination. Als je dit door hebt dan is dit ook geen probleem.

Onderaan op het dashboard kan je zien of er een tunnel wordt opgebouwd, ik zou het wel verwachten aangezien site-to-site op vpn basis werkt.

Acties:
  • +1Henk 'm!
quote:
ZaZ schreef op dinsdag 7 maart 2017 @ 23:13:
Ik zit nog steeds te klooien met een site to site naar een cisco asa vanaf een ERL.
De site to site is wel werkend maar als ik het verkeer wil firewallen lukt dat totaal niet.
Voorbeeldje: Ik heb op elke interface in zowel de in/out/local imcp uitgeschakeld door de pakketjes te droppen als eerste regel nog voor mijn established/related regels.
Zowel met als zonder Match inbound IPsec packets optie, maar nog steeds kan de andere kant (cisco-kant) alles in mijn netwerk vrolijk pingen.

Het uiteindelijke doel is dat alleen een bepaald subnet straks toegang heeft tot een bepaald subnet aan mijn kant, maar dat lijkt nu helemaal nog verre toekomstmuziek.

Ik heb overigens deze settings ook actief:

auto-firewall disable
auto-firewall-nat-exclude disable

Maar nog steeds 0,0 controle over het verkeer
Als je werkt met de auto-firewall en auto-firewall-nat-exclude disable features dien je de firewall rules op je WAN_IN firewall set te plaatsen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
 rule 10 {
     action accept
     description "Allow IPSEC - Edgerouter"
     destination {
         address 10.0.1.1
         port 22, 443
     }
     ipsec {
         match-ipsec
     }
     log disable
     protocol tcp_udp
     source {
         group {
             network-group IPSEC_NETS
         }
     }
 }
 rule 20 {
     action accept
     description "Allow IPSEC to allowed devices"
     destination {
         group {
             address-group IPSEC_Allowed
         }
     }
     ipsec {
         match-ipsec
     }
     log disable
     protocol all
     source {
         group {
             network-group IPSEC_NETS
         }
     }
 }
 rule 25 {
     action accept
     description "Established-related IPSEC traffic"
     ipsec {
         match-ipsec
     }
     log enable
     protocol all
     state {
         established enable
         related enable
     }
 }
 rule 30 {
     action drop
     description "Drop IPSEC not specifically allowed by prior rules"
     ipsec {
         match-ipsec
     }
     log enable
     protocol all
 }

Maar omdat je ook geen auto-nat-exclude aan hebt staan, heb je ook de NAT rule nodig:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 rule 5000 {
     description "exclude masquerade for IPSEC"
     destination {
         group {
             network-group IPSEC_NETS
         }
     }
     exclude
     log disable
     outbound-interface eth0
     protocol all
     source {
         group {
             network-group LAN
         }
     }
     type masquerade
 }

Het grappige is namelijk dat die auto-firewall opties onderwater alle benodigde rules maken om het zo eenvoudig mogelijk te maken. Maar hierdoor heb je dus geen invloed meer op het ipsec verkeer.
Door deze opties uit te zetten en handmatig de firewall en nat rules te maken krijg je weer controle op het verkeer.

U+


  • Eboman
  • Registratie: oktober 2001
  • Laatst online: 09:12

Eboman

Ondertitel

quote:
MdBruin schreef op woensdag 8 maart 2017 @ 08:18:
Je zoekt dus een AP welke in cliënt mode kan draaien.
Zover ik weet heeft de unifi serie hiervoor geen ondersteuning.
De airmax serie heeft zover ik lees hiervoor wel ondersteuning, deze wordt ook toegepast om bridge verbindingen te maken. Zoals bijvoorbeeld de nanostation m2 (2.4GHz) en m5 (5GHz)
Ja ik heb even rondgezocht op het forum bij Ubiquiti, dan kom je uit op de volgende configuraitie :

https://help.ubnt.com/hc/...-a-Long-range-WiFi-Client

Kan hem in het nieuwe huis altijd nog inzetten als een stand-alone ap voor de tuin ofzo of weer verkopen, de prijzen vallen wel mee en ik verwacht een betere verbinding dan een simpele wifi dongle.

