[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

hermanh schreef op maandag 24 juli 2017 @ 10:16:
[...]


toevallig zag ik vanochtend dat de InWall Pro inmiddels uit Beta is.. Normale prijs voor de InWall AC is 99 dollar, de InWall AC PRO is 199 dollar.
Het zal nog wel een maandje duren voordat de nederlandse distributeurs het ding kunnen leveren.

grindal81 schreef op maandag 24 juli 2017 @ 14:39:
Hey nog een vraagje,

Als ik een nieuw netwerk ga configureren met de UAP-AC-LR...

Zal ik best één SSID aanmaken voor de 2.5 en een 2e voor de 5Ghz band,
of kan je perfect deze beide een afzonderlijke naam geven?

Voordeel van deze afzonderlijk te benoemen is dat je zelf goed kan zien of je nu op 2.4 of 5Ghz zit.

Voor zover ik begrijp kan een accespoint zowel op de 2.4Ghz als op de 5Ghz snelheden aan van b/g/n/ac of is de "ac" enkel op de 5Ghz ?

Ik veronderstel dat de 5ghz, de snelste is met het "kortere bereik" en de 2,4Ghz de "tragere" met een groter bereik... In deze veronderstelling...
Als je met een toestel geconnecteerd bent op 5Ghz AC, en je loopt stilaan uit het bereik... gaat het toestel (bv ipad) dan omschakelen naar 2,4Ghz AC ? En is deze omschakeling enkel als de SSID dezelfde staan of ook met een verschillende SSID?

RobertMe schreef op maandag 24 juli 2017 @ 11:05:
[...]

Hmm, inderdaad. Vanmorgen dan wellicht niet goed genoeg gekeken.

Wel opvallend dat deze $50 duurder is dan de AC Pro, waar de AC IW tussen de Lite en LR in zit qua prijs is deze dus stukken duurder dan de "gewone" Pro. Wellicht toch grotere verschillen in hardware dan (misschien zelfs gerelateerd aan de performance problemen/niet werkende 3x3 op de AC Pro?)

hermanh schreef op maandag 24 juli 2017 @ 14:57:
Voor de mensen met een Edgerouter..
eindelijk sinds lange lange tijd is er een nieuwe firmware.

https://community.ubnt.co...lease-v1-9-7/ba-p/2002586

Eyecatcher is vooral de integratie met de UNMS suite. UNMS is nu nog in alpha / beta, maar ziet er al veel belovend uit. (blog heeft ook een linkje naar een demo site)

grindal81 schreef op zondag 23 juli 2017 @ 19:59:
[...]


Neen geen Docker, maar ik heb de packages kunnen installeren
Java V8 versie 8.0.121-0013
MongoDB versie 3.2.1-160119
Unify Controller 5 versie 5.5.19-170704

status = "ingeschakeld", ook heb ik de poorten als standaard behouden.
echter als ik via mijn nas ( DS415play) op het icoon klikt krijg ik via mijn internet browser geen verbinding, zowel Chrome, Firefox, Safari geven geen gehoor

https://172.16.16.3:8443

"kan pagina niet openen"

ik zit met mijn pc en nas op dezelfde switch... dus kan dit niets met firewall settings te maken hebben?
Firewall op nas staat UIT.

stormfly schreef op maandag 24 juli 2017 @ 14:50:
Mooi stukje over 3x3 en waarom de PRO er soms moeite mee heeft.

https://community.ubnt.co...10/highlight/true#M239611

hermanh schreef op dinsdag 25 juli 2017 @ 08:08:
toch iets meer duidelijkheid over UNMS & Unifi..
[...]
Dus zoals het nu lijkt heb je wel twee systemen draaien als je een mix van Unifi & EdgeRouter / EdgeSwitch in UMNS wilt kunnen monitoren. Daarnaast zal het vanuit UMNS niet mogelijk zijn de settings van Unifi apparaten aan te beheren.

