[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

[ Voor 41% gewijzigd door stormfly op 12-07-2017 13:57 ]

Jeroen_ae92 schreef op woensdag 12 juli 2017 @ 11:44:
[...]


Het is belangrijk om stap voor stap te troubleshooten. Doet je DNS het wel voor gasten? Zo ja, wat doet dan een DNS lookup naar gasten-netwerk? Kom je dan uit op 192.168.1.3?

Anyway, ik mis voor je vlan50 firewall ruleset de "established/releated" rule:

code:

1 2 3 4 5 6 7 8 9 10 11 12

rule 170 { action accept description "Accept initiated" log disable protocol all state { established enable invalid disable new disable related enable } }

Hoe heb je nu je DNS service ingericht? Zo ongeveer?

code:

1 2 3 4 5 6 7 8 9 10 11

dns { forwarding { cache-size 300 listen-on eth1 listen-on eth1.50 name-server 208.67.222.222 name-server 208.67.220.220 options listen-address=10.0.1.1 options localise-queries } }

Even voor het idee, de options listen-address voeg je toe als je bv middels VPN toch de locale DNS van de Edgerouter wilt gebruiken. Je komt dan immers niet binnen op een interface maar op een tunnel welke je niet als interface kan toevoegen. En op deze manier werkt dat wel.

De DHCP client dien je te voorzien van je locale dns adres. Dus 192.168.50.1 en nooit je externe dns servers.

code:

1 2 3 4 5 6 7 8 9 10 11

shared-network-name GUEST_LAN { authoritative enable subnet 192.168.50.0/24 { default-router 192.168.50.1 dns-server 192.168.50.1 lease 86400 start 192.168.50.20 { stop 192.168.50.199 } } }

Nou, als je zover ongeveer kloppend hebt, dan even de statis-host-mapping checken.

code:

1 2 3 4 5

static-host-mapping { host-name gasten-netwerk { inet 192.168.1.3 } }

En als je dit allemaal kloppend hebt en het werkt nog niet, dan ben ik benieuwt naar je volledige firewall rulesets, interfaces, en dns.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on eth2
            listen-on eth1.50
            listen-on l2tp0
            name-server 82.197.196.182
            name-server 82.197.196.183
            name-server 208.67.222.222
            name-server 208.67.220.220
            options listen-address=192.168.1.1
            options localise-queries
            options listen-address=192.168.50.1
        }
    }

1
2
3
4
5
6
7
8
9
10
11
12
13
14

shared-network-name VLAN_50_Gasten_netwerk {
            authoritative disable
            subnet 192.168.50.0/24 {
                default-router 192.168.50.1
                dns-server 192.168.50.1
                dns-server 82.197.196.182
                lease 21600
                start 192.168.50.1 {
                    stop 192.168.50.100
                }
            }
        }
        use-dnsmasq disable
    }

[ Voor 21% gewijzigd door MRE-Inc op 12-07-2017 14:15 ]

xbeam schreef op woensdag 12 juli 2017 @ 14:16:
[...]
Maar als jij het getest heb dan vertrouw ik er op en werkt het dan hoef ik het niet meer te doen

Equator schreef op woensdag 12 juli 2017 @ 13:45:
[modbreak]Zullen we grote lappen code ergens anders plaatsen en er naar linken? Of plaats ze a.u.b. tussen quote tags, dat scheelt al :)[/modbreak]

stormfly schreef op woensdag 12 juli 2017 @ 14:34:
[...]


Jeps ik heb maanden zo gedraaid voordat ik de USG had, je kan alleen elkaar MAC adress zien met een scantool voor de rest geen IP communicatie mogelijkheden.

[ Voor 6% gewijzigd door xbeam op 12-07-2017 15:22 ]

xbeam schreef op woensdag 12 juli 2017 @ 12:42:
De cloud key zit pas op 0.6.9
https://community.ubnt.co...een-released/ba-p/1974091

En hier het support forum
https://community.ubnt.co...eased/m-p/1974095#M234885


En hier hoe je de CK kan update naar nieuwste controller maar dat is standaard.
https://community.ubnt.co...eased/m-p/1981183#M236161

Jeroen_ae92 schreef op woensdag 12 juli 2017 @ 14:23:
[...]