Signature


  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

quote:
Jeroen_ae92 schreef op woensdag 8 maart 2017 @ 09:14:
[...]


Als je werkt met de auto-firewall en auto-firewall-nat-exclude disable features dien je de firewall rules op je WAN_IN firewall set te plaatsen:
knip.....

Het grappige is namelijk dat die auto-firewall opties onderwater alle benodigde rules maken om het zo eenvoudig mogelijk te maken. Maar hierdoor heb je dus geen invloed meer op het ipsec verkeer.
Door deze opties uit te zetten en handmatig de firewall en nat rules te maken krijg je weer controle op het verkeer.
Zoiets had ik al gelezen en juist daarom had ik die auto-meuk al uitgeschakeld, maar nog steeds geen controle over het verkeer.
Portforwarding werkte ook ineens niet meer en moest ik dus toen ook handmatig met DNAT en firewall rules oplossen. Niet erg en is toch mooier op deze manier imho, maar die ipsec blijft trutten alsof ie toch buiten de gewone firewall blijft gaan.
Ik ga nog wel effe verder stoeien.

Geen poes, maar een muis


  • zeroday
  • Registratie: mei 2007
  • Laatst online: 07:31

zeroday

Dream within a dream

quote:
The Fatal schreef op dinsdag 7 maart 2017 @ 21:43:
van de week toch maar eens een edgerouter lite besteld om wat te testen.
Maar na hem ongeveer 10 keer opnieuw te hebben ingesteld via de wizzards en een keer hand matig. Ook de laatste 2 firmwares geprobeerd blijf ik het probleem houden dat hij geen DHCP address uit geeft op geen van beide interfaces (eth1 of eth2), heb mijn macbook er direct aangekoppeld en met statisch ip doet hij het wel.
Ik zie dat de dhcp server enabled is.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
ubnt@ubnt# show service dhcp-server shared-network-name                         
 shared-network-name LAN1 {                                                     
     authoritative enable                                                       
     subnet 192.168.1.0/24 {                                                    
         default-router 192.168.1.1                                             
         dns-server 192.168.1.1                                                 
         lease 86400                                                            
         start 192.168.1.38 {                                                   
             stop 192.168.1.243                                                 
         }                                                                      
     }                                                                          
 }                                                                              
 shared-network-name LAN2 {                                                     
     authoritative enable                                                       
     subnet 192.168.2.0/24 {                                                    
         default-router 192.168.2.1                                             
         dns-server 192.168.2.1                                                 
         lease 86400                                                            
         start 192.168.2.38 {                                                   
             stop 192.168.2.243                                                 
         }                                                                      
     }                                                                          
 }

Maar lease geven doet hij niet.
Any thoughts?
ik heb mijn config bijna .. hetzelfde
quote:
The Fatal schreef op dinsdag 7 maart 2017 @ 21:43:
Maar lease geven doet hij niet.
Any thoughts?
show service dhcp-server shared-network-name
shared-network-name dhcp-mynetwork
authoritative disable

subnet 10.1.1.0/24 {
default-router 10.1.1.1
dns-server 10.1.1.1
dns-server 8.8.8.8
domain-name mynetwork.com
lease 86400
start 10.1.1.100 {
stop 10.1.1.200

Enige echte verschil wat ik zie is domain-name en dat die van mij met authorative op disable staat.

zat er geen bug in het systeem dat ie niet laat zien dat ie leases afgeeft?
ik heb de meeste van mijn apparaten via DHCP een fixed ip (reserved) IP adres gegeven

Edgemax Lite/USG, 2x Unifi AP-LR, 1x Unifi Pro, 4x HP Microserver Gen8 (1x Vmware) 3x OpenMediavault.


  • HellStorm666
  • Registratie: april 2007
  • Laatst online: 11:41

HellStorm666

GSX-R 1000 L0 + Leon 1.8 TSI

Heeft er iemand hier ook ervaring met airfiber?
Heb nl nog een paar vragen over het gebruik er van.