Shaggie_NB schreef op maandag 20 maart 2017 @ 19:55:
[...]
Ik denk nog steeds dat UNMS tegen de Unifi controller API zal gaan praten. En je dus een Unifi controller moet blijven draaien. Ze hebben het ook steeds over UniFi Integration...

hermanh schreef op dinsdag 25 juli 2017 @ 07:48:
Leuke feature in de unifi 5.6.* versie.. (vlgs Brandon van UBTN zou die in september stable moeten zijn)

Je kunt gaan spelen met een plattegrond van je huis, waarbij je zelf muren inclusief type kunt opgeven. De software doet een extrapolatie van de demping. Zo kun je een beetje spelen met de optimale plaatsing.

https://www.youtube.com/w...5APmqFuE&feature=youtu.be

hermanh schreef op dinsdag 25 juli 2017 @ 07:48:
Leuke feature in de unifi 5.6.* versie.. (vlgs Brandon van UBTN zou die in september stable moeten zijn)

rally schreef op dinsdag 25 juli 2017 @ 11:07:
[...]

grindal81 schreef op dinsdag 25 juli 2017 @ 11:25:
Vraagje over de USG-3...

Als je deze "standaard" aansluit... is deze dan ook "veilig" ivm Firewall etc of is je netwerk dan onbeveiligd gekoppeld aan je kabelmodem?

Welke settings kan je best uitvoeren om de Firewall functie wel te gebruiken?

DennusB schreef op dinsdag 25 juli 2017 @ 11:26:
[...]


Standaard staat alles dicht. Zolang je niets op zet is het niet open!

familyman schreef op woensdag 7 juni 2017 @ 13:26:
[...]


dit is voor een USG Pro, die heeft wat meer poorten. dus ff checken

eth0 is in beide gevallen wan. eth1 is bij een gewone usg de LAN, en eth2 de voip-poort (althans, wanneer je de relevante optie aanvinkt in de controller)

Klopt?

tcviper schreef op dinsdag 25 juli 2017 @ 16:38:
Vanaf vandaag eindelijk dan toch maar de stap ook thuis gemaakt om van een Cisco RV340 naar een USG Pro over te stappen (USW-16 en AP's waren er al). Ding bevalt tot nu toe prima, vooral met 5.6.x controller en uPNP, mDNS en andere opties Heel snel.

stormfly schreef op dinsdag 25 juli 2017 @ 16:59:
[...]


Waar gebruiken jij/jullie mDNS voor?

RobertMe schreef op dinsdag 25 juli 2017 @ 17:05:
[...]

Ik heb TV spul zit op eigen netwerk, dus mDNS heb ik nodig voor ChromeCast. Zodat bv de telefoon, die op gewone privé netwerk zit de ChromCast op het andere VLAN vind.

stormfly schreef op dinsdag 25 juli 2017 @ 17:24:
Helder maar je hebt het alleen nodig als je meerdere routed vlans hebt? Ik heb alle servers en clients thuis in 1 vlan en voor Gasten een ander vlan. Communicatie tussen de vlans is niet toegestaan.


Voor mijn design gaat mDNS niet heel veel toevoegen toch?

RobertMe schreef op dinsdag 25 juli 2017 @ 18:19:
[...]

Als je alleen een apart gastennetwerk hebt en er geen communicatie is tussen beiden zul je mDNS inderdaad niet nodig hebben.

En nu het daar toch over gaat. @tcviper heb jij UPnP aan de praat tussen de VLANs? Ik heb dat toen ik het UniFi spul net had geprobeerd (januari zoiets). Maar kreeg dat toen niet werkend. Waar het mij dan voornamelijk om gaat is de TV SideView app van Sony en de soortgelijke van LG. In ieder geval die eerste gebruikt UPnP om de TV te vinden, maar dat werkt dus niet tussen de VLANs.

dj_jari schreef op dinsdag 25 juli 2017 @ 20:51:
Mijn vragen zijn als volgt:
1. Kan ik deze zonder het installeren van software op laptop installeren? Ik heb enkel een laptop van werk, waar ik niks op kan installeren en een ipad/iphones.