Serieus? Hoe denk je dat een interne naam wordt afgevangen/geserveerd door de Edgerouter als je een externe DNS server meegeeft aan je client? Extern kennen ze je interne namen niet. Die moet er dus uit en clients, helemaal guest clients, biedt je enkel je interne DNS aan zodat je ook invloed hebt op dat verkeer (indien nodig )

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

shared-network-name VLAN_50_Gasten_netwerk { authoritative enable <---- zet deze op enable want dan wordt je DHCP adres sneller geserveerd subnet 192.168.50.0/24 { default-router 192.168.50.1 dns-server 192.168.50.1 dns-server 82.197.196.182 <--- uhhh? D'ruit met die hap lease 21600 start 192.168.50.1 { stop 192.168.50.100 } } } use-dnsmasq disable }

En verder, dit kan netter. Haal die l2tpX eruit, en waarom 4 dns servers? Beetje overkill :-)

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

dns { forwarding { cache-size 150 listen-on eth1 listen-on eth1.50 listen-on eth2 listen-on l2tp0 <---- die kan eruit aangezien je een options listen-address hebt name-server 82.197.196.182 name-server 82.197.196.183 name-server 208.67.222.222 name-server 208.67.220.220 options listen-address=192.168.1.1 options listen-address=192.168.50.1 options localise-queries } }

jorgen83 schreef op woensdag 12 juli 2017 @ 18:01:
Vraag het hier ook maar: heeft iemand Unifi Controller op zijn NAS draaien? Werkt dat goed, en zijn er nog haken en ogen om rekening mee te houden?

Jeroen_ae92 schreef op woensdag 12 juli 2017 @ 14:23:
[...]


Serieus? Hoe denk je dat een interne naam wordt afgevangen/geserveerd door de Edgerouter als je een externe DNS server meegeeft aan je client? Extern kennen ze je interne namen niet. Die moet er dus uit en clients, helemaal guest clients, biedt je enkel je interne DNS aan zodat je ook invloed hebt op dat verkeer (indien nodig )

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

shared-network-name VLAN_50_Gasten_netwerk { authoritative enable <---- zet deze op enable want dan wordt je DHCP adres sneller geserveerd subnet 192.168.50.0/24 { default-router 192.168.50.1 dns-server 192.168.50.1 dns-server 82.197.196.182 <--- uhhh? D'ruit met die hap lease 21600 start 192.168.50.1 { stop 192.168.50.100 } } } use-dnsmasq disable }

En verder, dit kan netter. Haal die l2tpX eruit, en waarom 4 dns servers? Beetje overkill :-)

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

dns { forwarding { cache-size 150 listen-on eth1 listen-on eth1.50 listen-on eth2 listen-on l2tp0 <---- die kan eruit aangezien je een options listen-address hebt name-server 82.197.196.182 name-server 82.197.196.183 name-server 208.67.222.222 name-server 208.67.220.220 options listen-address=192.168.1.1 options listen-address=192.168.50.1 options localise-queries } }

1
2
3
4
5

C:\Users\MRE>nslookup gasten-netwerk 192.168.1.1
Server:  Unknown
Address:  192.168.50.1

*** Unknown can't find gasten-netwerk: Non-existent domain

1
2
3
4
5
6
7

C:\Users\MREt>nslookup gasten-netwerk 192.168.1.1
Server:  MRE-ERL
Address:  192.168.1.1

*** MRE-ERL can't find gasten-netwerk: Non-existent domain

C:\Users\MRE>

1
2
3
4
5
6
7
8
9
10
11
12

C:\Users\MRE>nslookup
Default Server:  mre-pi.intern.lan
Address:  192.168.1.2

> gasten-netwerk
Server:  mre-pi.intern.lan
Address:  192.168.1.2

Name:    gasten-netwerk.intern.lan
Address:  192.168.1.3

C:\Users\MRE>

[ Voor 15% gewijzigd door MRE-Inc op 12-07-2017 19:54 ]

[ Voor 3% gewijzigd door finalmen op 12-07-2017 20:08 ]

Jeroen_ae92 schreef op woensdag 12 juli 2017 @ 21:00:
[...]


Probeer hem zo eens te maken:

code:

1 2	set system static-host-mapping host-name gasten-netwerk.intern.lan inet 192.168.1.3 set system static-host-mapping host-name gasten-netwerk.intern.lan alias gasten-netwerk

Ik denk dat de huidige situatie niet werkt omdat het gehele gasten netwerk geen domainname kent.
Dit zou je kunnen oplossen door een domainname van b.v. gasten.lan mee te geven in je DHCP scope.
Dan resolved gasten-netwerk automatisch naar gasten-netwerk.gasten.lan. Maak voor die laatste dan ook een static mapping aan.