Wat is de beste/makkelijkste manier om te bepalen hoe hoog de units moeten komen?
De paal op t dak van m'n huis wil ik uiteraard zo laag mogelijk houden.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666


  • Kek
  • Registratie: maart 2007
  • Laatst online: 11:42

Kek

3flix

zit er verder nog verschil tussen de nieuwe AP-AC-LR met 48v en de oude die 24v aan kan. net een oude gekregen van azerty.. maar als de nieuwe echt beter is gaatie terug

  • Moris
  • Registratie: augustus 2001
  • Nu online
Ik vraag me toch af wat de echte meerwaarde van een Ubiquiti Unifi Security Gateway t.o.v. een standaard router :?

Zeker gezien de USG router niet van Controller-software is voorzien, geen IPTV aan een poort kan toewijzen. Zodat mijn setupbox van de provider zelf een ip krijgt toegewezen en toch andere clients afzonderlijk (zoals op mijn Asus router) kunnen geconfigureerd worden. Zeer beperkte DHCP mogelijkheden, weinig poorten, enz….

  • DorisJerks
  • Registratie: januari 2016
  • Laatst online: 19-11 02:17
quote:
Kek schreef op woensdag 8 maart 2017 @ 13:11:
zit er verder nog verschil tussen de nieuwe AP-AC-LR met 48v en de oude die 24v aan kan. net een oude gekregen van azerty.. maar als de nieuwe echt beter is gaatie terug
Het enige verschil is de ondersteunde vormen van PoE. Er is geen verschil in mogelijkheden, bereik, etc. Gebruik je de meegeleverde injector dan is er dus geen verschil.
Heb je een PoE switch staan die niet van Ubiquiti is dan kun je de nieuwe gebruiken zonder injector, waar je bij de oude nog altijd de injector dient te gebruiken.
quote:
Moris schreef op woensdag 8 maart 2017 @ 13:12:
Ik vraag me toch af wat de echte meerwaarde van een Ubiquiti Unifi Security Gateway t.o.v. een standaard router :?

Zeker gezien de USG router niet van Controller-software is voorzien, geen IPTV aan een poort kan toewijzen. Zodat mijn setupbox van de provider zelf een ip krijgt toegewezen en toch andere clients afzonderlijk (zoals op mijn Asus router) kunnen geconfigureerd worden. Zeer beperkte DHCP mogelijkheden, weinig poorten, enz….
De USG is een gateway/router. Jouw Asus is waarschijnlijk een router, switch en acces point in 1. Verder zul je wellicht iets specifieker moeten zijn. Wat bedoel je met beperkte DHCP mogelijkheden?

Een voordeel voor veel mensen is dat alles makkelijk centraal te regelen is wanneer je een volledige unifi setup hebt. Daarnaast is alles ook op afstand te regelen op een eenvoudige manier. Je hoeft niet moeilijk te doen met SSH, telnet, https of iets dergelijks maar gewoon een controller die op afstand te bereiken is.

Niet alles is via de controller in te stellen, maar vaak wel via JSON files. Voor het echt geavanceerde werk is er de Edgerouter serie, waar je alles via CLI kan regelen.

Stiekem denk ik dat veel mensen het ook nemen omdat het leuk speelgoed is ;)

  • Moris
  • Registratie: augustus 2001
  • Nu online
Wat betreft de USG had ik begrepen dat je geen vaste ip's kan uitdelen, maar de grootste tekortkoming vind ik toch wel het ontbreken van IPTV. Ik heb dit nu eenmaal nodig voor mijn setupbox die van provider zelf een ip krijgt toegewezen.

  • LightStar
  • Registratie: juli 2003
  • Laatst online: 10:25
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:10:
Wat betreft de USG had ik begrepen dat je geen vaste ip's kan uitdelen, maar de grootste tekortkoming vind ik toch wel het ontbreken van IPTV. Ik heb dit nu eenmaal nodig voor mijn setupbox die van provider zelf een ip krijgt toegewezen.
Je kan toch gewoon onder Clients op een client klikken en vervolgens Configure -> Fixed IP ?