2. Kan ik mijn Nas hier ook op aansluiten?

RobertMe schreef op dinsdag 25 juli 2017 @ 21:30:
[...]
[...]

Hoe bedoel je precies? Of je de netwerkkabel kunt doorlussen? Dus 1 kabel van beneden naar de eerste verdieping die het AP in gaat, en dat er weer een kabel uit het AP komt die je doortrekt naar je NAS. Als je dat inderdaad bedoelt, dan ligt het aan het model wat je kiest. De AC Lite en AC LR hebben beiden maar één netwerkaansluiting en dus kun je daarmee niet "doorlussen". De AC Pro heeft wel 2 netwerkpoorten, en IIRC kun je die ook bridgen zodat je de tweede kunt gebruiken om een ander apparaat op aan te sluiten.

tcviper schreef op dinsdag 25 juli 2017 @ 19:08:
[...]


Ja, je kunt nu in de 5.6.x controller uPNP per vlan aanzetten, dat zit nu in de controller gui. Dat werkt dus als je dat aangooit.

reinoudkil schreef op maandag 24 juli 2017 @ 20:28:
[...]


Weet je zeker dat het poortnummer klopt? Standaard is dit inderdaad de juiste poort, maar mogelijk is er een andere ingesteld.

grindal81 schreef op dinsdag 25 juli 2017 @ 22:26:
[...]


Poort nummer was correct, nu zie ik dat de applicatie zomaar "gestopt" is op mijn nas...
heropstarten gaf een crash...

Op andere forums heb ik ook al meldingen gelezen dat dit niet meer goed zou werken sinds de laatste updates van Synology...

Mijn model DS415play heeft ook geen "donker" ondersteuning, dus die kan ik al niet toepassen....
Nu maar hopen dat er toch een werkende versie zal uitkomen...

Totaalgeflipt schreef op dinsdag 25 juli 2017 @ 22:09:
[...]

Ik ben hiernaar aan het zoeken maar kan het niet vinden. Heb je misschien een screenshot?

hermanh schreef op maandag 24 juli 2017 @ 14:57:
Voor de mensen met een Edgerouter..
eindelijk sinds lange lange tijd is er een nieuwe firmware.

https://community.ubnt.co...lease-v1-9-7/ba-p/2002586

Eyecatcher is vooral de integratie met de UNMS suite. UNMS is nu nog in alpha / beta, maar ziet er al veel belovend uit. (blog heeft ook een linkje naar een demo site)

ThinkPadd schreef op woensdag 26 juli 2017 @ 10:07:
Weet iemand of het inmiddels mogelijk is om in een firewall address group een hostname/FQDN te laten resolven naar een IP-adres? Eigenlijk zelfde vraag als hier.

In mijn pfSense bak heb ik dat wel. Ik heb een alias voor de internetverbinding op m'n werk met daarin de hostname. pfSense resolved die eens in de zoveel tijd naar het IP-adres. Op die manier kan ik de alias gebruiken in firewall rules en is dit altijd up2date.

In de ERX lijkt zoiets niet te kunnen, in de firewall address group lijk ik alleen een IP-adres te kunnen instellen.

reinoudkil schreef op dinsdag 25 juli 2017 @ 23:20:
[...]

Ik zou zeggen probeer het is met genoemde docker image, werkt als een tierelier hier.

kwakzalver schreef op woensdag 26 juli 2017 @ 15:11:
Even wat gedachtekronkels en nieuwsgierig wat jullie zouden kiezen.

In de grand scheme of things....UniFi AP AC Lite -vs- UniFi AP AC Pro?

Budgetair genomen....welke kies je met een vast budget voor een 'internet access' locatie.
Bijvoorbeeld: Kies je 100x Pro -of- 150x Lite?