Voor wat betreft de hostfile update... Dat maakt voor nu niet uit. De hostfile file zou correct geupdate moeten worden zodra een machine zich op de correcte manier meld. Daarbij wordt de hostfile enkel geupdate door machines die een correcte lease ontvangen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87

name VLAN_50_IN {
        default-action drop
        description "VLAN_50 to internal"
        rule 10 {
            action accept
            description "Allow VLAN_50 DNS"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 20 {
            action accept
            description "Allow HTTP HTTPS"
            destination {
                port 80,443
            }
            log disable
            protocol tcp_udp
        }
        rule 30 {
            action accept
            description "Allow access Guest Portal"
            destination {
                address 192.168.1.3
                port 8880
            }
            log disable
            protocol tcp_udp
        }
        rule 40 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 50 {
            action drop
            description "DROP access to LAN"
            destination {
                address 192.168.1.0/24
            }
            log disable
            protocol all
        }
    }
    name VLAN_50_LOCAL {
        default-action drop
        description "VLAN_50 to router"
        rule 10 {
            action accept
            description "Allow VLAN_50 DNS"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "DROP access to Edge Router Interface"
            destination {
                address 192.168.50.1
            }
            log disable
            protocol all
        }
    }

rally schreef op woensdag 12 juli 2017 @ 20:17:
Ons bedrijf telt 63 medewerkers en wij gebruiken Unifi AP's
AP AC HD's voor het kantoor (3 stuks, 1 per etage) voor maximale performance.

Voor de fabriek gebruiken we AP AC LR's. Weinig clients met lage behoefte voor banbreedte.

Ik heb Aerohive, Cisco en Ruckus gehad, maar Ubiquiti heeft voor mijn de beste prijs/performance ratio.

finalmen schreef op woensdag 12 juli 2017 @ 22:13:
[...]


Dank voor je antwoord, dat klinkt goed! AP AC HD's zijn deze? : https://www.routercenter....quiti-amplifi-afi-hd.html Zou je adviseren om voor zo'n setje te gaan ipv 5 individuele?

[ Voor 10% gewijzigd door xbeam op 12-07-2017 22:28 ]

Jeroen_ae92 schreef op woensdag 12 juli 2017 @ 23:04:
[...]


Rule 20 moet na rule 50 op je IN set. Nu kan een guest op poort 80 en 443 overal heen. Zo ook je afgeschermde subnet. Eerst alle blocks en hierna pas de accepts tenzij de volgorde expliciet is.
Maar een guest wil ook graag pingen naar 8.8.8.8 als het een Android is en mag mail ook? Dan poorten hiervoor toestaan zoals 143, 587, 993 etc. En ik zou een block rule maken voor File sharing en P2P. Dit zijn categorien en werken perfect voor guest verkeer.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87

name VLAN_50_IN {
        default-action drop
        description "VLAN_50 to internal"
        rule 10 {
            action accept
            description "Allow access Guest Portal"
            destination {
                address 192.168.1.3
                port 8880
            }
            log disable
            protocol tcp_udp
        }
        rule 20 {
            action drop
            description "DROP access to LAN"
            destination {
                address 192.168.1.0/24
            }
            log disable
            protocol all
        }
        rule 30 {
            action accept
            description "Allow VLAN_50 DNS"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 40 {
            action accept
            description "Allow HTTP HTTPS"
            destination {
                port 80,443
            }
            log disable
            protocol tcp_udp
        }
        rule 50 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name VLAN_50_LOCAL {
        default-action drop
        description "VLAN_50 to router"
        rule 10 {
            action accept
            description "Allow VLAN_50 DNS"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "DROP access to Edge Router Interface"
            destination {
                address 192.168.50.1
            }
            log disable
            protocol all
        }
    }

[ Voor 5% gewijzigd door MRE-Inc op 13-07-2017 00:41 ]

finalmen schreef op woensdag 12 juli 2017 @ 22:13:
[...]


Dank voor je antwoord, dat klinkt goed! AP AC HD's zijn deze? : https://www.routercenter....quiti-amplifi-afi-hd.html Zou je adviseren om voor zo'n setje te gaan ipv 5 individuele?

rally schreef op donderdag 13 juli 2017 @ 08:35:
[...]