Ubiquiti UniFi®


  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
LightStar schreef op woensdag 8 maart 2017 @ 14:16:
[...]
Je kan toch gewoon onder Clients op een client klikken en vervolgens Configure -> Fixed IP ?
Euh, aangezien ik niet in het bezit ben van een USG kan ik het niet verifiëren, maar als u het als gebruiker...me bevestigd geloof ik het zeer graag ;)
Kan je me aub iets zeggen ivm mijn vraag omtrent IPTV?

  • Domino
  • Registratie: juli 1999
  • Nu online

Domino

30 Watts and overheating...

IPTV met een USG gaat prima, meer dan genoeg voorbeelden in het vorige deel: [Ervaringen/discussie] Ubiquiti-apparatuur

Je zult echter wel iets van netwerken moeten weten en niet vies zijn van een beetje CLI werk.
Wat betreft je opmerking "geen IPTV aan een poort kan toewijzen", dat is niet aan de orde bij een USG, je hebt immers maar één LAN poort.

An IPv6 packet walks into a bar. Nobody talks to him.


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 10:25
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:23:
[...]

Euh, aangezien ik niet in het bezit ben van een USG kan ik het niet verifiëren, maar als u het als gebruiker...me bevestigd geloof ik het zeer graag ;)
Kan je me aub iets zeggen ivm mijn vraag omtrent IPTV?
Ik heb even een willekeurige client gepakt en daar kan ik het volgende doen (xxx.xxx.xxx.xxx kun je vervangen in wat ik wil, in mijn geval is de management scope 172.16.1.xxx)

Ubiquiti UniFi®


  • Shaggie_NB
  • Registratie: december 2008
  • Laatst online: 20-11 22:31
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:23:
[...]

Euh, aangezien ik niet in het bezit ben van een USG kan ik het niet verifiëren, maar als u het als gebruiker...me bevestigd geloof ik het zeer graag ;)
Je hebt toch een AP van Ubiquiti? Dan kun je dit ook..

  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
LightStar schreef op woensdag 8 maart 2017 @ 14:35:
[...]
Ik heb even een willekeurige client gepakt en daar kan ik het volgende doen (xxx.xxx.xxx.xxx kun je vervangen in wat ik wil, in mijn geval is de management scope 172.16.1.xxx)

[afbeelding]
Als ik het goed heb toont jou voorbeeld de configuratie voor het Wifi-gedeelte, daar ik dit voor het bekabelde netwerk nodig heb en het via de router moet regelen, toch?

Moris wijzigde deze reactie 08-03-2017 14:48 (3%)


  • Zandpad
  • Registratie: december 2007
  • Laatst online: 12:21
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:47:
[...]

Als ik het goed heb toont jou voorbeeld de configuratie voor het Wifi-gedeelte, daar ik dit voor het bekabelde netwerk nodig heb en het via de router moet regelen, toch?
Nee, fixed IPs gaan via de clients. Niet via de USG. Je hebt wel een USG nodig als DHCP server, anders werkt het niet.

Zandpad wijzigde deze reactie 08-03-2017 14:50 (13%)

D5000, D3000, F65, 18-70IF, 70-300IF VR, 35, 50, 18-55VR, 55-200VR, SB600 Website --- Twitter


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 10:25
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:47:
[...]

Als ik het goed heb toont jou voorbeeld de configuratie voor het Wifi-gedeelte, daar ik dit voor het bekabelde netwerk nodig heb en het via de router moet regelen, toch?
Mijn Diskstaion is alles behalve wireless...

Ubiquiti UniFi®


  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
Zandpad schreef op woensdag 8 maart 2017 @ 14:49:
[...]
Nee, fixed IPs gaan via de clients. Niet via de USG. Je hebt wel een USG nodig als DHCP server, anders werkt het niet.
[afbeelding]
Hmm, je voorbeeldplaatje schept tov mijn afbeelding in de controller wel voor enige verwarring.