Ik kies persoonlijk liever meer Lites.
Mijn gedachte: De lijnsnelheid van de ISP is de meest snelheidsbeperkende factor dan heb ik liever wat AP's extra. Wat zou jou keuze zijn en waarom?

RobertMe schreef op dinsdag 25 juli 2017 @ 21:30:
[...]

Ja, dat kan. Echter is altijd een controller nodig. Echter bevat de mobiele app ook een "mini controller" die je hiervoor kunt gebruiken. Zie o.a. deze help pagina.
Daarnaast zou je ook de controller in de cloud kunnen draaien op bv een VPS. Je draait de controller dan dus extern, en door eenmalig de locatie (IP/domein) van de controller in het AP in te stellen kun je deze ook "koppelen". Dit volgens de stappen op deze help pagina


[...]

Hoe bedoel je precies? Of je de netwerkkabel kunt doorlussen? Dus 1 kabel van beneden naar de eerste verdieping die het AP in gaat, en dat er weer een kabel uit het AP komt die je doortrekt naar je NAS. Als je dat inderdaad bedoelt, dan ligt het aan het model wat je kiest. De AC Lite en AC LR hebben beiden maar één netwerkaansluiting en dus kun je daarmee niet "doorlussen". De AC Pro heeft wel 2 netwerkpoorten, en IIRC kun je die ook bridgen zodat je de tweede kunt gebruiken om een ander apparaat op aan te sluiten. Daarnaast heeft Uniquiti ook de "In-Wall" modellen. Deze kun je in/opbouwen in de muur en bevatten naast de ingang (die uit de muur komt) ook nog 2 uitgangen (bij de AC modellen bevinden deze zich aan de onderkant) en deze kun je dus ook gebruiken om andere apparaten op aan te sluiten.

stormfly schreef op woensdag 26 juli 2017 @ 18:26:
[...]


Waar zitten die hostnames? 5.6.12 is net uitgekomen maar ik zie het niet.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

    name GUEST_IN {
        default-action accept
        description ""
        rule 1 {
            action drop
            description LAN
            destination {
                address 192.168.3.0/24
            }
            log disable
            protocol all
        }
    }
    name GUEST_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description DNS
            destination {
                port 53
            }
            log disable
            protocol udp
        }
    }

[ Voor 6% gewijzigd door ThinkPad op 26-07-2017 21:22 ]

ThinkPadd schreef op woensdag 26 juli 2017 @ 21:16:
Wat ik echter niet snap, LAN > GUEST werkt na instellen van deze rules ook niet meer (ping naar device in GUEST bijv.).

Welk stukje is daar voor verantwoordelijk? Nu is het voor mij niet nodig die functionaliteit, mooi gescheiden houden die netwerken, maar ik kan mij van m'n pfSense bakje herinneren dat ik het daar specifiek moest blocken, anders kon LAN > GUEST nog wel.

Is er iemand die dit kan verduidelijken? Ik probeer de firewall rules wat beter onder de knie te krijgen

grindal81 schreef op woensdag 26 juli 2017 @ 21:24:
Na een eerste dagje met de nieuwe USG-3P had ik bij de alerts al een melding
"USG-3P was disconeccted" 7:47am & 8:48 am..
Ik had mijn pc laten opstaan met de UniFi controller.

Wil dit zeggen dat de pc de verbinding is verloren met de USG, of is het de USG die de WAN connectie met mijn kabelmodem is verloren?...

ThinkPadd schreef op woensdag 26 juli 2017 @ 21:16:
Een vraag, ik heb via https://blog.gruby.com/20...with-the-edgerouter-lite/ een VLAN opgezet als gastnetwerk. Met de firewall rules die daar staan gezorgd dat via dat VLAN alleen internet bereikt kan worden en niet m'n LAN.

Dat levert deze rules op:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

name GUEST_IN { default-action accept description "" rule 1 { action drop description LAN destination { address 192.168.3.0/24 } log disable protocol all } } name GUEST_LOCAL { default-action drop description "" rule 1 { action accept description DNS destination { port 53 } log disable protocol udp } }

Lijkt prima te werken, ik kan GUEST > LAN nu niet pingen.