Dit is de HD. Niet goedkoop, maar wel een dijk van een performance
https://www.wifimedia.eu/en/ubiquiti-unifi-ap-ac-hd.html

Ik denk dat voor 450 m² je er wellicht slechts 3 nodig hebt (afhankelijk hoe de ruimte is ingedeeld.
Vergeet niet dat je ook nog een controller nodig hebt. Maar daar kun je een cloudkey voor gebruiken of een windows server.

rally schreef op donderdag 13 juli 2017 @ 08:35:
[...]


Dit is de HD. Niet goedkoop, maar wel een dijk van een performance
https://www.wifimedia.eu/en/ubiquiti-unifi-ap-ac-hd.html

grote_oever schreef op donderdag 13 juli 2017 @ 09:09:
[...]


't is ook niet echt bedoelt voor de huis-, tuin-, en keuken consument. En wij als tweaker komen wel over het bedrag heen

rally schreef op donderdag 13 juli 2017 @ 08:35:
[...]


Dit is de HD. Niet goedkoop, maar wel een dijk van een performance
https://www.wifimedia.eu/en/ubiquiti-unifi-ap-ac-hd.html

Ik denk dat voor 450 m² je er wellicht slechts 3 nodig hebt (afhankelijk hoe de ruimte is ingedeeld.
Vergeet niet dat je ook nog een controller nodig hebt. Maar daar kun je een cloudkey voor gebruiken of een windows server.

xbeam schreef op donderdag 13 juli 2017 @ 09:01:
[...]


Niet goedkoop? een vergelijkbaar apparaat van rukus of Meraki kost toch meer dan 1000 euro.

Het is maar hoe je het bekijkt ;-)

rally schreef op donderdag 13 juli 2017 @ 12:14:
[...]


De HD's zijn overigens wel groot, dus dat is voor sommige wel een probleem. Daarom installeer ik vooral de LR's. Optimale prijs/prestatie/formaat

finalmen schreef op donderdag 13 juli 2017 @ 14:40:
Dank iedereen, we gaan gewoon starten naar met 1x een AP AC HD. Ik denk dat dat voor de ruimte nu al een heel eind komen, dan kunnen we altijd upgraden met een controller + nog een AP toch? ( Lees: met 1 AP heb je geen controller nodig? )

Wat voor controller zouden jullie adviseren?

djkavaa schreef op dinsdag 11 juli 2017 @ 15:28:
[...]


Klopt een Unmanaged Switch laat alles door.
Let er dan dus wel op dat het VLAN in de edgerouter Tagged over je lijntje heen gaat anders heb je geen netwerk meer

djkavaa schreef op donderdag 13 juli 2017 @ 19:05:
[...]


Wij hebben het inderdaad bij meerdere klanten draaien zonder Managed Switch bij een simpele TP Link van 5 Poorten (20 euro) zeg maar.
En dat werkt perfect.

Maar je Config moet gewoon 100% kloppen doet die dat ergens niet dan kun je heel veel gezeik hebben.

RobertMe schreef op donderdag 13 juli 2017 @ 15:22:
[...]

Ook voor 1 AP heb je de controller nodig. Deze kun je echter ook via UniFi Android (en wellicht iOS app?) gebruiken (deze bevat een "mini controller"). Echter zou ik dit niet aanbevelen voor een echte omgeving (leuk voor thuis, maar ik zou het niet op een bedrijf toepassen). In dit geval zou ik daarom ook een CloudKey als controller gebruiken, of als je al een (lokale) server hebt voor het kantoor zou je de controller software daarop kunnen installeren. Ik zou in ieder geval niet zelf gaan klussen met bv een Raspberry Pi.

Later APs toevoegen is inderdaad geen probleem, die hoef je maar in te pluggen, op de controller inloggen, en daar zal het AP dan verschijnen bij de devices en volgensmij moet je dan nog even bevestigen dat je deze inderdaad wilt opnemen in je omgeving. De rest van de configuratie gaat vervolgens automatisch.