Moris wijzigde deze reactie 08-03-2017 14:56 (6%)


  • Zandpad
  • Registratie: december 2007
  • Laatst online: 12:21
quote:
Moris schreef op woensdag 8 maart 2017 @ 14:54:
[...]

Hmm, je voorbeeldplaatje schept tov mijn afbeelding in de controller wel voor enige verwarring.
Gaat het hier om andere software :?
[afbeelding]
Daar ben je je totale netwerk en subnet aan het bepalen. Maar DHCP reservations doe je dus onder het client gedeelte.

D5000, D3000, F65, 18-70IF, 70-300IF VR, 35, 50, 18-55VR, 55-200VR, SB600 Website --- Twitter


  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
Zandpad schreef op woensdag 8 maart 2017 @ 14:56:
[...]
Daar ben je je totale netwerk en subnet aan het bepalen. Maar DHCP reservations doe je dus onder het client gedeelte.
Bedankt, nu wordt het me duidelijker ;)

  • Zandpad
  • Registratie: december 2007
  • Laatst online: 12:21
quote:
Moris schreef op woensdag 8 maart 2017 @ 15:01:
[...]

Bedankt, nu wordt het me duidelijker ;)
Als je nog even wil spelen met wat instellingen, ubnt biedt een demo aan op demo.ubnt.com

D5000, D3000, F65, 18-70IF, 70-300IF VR, 35, 50, 18-55VR, 55-200VR, SB600 Website --- Twitter


  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
Domino schreef op woensdag 8 maart 2017 @ 14:34:
IPTV met een USG gaat prima, meer dan genoeg voorbeelden in het vorige deel: [Ervaringen/discussie] Ubiquiti-apparatuur

Je zult echter wel iets van netwerken moeten weten en niet vies zijn van een beetje CLI werk.
Wat betreft je opmerking "geen IPTV aan een poort kan toewijzen", dat is niet aan de orde bij een USG, je hebt immers maar één LAN poort.
Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?

  • Zandpad
  • Registratie: december 2007
  • Laatst online: 12:21
quote:
Moris schreef op woensdag 8 maart 2017 @ 15:05:
[...]

Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?
Sinds beta 5.5.x kan ik een tweede netwerk op LAN2 maken (de port waar voip op staat op de USG 3P), kun je daar je IPTV niet over gooien?

D5000, D3000, F65, 18-70IF, 70-300IF VR, 35, 50, 18-55VR, 55-200VR, SB600 Website --- Twitter

quote:
ZaZ schreef op woensdag 8 maart 2017 @ 09:55:
[...]


Zoiets had ik al gelezen en juist daarom had ik die auto-meuk al uitgeschakeld, maar nog steeds geen controle over het verkeer.
Portforwarding werkte ook ineens niet meer en moest ik dus toen ook handmatig met DNAT en firewall rules oplossen. Niet erg en is toch mooier op deze manier imho, maar die ipsec blijft trutten alsof ie toch buiten de gewone firewall blijft gaan.
Ik ga nog wel effe verder stoeien.
Draai op de cli even show configuration commands. Kopier even alle vpn regels en plak even in een teksteditor. Ga hierna naar de configure mode en delete vpn. Reboot en log terug in op cli en plak je commando's die je gesaved hebt in configure mode. Maar zorg dat die vpn firewall nat exlude er wel bij zit. Test dan nog eens

U+


  • Domino
  • Registratie: juli 1999
  • Nu online

Domino

30 Watts and overheating...

quote:
Moris schreef op woensdag 8 maart 2017 @ 15:05:
[...]

Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?
Correct, als je bent verplicht een switch (en eventueel een AP) plaatsen voor apparatuur op je netwerk. Een USG is een pure router.

Je krijgt dan zo een netwerk topologie:



Je asus is een router, switch en access point in een.

An IPv6 packet walks into a bar. Nobody talks to him.