Wat ik echter niet snap, LAN > GUEST werkt na instellen van deze rules ook niet meer (ping naar device in GUEST bijv.).

Welk stukje is daar voor verantwoordelijk? Nu is het voor mij niet nodig die functionaliteit, mooi gescheiden houden die netwerken, maar ik kan mij van m'n pfSense bakje herinneren dat ik het daar specifiek moest blocken, anders kon LAN > GUEST nog wel.

Is er iemand die dit kan verduidelijken? Ik probeer de firewall rules wat beter onder de knie te krijgen

1

deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti

1

deb http://www.ubnt.com/downloads/unifi/debian unifi-5.5 ubiquiti

[ Voor 37% gewijzigd door grote_oever op 26-07-2017 22:17 ]

grote_oever schreef op woensdag 26 juli 2017 @ 22:16:
Ik wil graag mijn controler upgraden die op mijn pi staat, namelijk 5.5. Daarvoor moet ik in mijn sourcefiles dit zetten `unifi-5.5`. iemand enig idee waar ik de sourcefile kan vinden?

ik vermoed dat het hier om gaat:

code:

1	deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti

wijzigen naar:

code:

1	deb http://www.ubnt.com/downloads/unifi/debian unifi-5.5 ubiquiti

[ Voor 13% gewijzigd door stormfly op 26-07-2017 22:36 ]

grindal81 schreef op woensdag 26 juli 2017 @ 22:15:
Vooral omdat ik deze set had aangeschaft om de wegvallende verbinding van de laatste weken op te lossen...

grote_oever schreef op woensdag 26 juli 2017 @ 22:16:
Ik wil graag mijn controler upgraden die op mijn pi staat, namelijk 5.5. Daarvoor moet ik in mijn sourcefiles dit zetten `unifi-5.5`. iemand enig idee waar ik de sourcefile kan vinden?

ik vermoed dat het hier om gaat:

code:

1	deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti

wijzigen naar:

code:

1	deb http://www.ubnt.com/downloads/unifi/debian unifi-5.5 ubiquiti

stormfly schreef op woensdag 26 juli 2017 @ 22:27:
[...]


Is uitgebreid in Google of een UBNT KB beschreven;)

grote_oever schreef op woensdag 26 juli 2017 @ 22:33:
[...]


Ben niet nieuw op tweakers Heb gezocht, maar de sourcelists zijn leeg bij mij.. terwijl ik in het verleden toch een deb stable regel erin heb gezet. Die kan ik nu niet meer terug vinden.

Als ik sudo apt-get update doe dan pakt hij gewoon de stable versie.

[ Voor 4% gewijzigd door stormfly op 26-07-2017 22:34 ]

stormfly schreef op woensdag 26 juli 2017 @ 22:34:
[...]


Net post ge-edit, eerste hit op "apt" in de kb website van UBNT

Je moet nog wat aanpassen in de syntax.

rally schreef op woensdag 26 juli 2017 @ 23:11:
Vandaag een Unifi AP AC IW ontvangen.

Die zijn echt geweldig! Jammer dat de Pro versie nog niet uit is.
Ik heb nu Unifi AC HD's, maar voor de toekomst zou ik de IW's overwegen. Discreet en ook nog eens twee LAN poorten incl. PoE passthrough. Brilljant!.

RobertMe schreef op woensdag 26 juli 2017 @ 21:37:
[...]