[ Voor 5% gewijzigd door Kitser op 13-07-2017 20:51 ]

Kitser schreef op donderdag 13 juli 2017 @ 20:41:
Voor mijn appartement van 85 m2 zoek ik een nieuw wifi ap. Nu heb ik een TPLINK TL-WDR3600 v met DDWRT. Maar dit is erg onstabiel. De connectie op mijn Android tablet is regelmatig weg. En Spotify naar mijn 4 Chromecast Audio's werkt ook erg gebrekkig.
Ik hoop dit met een Ubiquiti UniFi AP-AC op te lossen.
Alleen twijfel ik nog tussen een Lite en een LR. Verder kan ik nog vertellen dat er één Oneplus 3, een Samsung Galaxy Tab S2 8.0, 4 Chromecast Audio's, 3 Chromecasts, een laptop, 3 ip camera's verbinding moeten maken, er zijn 4 kamers en een balkon en in het midden van het appartement staat een 30 cm dikke betonnen muur die scheid de keuken woonkamer en 3 (slaap) kamers.
Op zich heb ik overal wel verbinding met de TP-Link TL-WDR3600. Zowel op 2,4 ghz als 5 ghz. Maar het is gewoon niet stabiel. Zeker 5 ghz niet.
Kan iemand mij helpen met de keuze tussen de LR en de Lite?

De 2e vraag gaat over een vriend wie ook zijn wifi thuis verbeteren.
Hij heeft 3 verdiepingen en een tuin. Daarvoor ga ik denk 2 Lites bestellen.
Ik wil ze bij hem gaan configureren. Maar omdat we best een stukje uit elkaar wonen zou ik graag het wifi netwerk vanaf mij thuis vandaan kunnen managen voor als daar problemen zijn. Kan dit als ik de controller op mijn laptop installeer? Zodat ik op mijn laptop mijn wifi netwerk en zijn wifi netwerk kan managen?

RobertMe schreef op donderdag 13 juli 2017 @ 21:29:
[...]

In case of doubt, koop de LR, tenzij je echt op een klein budget zit, maar dan zou je sowieso al voor de Lite gaan.

MRE-Inc schreef op woensdag 12 juli 2017 @ 17:41:
Die externe dns server maak toch niks uit ? De primaire dns is de lokale dns server met 192.168.50.1. Die doet alle interne dns requests en zal als eerste gequeried worden. Die 192.168.50.1 is eigenlijk gewoon de 192.168.1.1 die al mijn lokale dns queries afhandelt en altijd als primaire dns stond ingesteld (tot de komst van de RPi met Pi Hole). Maar ik haal die externe dns er wel uit

[ Voor 14% gewijzigd door familyman op 14-07-2017 09:55 ]

stormfly schreef op vrijdag 14 juli 2017 @ 09:00:
Iemand wel eens getest met UAP-AC-PRO's en een UAP-AC-M @Jeroen_ae92 @djkavaa ?

Ik zit er over te denken, mijn 3e UAP-AC-PRO ligt in de dak rand/goot (aan de binnenzijde) die straalt als een paraplu over de tuin. Hiermee heb ik geen dekking als we met stoelen in de zon dichtbij het huis zitten.

Nu dacht ik, als ik de UAP-AC-M nu in de schuur plaats 6meter verder voor het glas, dan ziet hij de UAP-AC-PRO in de dakgoot prima op 5G.

Gaat dat mijn situatie helpen? Ik vernam dat je 50% bandbreedte opgeeft op 5G als je een UAP als uplink inzet. Is hij dan nog wel in staat om clients (iPhone etc) op 5G of 2G te voorzien van WiFi of vervalt die functie omdat de radio als up/downlink dient.

Lapoor schreef op vrijdag 14 juli 2017 @ 09:04:
Hallo,

Ik heb sinds gisteren een Edgerouter lite icm Tweak 1 GB/s internet. Het is me gelukt om met behulp van een voorbeeld config voor tweak internet werkend te krijgen thuis alleen krijg ik port forwarding niet voor elkaar. Ik heb 1 webserver thuis 192.168.0.122 die op poort 80 naar de buitenwereld open moet staan echter met de volgende config lukt me dit niet kunnen jullie zien wat ik fout doe?
met de laptop vanuit me lokale lan kan ik wel op het externe ip bij me webserver komen dus de hairpin optie werkt echter met me telefoon over 4g kom ik er dus niet bij.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273

firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "packets from Internet to the LAN" rule 1 { action accept description "allow established session to the LAN" log disable protocol all state { established enable invalid disable new disable related enable } } rule 3 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" rule 1 { action accept description "allow established session to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } rule 3 { action accept description "allow ping" log disable protocol icmp } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.0.1/24 description LAN duplex auto firewall { in { } local { } out { } } speed auto } ethernet eth1 { description WAN duplex auto firewall { in { } local { } } speed auto vif 34 { address dhcp description WAN-INTERNET firewall { in { name WAN_IN } local { name WAN_LOCAL } } mac /*zyxel mac here*/ } } ethernet eth2 { disable duplex auto firewall { in { } local { } out { } } speed auto } loopback lo { } } port-forward { auto-firewall enable hairpin-nat enable lan-interface eth0 rule 1 { description web forward-to { address 192.168.0.122 port 80 } original-port 80 protocol tcp_udp } wan-interface eth1.34 } protocols { static { interface-route 0.0.0.0/0 { next-hop-interface eth1.34 { } } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN { authoritative disable subnet 192.168.0.1/24 { default-router 192.168.0.1 dns-server 82.197.196.182 dns-server 8.8.8.8 lease 86400 start 192.168.0.100 { stop 192.168.0.255 } static-mapping webserver { ip-address 192.168.0.122 mac-address /* mac here */ } } } use-dnsmasq disable } gui { http-port 80 https-port 443 older-ciphers enable } nat { rule 5000 { description masquerade log disable outbound-interface eth1.34 protocol all type masquerade } } ssh { port 22 protocol-version v2 } ubnt-discover { disable } upnp2 { listen-on eth0 nat-pmp disable secure-mode disable wan eth1.34 } } system { host-name villa-router login { user ubnt { authentication { encrypted-password /* pass here */ plaintext-password "" } full-name admin level admin } } ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { hwnat disable ipsec enable ipv4 { forwarding enable vlan enable } ipv6 { forwarding disable } } package { repository wheezy { components "main contrib non-free" distribution wheezy password "" url http://http.us.debian.org/debian username "" } repository wheezy-security { components main distribution wheezy/updates password "" url http://security.debian.org username "" } } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Amsterdam traffic-analysis { dpi disable export disable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.9.1.1.4977347.170426.0359 */

1
2
3
4
5

}
protocols {
    static {
    }
}

1
2
3
4
5
6
7
8
9
10
11

shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.2
                dns-server 192.168.1.1
                domain-name intern.lan
                lease 86400
                start 192.168.1.100 {
                    stop 192.168.1.150
                }

1
2
3
4
5
6
7
8
9
10

}
    rule 7 {
        description "NAS Web Server"
        forward-to {
            address 192.168.1.116
            port 80
        }
        original-port 80
        protocol tcp
    }

1
2
3
4
5
6
7
8
9
10
11
12
13
14

dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on eth2
            listen-on eth1.50
            name-server 82.197.196.182
            name-server 82.197.196.183
            name-server 208.67.222.222
            name-server 208.67.220.220
            options listen-address=192.168.1.1
            options localise-queries
        }
    }

[ Voor 6% gewijzigd door MRE-Inc op 14-07-2017 09:36 ]

RobertMe schreef op vrijdag 14 juli 2017 @ 09:10:
[...]

Als ik moet gokken lijkt het mij dat alle radios gewoon blijven werken en zowel 5GHz als 2,4GHz operationeel zullen zijn. Echter zul je dus wel performance verliezen op de radios die ook de uplink verzorgen. Dit omdat die elke byte die ontvangen wordt van een client ook weer moet doorsturen over de uplink. Dus waar normaal met 1 client alle radios continue beschikbaar zijn voor die ene client, moet het AP dan gaan wisselen waarbij de radio dus 50% van de tijd beschikbaar is voor de client, en de overige 50% van de tijd communiceert met zijn uplink.

Dubbeldrank schreef op dinsdag 9 mei 2017 @ 14:42:
So far so good, de Edgerouter X draait met de Unifi AP maar ik heb nog wel wat puntjes waar ik ook na Googlen nog niet helemaal uit kan komen.

- Hoe schakel ik remote administration uit? Dit werkt niet, dan kan ik de GUI helemaal niet meer benaderen.
- Ik moet bij static routes een distance opgeven, geen idee wat het inhoud
- Niet alle port forwards lijken te werken, ssh naar binnen gaat prima maar een teamspeak server is onbereikbaar met de juiste port forwards.
- Aangezien mijn internet over vlan 34 binnenkomt, moet ik dan eth0.34 opgeven bij de portforwards of alleen eth0 als inkomende interface?
- Bij de portforwards heb ik eth1 opgegeven als LAN interface, op eth1 zit een switch aangesloten met mijn bedrade apparatuur. Doe ik dit goed of moet ik switch0 gebruiken?