  • Moris
  • Registratie: augustus 2001
  • Nu online
quote:
Domino schreef op woensdag 8 maart 2017 @ 15:12:
[...]
Correct, als je bent verplicht een switch plaatsen voor apparatuur op je netwerk. Een USG is een pure router.

Je krijgt dan zo een netwerk topologie:

[afbeelding]

Je asus is een router, switch en access point in een.
Bedankt voor de toelichting :)
In dit geval loont de investering in de USG als vervanging voor de Asus RT-N66U niet echt :|

Moris wijzigde deze reactie 08-03-2017 15:22 (5%)


  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

quote:
Jeroen_ae92 schreef op woensdag 8 maart 2017 @ 15:08:
[...]


Draai op de cli even show configuration commands. Kopier even alle vpn regels en plak even in een teksteditor. Ga hierna naar de configure mode en delete vpn. Reboot en log terug in op cli en plak je commando's die je gesaved hebt in configure mode. Maar zorg dat die vpn firewall nat exlude er wel bij zit. Test dan nog eens
Dus
code:
1
set vpn ipsec auto-firewall-nat-exclude enable

?
Dat heb ik nu gedaan maar ik zie op de remote site meteen de ping weer opkomen.
Dus voor de duidelijkheid
code:
1
2
3
4
5
6
configure
delete vpn
commit
save
exit
reboot

Daarna weer toegevoegd met nat-exclude enable

Geen poes, maar een muis


  • Vecodo
  • Registratie: februari 2003
  • Laatst online: 20-11 06:39
Ik ben aan het kijken naar MESH netwerk van Ubiquiti. Om precies te zijn: Ubiquiti AmpliFi HD Router

Nu heb ik een woning die circa 200 vierkante meter (woon oppervlakte). Ik vroeg mij af of alleen de router voor nu voldoende is. Snap dat dit lastig te zeggen is.

Overigens zou het ter vervanging zijn van mijn Nighthawk 7500 v1 router.
quote:
ZaZ schreef op woensdag 8 maart 2017 @ 15:27:
[...]

Dus
code:
1
set vpn ipsec auto-firewall-nat-exclude enable

?
Dat heb ik nu gedaan maar ik zie op de remote site meteen de ping weer opkomen.
Dus voor de duidelijkheid
code:
1
2
3
4
5
6
configure
delete vpn
commit
save
exit
reboot

Daarna weer toegevoegd met nat-exclude enable
Nat-exclude disable!! De rest is goed

U+


  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

quote:
Jeroen_ae92 schreef op woensdag 8 maart 2017 @ 16:30:
[...]
Nat-exclude disable!! De rest is goed
Dat vermoeden had ik al, alleen zo stond het al dus ik dacht toch maar "enable' proberen.
Maar na een reboot stopte de pings, dus dat is goed.
Zag dat er op WAN/in een rule gemaakt moest worden (met als source local subnet andere kant) en idem op mijn LAN
Dus het lijkt erop dat het gaat werken.
Ik heb alleen nog geen masquerade ingesteld voor de ipsec, waarvoor heb ik die nodig?

Overigens wat testjes gedaan en als je eenmaal nat-exclude-enable hebt gedaan, kan je 'm daarna wel weer disablen maar die auto firewall blijft actief tot je dus gaat rebooten.
Dat in combinatie met niet helemaal zeker van je zaak zijn is funest als je iets probeert te configureren.

Geen poes, maar een muis

quote:
ZaZ schreef op woensdag 8 maart 2017 @ 16:40:
[...]

Dat vermoeden had ik al, alleen zo stond het al dus ik dacht toch maar "enable' proberen.
Maar na een reboot stopte de pings, dus dat is goed.
Zag dat er op WAN/in een rule gemaakt moest worden (met als source local subnet andere kant) en idem op mijn LAN
Dus het lijkt erop dat het gaat werken.
Ik heb alleen nog geen masquerade ingesteld voor de ipsec, waarvoor heb ik die nodig?