Ik neem aan dat met deze regel alle GUEST > LAN verkeer gedropt wordt. Dus waarschijnlijk kun je wel data LAN > GUEST sturen, maar komt de reply nooit aan. Ik gok dan ook dat pfSense een specifieke regel had dat alleen "nieuw" verkeer niet van GUEST naar LAN mag. Ben niet heel bekend ermee, maar volgensmij zit dat in iptables in de conntrack module, en dan connstate=new (alleen die droppen, en de rest dus wel toe staan). Iptables houd dan dus de status van een verbinding bij. En de nieuwe verbindingen/pakketten van GUEST > LAN zullen dan geblokkeerd worden, maar antwoorden op een verbinding die vanuit LAN is opgezet mag dan wel.
[...]

Jeroen_ae92 schreef op donderdag 13 juli 2017 @ 08:06:
[...]

Overigens kun je gasten DNS afvangen door een redirect te doen middels een NAT rule. Alles wat poort 53 is en niet gericht is aan je Edgerouter, krijgt een redirect naar je Edgerouter.

code:

1 2 3 4 5 6 7 8 9 10

set service nat rule 1 set service nat rule 1 description "Redirect LAN DNS request if not to EdgeRouter" set service nat rule 1 destination address !192.168.50.1 set service nat rule 1 destination port 53 set service nat rule 1 inbound-interface eth1.50 set service nat rule 1 inside-address address 192.168.50.1 set service nat rule 1 inside-address port 53 set service nat rule 1 protocol udp set service nat rule 1 log disable set service nat rule 1 type destination

[ Voor 37% gewijzigd door ThinkPad op 27-07-2017 10:49 ]

rally schreef op donderdag 27 juli 2017 @ 15:23:
Net de 5.6.12 unstable geinstalleerd en het dashboard "voelt" in ieder geval sneller.

Blocken van applicaties is op dit moment nog wel heel "rudimentair". Dus alleen volledige categorieën en niet specifieke applicaties (bijv. Facebook). Maar wellicht heb ik niet goed gekeken.

Ook zou LocalDNS erg welkom zijn, maar voorlopig kan ik dat op een andere manier oplossen (PiHole).

[ Voor 9% gewijzigd door stormfly op 27-07-2017 15:42 ]

reinoudkil schreef op woensdag 26 juli 2017 @ 09:44:
Ik begin een beetje moedeloos te worden, het wil niet lukken om IPTV aan de praat te krijgen met mijn USG op XS4ALL. Internet verbinding komt echt probleemloos op met alleen maar de pppoe instellingen in de controller. Ik heb intussen een wagonlading aan verschillende configs geprobeerd in de afgelopen maanden, waar anderen succesvol mee zeggen te zijn. Maar meestal was dat of USG Pro of KPN, waar uiteraard weer net even andere instellingen nodig zijn.

Is er iemand die zijn config.gateway wil delen, die bij XS4ALL gebruik maakt van een USG3, ik heb een sterke voorkeur voor Routed IPTV , maar bridged zou ook al fantastisch zijn.

[ Voor 24% gewijzigd door ThinkPad op 27-07-2017 16:08 ]

rally schreef op donderdag 27 juli 2017 @ 15:23:
Net de 5.6.12 unstable geinstalleerd en het dashboard "voelt" in ieder geval sneller.

Blocken van applicaties is op dit moment nog wel heel "rudimentair". Dus alleen volledige categorieën en niet specifieke applicaties (bijv. Facebook). Maar wellicht heb ik niet goed gekeken.

Ook zou LocalDNS erg welkom zijn, maar voorlopig kan ik dat op een andere manier oplossen (PiHole).

stormfly schreef op donderdag 27 juli 2017 @ 16:16:
@m3gA heb je hem al gemeld als bug? Dat zullen ze wel waarderen.

Jeroen_ae92 schreef op donderdag 27 juli 2017 @ 16:14:
[...]