-edit-
Bovenstaande is allemaal opgelost!

grote_oever schreef op donderdag 13 juli 2017 @ 23:00:
[...]

Long range is echt overkill in een appartement. Lite is stukken beter. Met Long ranged kan het hele complex genieten van je wifi spot.

Lapoor schreef op vrijdag 14 juli 2017 @ 09:47:
[...]

ik loop tegen dezelfde dingen aan hoe heb jij dit opgelost?

[ Voor 19% gewijzigd door Dubbeldrank op 14-07-2017 10:19 ]

[ Voor 9% gewijzigd door Sebazzz op 14-07-2017 10:28 ]

djkavaa schreef op vrijdag 14 juli 2017 @ 10:18:
[...]


Dat kan prima werken, maar is alsnog afhankelijk van de situatie en geeft dus geen 100% garantie dat het gaat werken.

Wel hebben we meerdere malen (voor onszelf) bewezen dat de UAP AC M het toch wat te wensen over laat in de zin van antenne. Een oudere Outdoor+ doet het in dat opzicht beter.
De UAP AC M-Pro is een heel ander verhaal.
Dat ding is gewoon een monster! Zowel qua performance als bereik.

Events mee gedraaid en bereik, Wouw

Maar terug naar je situatie zou een M in theorie moeten voldoen.

MRE-Inc schreef op vrijdag 14 juli 2017 @ 09:33:
Ik heb ook Tweak 1Gbit icm een ERL. Portforwarding werkt bij mij wel goed. Ik zie in mijn config wel wat dingen anders zoals bij jouw regel 146

code:

1 2 3 4 5

} protocols { static { } }

Bij DHCP heb ik mijn interne DNS servers opgegeven ipv bij jou de externe van Tweak en Google

code:

1 2 3 4 5 6 7 8 9 10 11

shared-network-name LAN { authoritative enable subnet 192.168.1.0/24 { default-router 192.168.1.1 dns-server 192.168.1.2 dns-server 192.168.1.1 domain-name intern.lan lease 86400 start 192.168.1.100 { stop 192.168.1.150 }

Port forward staat bij mij zo:

code:

1 2 3 4 5 6 7 8 9 10

} rule 7 { description "NAS Web Server" forward-to { address 192.168.1.116 port 80 } original-port 80 protocol tcp }

Verder zie ik bij jou bij System (regel 204) niet het kopje DNS. Bij mij staat dit er nog bij:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

dns { forwarding { cache-size 150 listen-on eth1 listen-on eth2 listen-on eth1.50 name-server 82.197.196.182 name-server 82.197.196.183 name-server 208.67.222.222 name-server 208.67.220.220 options listen-address=192.168.1.1 options localise-queries } }

Mijn ERL is dus DNS voor de lokale clients en alles wat hij niet kent, wordt naar upstream dns servers gestuurd die je ziet staan in de code hierboven bij dns....name-server 82.197.196.182 etc

stormfly schreef op vrijdag 14 juli 2017 @ 09:00:
Iemand wel eens getest met UAP-AC-PRO's en een UAP-AC-M @Jeroen_ae92 @djkavaa ?

Ik zit er over te denken, mijn 3e UAP-AC-PRO ligt in de dak rand/goot (aan de binnenzijde) die straalt als een paraplu over de tuin. Hiermee heb ik geen dekking als we met stoelen in de zon dichtbij het huis zitten.

Nu dacht ik, als ik de UAP-AC-M nu in de schuur plaats 6meter verder voor het glas, dan ziet hij de UAP-AC-PRO in de dakgoot prima op 5G.

Gaat dat mijn situatie helpen? Ik vernam dat je 50% bandbreedte opgeeft op 5G als je een UAP als uplink inzet. Is hij dan nog wel in staat om clients (iPhone etc) op 5G of 2G te voorzien van WiFi of vervalt die functie omdat de radio als up/downlink dient.

familyman schreef op vrijdag 14 juli 2017 @ 11:29:
[...]


Dat DNS gebeuren slaat toch alleen op de LAN verwerking? Dat zou toch met port forwarding niet mogen uithalen?

djkavaa schreef op vrijdag 14 juli 2017 @ 11:39:
[...]