Overigens wat testjes gedaan en als je eenmaal nat-exclude-enable hebt gedaan, kan je 'm daarna wel weer disablen maar die auto firewall blijft actief tot je dus gaat rebooten.
Dat in combinatie met niet helemaal zeker van je zaak zijn is funest als je iets probeert te configureren.
Inderdaad, vandaar het verwijderen en opnieuw aanmaken.

Anyway, je wilt eigenlijk een NAT exclude maken voor het IPSEC verkeer. Het hoeft niet gemaskeerd te worden achter het router adres namelijk.

U+


  • ZaZ
  • Registratie: oktober 2002
  • Laatst online: 20-11 21:52

ZaZ

Tweakers abonnee

quote:
Jeroen_ae92 schreef op woensdag 8 maart 2017 @ 16:42:
[...]


Inderdaad, vandaar het verwijderen en opnieuw aanmaken.

Anyway, je wilt eigenlijk een NAT exclude maken voor het IPSEC verkeer. Het hoeft niet gemaskeerd te worden achter het router adres namelijk.
Ik denk dat ik 'm snap.
Iets uit een local LAN babbelt bijv. terug en zegt "hoi hier antwoord van 192.168.0.1" en wanneer het uit de router het internet op gaat hoeft dat ip niet omgezet te worden naar mijn public ip, toch?
En dat is wat er anders wel gebeurt met de standaard masquerade regel.

Geen poes, maar een muis


Acties:
  • +1Henk 'm!
quote:
ZaZ schreef op woensdag 8 maart 2017 @ 16:46:
[...]

Ik denk dat ik 'm snap.
Iets uit een local LAN babbelt bijv. terug en zegt "hoi hier antwoord van 192.168.0.1" en wanneer het uit de router het internet op gaat hoeft dat ip niet omgezet te worden naar mijn public ip, toch?
En dat is wat er anders wel gebeurt met de standaard masquerade regel.
Correct, normaal is het zo dat een masquerade rule ervoor zorgt dat interne adressen gehide worden achter het adres van je NAT rule. Dit kan een eth assigned adres zijn maar ook meerdere indien je een IP blokje hebt. Voor IPSEC verkeer wil je dit niet. Dat moet juist buiten deze rules gaan. Vandaar dat ie hoger moet staan dan de default rule en vandaar dat je dit wilt excluden. De andere zijde van de tunnel verwacht een source adres over de tunnel en niet iets buiten langs ;-) Immers, default NAT doet het over de WAN eth naar buiten spugen en voor IPSEC verkeer wil je dit niet.
quote:
Moris schreef op woensdag 8 maart 2017 @ 15:05:
[...]

Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?
Mwah, met wat hulp kun je een prima config.gateway.json file "lenen" van iemand. Deze plaats je op je controller in de juiste dir en je hebt IPTV werkend aan de hand van het werk van iemand anders.

Jeroen_ae92 wijzigde deze reactie 08-03-2017 19:58 (23%)

U+


  • Shaggie_NB
  • Registratie: december 2008
  • Laatst online: 20-11 22:31
quote:
Moris schreef op woensdag 8 maart 2017 @ 15:05:
[...]

Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?
Zoals eerder is gezegd kun je vanaf beta-release 5.5.x ook de voip poort als lan2 instellen.
quote:
Shaggie_NB schreef op woensdag 8 maart 2017 @ 20:10:
[...]

Zoals eerder is gezegd kun je vanaf beta-release 5.5.x ook de voip poort als lan2 instellen.
Yup... Maar beta is geen release... Dus bij default zit het er niet in. Goed om te weten dat het komt maar dat is dan toch alles. Beta's zijn leuk om te zien en proberen wat de verbeteringen, nieuwe features etc zijn maar bij lange na niet geschikt voor productie. En daarbij, de release draagt de naam "unstable". Dat zegt m.i. genoeg en meer dan maar blijven roepen dat je LAN2 kunt instellen in een beta release.

Sorry, geen flame intended.

U+

Pagina: 1 2 3 ... 46 Laatste


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*