Wat heb je nu? Ik kan wellicht een schuin oog werpen op je config al zijn de USG en ik niet bepaald dikke maatjes ;-)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to Internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log enable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 - FTTH"
        duplex auto
        mtu 1512
        speed auto
        vif 4 {
            address dhcp
            description "eth0.4 - IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier "IPTV_RG";"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
        }
        vif 6 {
            description "eth0.6 - Internet"
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface eth1 {
                            prefix-id :1
                            service slaac
                        }
                        prefix-length /48
                    }
                    rapid-commit disable
                }
                firewall {
                    in {
                        ipv6-name WANv6_IN
                        name WAN_IN
                    }
                    local {
                        ipv6-name WANv6_LOCAL
                        name WAN_LOCAL
                    }
                }
                idle-timeout 180
                ipv6 {
                    address {
                        autoconf
                    }
                    dup-addr-detect-transmits 1
                    enable {
                    }
                }
                mtu 1500
                name-server auto
                password wachtwoord
                user-id gebruiker
            }
        }
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description "eth1 - LAN"
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2001:888:0:6::66
                name-server 2001:888:0:9::99
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2001:888:0:6::66 2001:888:0:9::99 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
    loopback lo {
    }
}
protocols {
    igmp-proxy {
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
        route 213.75.112.0/21 {
            next-hop 192.168.1.1 {
            }
        }
    }
}
service {
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log disable
            outbound-interface eth0.4
            protocol all
            source {
            }
            type masquerade
        }
        rule 5010 {
            description "XS4ALL Internet"
            log enable
            outbound-interface pppoe0
            protocol all
            source {
                address 192.168.1.0/24
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    name-server 2001:888:0:6::66
    name-server 2001:888:0:9::99
    name-server 194.109.6.66
    name-server 194.109.9.99
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            pppoe enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://mirror.leaseweb.com/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
}

MdBruin schreef op donderdag 27 juli 2017 @ 15:43:
@rally
Bij de edgerouter kan je eigen lijsten maken, verwacht dat dit ook bij de USG kan.
Heb bij mij ook alleen Facebook op de block staan.

m3gA schreef op donderdag 27 juli 2017 @ 16:19:
[...]

Wel vreemd aangezien mijn eerder bugmeldingen snel opgepakt werden. Vooral David (iOS App) is heel snel.

mkleinman schreef op donderdag 27 juli 2017 @ 18:39:
Ik heb sinds twee dagen een Ubiquiti UniFi AP AC LR hangen. Installatie ging prima en het apparaat werkt ook goed. Echter viel mij gisteren op dat bij belasting de AP te horen is. Bijvoorbeeld bij het draaien van een speedtest kan ik letterlijk horen dat het apparaat bezig is.

Hebben meer mensen dit?

grindal81 schreef op donderdag 27 juli 2017 @ 18:46:
[...]


Bij mij net hetzelfde, bij een download in een stille kamer kon je de AP echt duidelijk horen... soort mechanisch piep geluid ofzo...

Het de Ap 1 dagje in gebruik...
Vermogen staat op Max

[ Voor 34% gewijzigd door Eboman op 27-07-2017 21:02 ]

reinoudkil schreef op donderdag 27 juli 2017 @ 16:23:
[...]

Uit pure ellende hangt ie op dit moment weer achter mijn fritzbox..

Vanuit de GUI kan ik probleemloos een pppoe verbinding opzetten. ik heb verschillende voorbeelden geprobeerd, maar de enige die ik zover kreeg zonder een bootloop was onderstaande.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332