Met een Mesh Pro werkt dat ook fantastisch omdat die niet veel verliest.
Maar het Antenne design van de M en de snelheid kan dus limiterend zijn.

Neemt niet weg dat het voor @stormfly heel goed "kan" werken.

stormfly schreef op vrijdag 14 juli 2017 @ 11:46:
[...]


Ik ga na de vakantie eens testen, nu zeiknat in de achtertuin geen weer voor een field-test.

MRE-Inc schreef op vrijdag 14 juli 2017 @ 11:45:
[...]


Je zou idd zeggen van niet, maar zeker weten doe ik het niet. Het viel me gewoon op dat jij een aantal dingen in je config anders hebt staan. Als ik kijk naar de port forwards, dan staan ze bij net zoals bij jou en bij mij werkt het wel. Dan ga ik dus naar andere dingen kijken die afwijken van mijn config.

Is de config die je gepost hebt, je volledige config of maar een klein stukje ?

1
2
3

Chain UBNT_PFOR_FW_RULES (1 references)
 pkts bytes target     prot opt in     out     source               destination
 0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.122        tcp dpt:80

1

 tcp: dnat: mijn_external_ip:80 ==> 192.168.0.122:80  timeout: 36 use: 1

stormfly schreef op vrijdag 14 juli 2017 @ 13:07:
@wilbert11 elk huis verdiend minimaal 2 AP's voor een goede dekking. Ik zou de UAP-AC-LR nemen, zoals iemand schreef een mooie prijs kwaliteit verhouding.

MikeVM schreef op vrijdag 14 juli 2017 @ 13:08:
[...]

LR vind ik zelf een beetje nutteloos. de zendkracht van een ap maakt helpt niet bij stabiliteit vind ik, ik zet er liever eentje meer. en 2 ap's strategisch geplaatst is meestal voldoende voor een standaard huisje

djkavaa schreef op vrijdag 14 juli 2017 @ 13:31:
[...]


Zal het onthouden als een klant vraagt om een AP.

Weet je dat je huis er minimaal 2 verdiend? Neem er toch 2, een is ook maar zo alleen

Samplex schreef op vrijdag 14 juli 2017 @ 14:34:
Met 5.5.19 controller krijg ik het meer niet snel met navigeren, elke keer een cirkel als ik op een onderdeel klik. Iemand een voorbeeld hoe ik goed een Unifi controller binnen een Synology Docker image kan configureren/draaien.

Samplex schreef op vrijdag 14 juli 2017 @ 15:13:
@Krishly Ook al geprobeerd, deze is ook traag met navigeren... 5.4.19 werkt snel...

Jeroen_ae92 schreef op vrijdag 14 juli 2017 @ 15:36:
[...]

Dan meet je nog steeds niet goed. Je wan interface is niet eth0.6 maar pppoe0.
Maar je test extern eerst of je domainname resolved naar het correcte ip, indien nee, dan komt het verkeer ook nooit aan op jouw edgerouter. Indien deze correct resolved, ga je zoeken of je rules correct zijn.
Ik vermoed zo dat je een portforward moet hebben naar een intern adres op een poort. Je wan interface is pppoe0 en niet eth0 of eth0.6

Lukt het zo bete?

familyman schreef op vrijdag 14 juli 2017 @ 16:32:
[...]


JA! Nu zie in SYN pakketten binnenkomen, maar geen antwoord van de server uitgaan. Dat duidt op een firewall probleem, toch?

stormfly schreef op vrijdag 14 juli 2017 @ 17:24:
[...]


Jeps ze komen dan misschien niet eens aan bij de server, ff kijken of je daar de SYN ziet aankomen? Zo ja/nee is het of inkomend naar de server of uitgaand vanaf de server een rule.

djkavaa schreef op vrijdag 14 juli 2017 @ 11:23:
[...]


Dat is de vraag, Jeroen bovenstaande 3 getest. En zei dat de UAP AC M echt tegen viel ten opzichte van de Outdoor + en de AC M Pro.

Dus.... Dat zeggende kan het heel goed werken en is en blijft het een kwestie van testen.

Als we iets bij klanten installeren dan heb ik altijd alles in de auto liggen om zo teleurstelling te voorkomen en meteen in te springen met een andere unit die wellicht beter is voor de situatie.

GioStyle schreef op vrijdag 14 juli 2017 @ 21:53:
Kwestie van omgeving scannen en de minst drukke kanalen kiezen.