firewall { all-ping enable broadcast-ping disable ipv6-name WANv6_IN { default-action drop description "WAN inbound traffic forwarded to LAN" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } ipv6-name WANv6_LOCAL { default-action drop description "WAN inbound traffic to the router" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "WAN to Internal" enable-default-log rule 10 { action accept description "Allow established/related" log enable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" log enable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "WAN to router" enable-default-log rule 10 { action accept description "Allow established/related" log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } options { } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { bridge br0 { aging 300 bridged-conntrack disable hello-time 2 max-age 20 priority 32768 promiscuous disable stp false } ethernet eth0 { description "eth0 - FTTH" duplex auto mtu 1512 speed auto vif 4 { address dhcp description "eth0.4 - IPTV" dhcp-options { client-option "send vendor-class-identifier "IPTV_RG";" client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 210 name-server update } } vif 6 { description "eth0.6 - Internet" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface eth1 { prefix-id :1 service slaac } prefix-length /48 } rapid-commit disable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password wachtwoord user-id gebruiker } } } ethernet eth1 { address 192.168.1.1/24 description "eth1 - LAN" duplex auto ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 name-server 2001:888:0:6::66 name-server 2001:888:0:9::99 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true valid-lifetime 2592000 } radvd-options "RDNSS 2001:888:0:6::66 2001:888:0:9::99 {};" reachable-time 0 retrans-timer 0 send-advert true } } speed auto } loopback lo { } } protocols { igmp-proxy { interface eth0.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth1 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } route 213.75.112.0/21 { next-hop 192.168.1.1 { } } } } service { nat { rule 5000 { description IPTV destination { address 213.75.112.0/21 } log disable outbound-interface eth0.4 protocol all source { } type masquerade } rule 5010 { description "XS4ALL Internet" log enable outbound-interface pppoe0 protocol all source { address 192.168.1.0/24 } type masquerade } } ssh { port 22 protocol-version v2 } } system { host-name ubnt login { user ubnt { authentication { encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66. } level admin } } name-server 2001:888:0:6::66 name-server 2001:888:0:9::99 name-server 194.109.6.66 name-server 194.109.9.99 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { ipv4 { forwarding enable pppoe enable vlan enable } ipv6 { forwarding enable pppoe enable } } package { repository wheezy { components "main contrib non-free" distribution wheezy password "" url http://mirror.leaseweb.com/debian username "" } repository wheezy-security { components main distribution wheezy/updates password "" url http://security.debian.org username "" } } }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

 rule 5000 {
     description IPTV
     destination {
         address 10.142.64.1/18
     }
     log disable
     outbound-interface eth0.4
     protocol all
     source {
     }
     type masquerade
 }
 rule 5001 {
     description IPTV
     destination {
         address 213.75.112.0/21
     }
     log disable
     outbound-interface eth0.4
     protocol all
     source {
     }
     type masquerade
 }
 rule 5002 {
     description "XS4ALL Internet"
     log disable
     outbound-interface pppoe0
     protocol all
     source {
        address 192.168.179.0/24
     }
     type masquerade
 }

1
2
3
4
5

show protocols static 
 route 213.75.112.0/21 {
     next-hop 10.238.72.1 {
     }
 }

1
2
3
4
5

sudo su
r_ip=$(show dhcp client leases | grep router | awk '{ print $3 }');
iptv_static=$(echo "set protocols static route 213.75.112.0/21 next-hop $r_ip")
echo -e "$iptv_static"
exit

stormfly schreef op donderdag 27 juli 2017 @ 16:16:
@m3gA heb je hem al gemeld als bug? Dat zullen ze wel waarderen.

[ Voor 7% gewijzigd door xbeam op 28-07-2017 09:24 ]

xbeam schreef op vrijdag 28 juli 2017 @ 09:04:
[...]


Hmmm vreemd bij mij is de vpn bol altijd groen ook als er niets verbonden is. Dacht dat hij groen is en wanneer de service up is en wanneer verbindingen zijn gaat hij deze tellen.

Hoe heb jij je vpn geconfigureerd?
Nog via de json of via de controller. 5.6x werkt namelijk zonder json. Bij oude config moet je de vpn instellingen in de json verwijderen.

1
2
3
4

    openvpn vtun0 {
        config-file /config/auth/TunnelMijnHuis.ovpn
        description "Tunnel MijnHuis"
    }

[ Voor 6% gewijzigd door ThinkPad op 28-07-2017 10:30 ]

Jeroen_ae92 schreef op vrijdag 28 juli 2017 @ 10:25:
[...]


Je moet op de ERX de statische routes aanmaken van subnetten aan de "overkant"

code:

1	set protocols static interface-route 192.168.8.0/24 next-hop-interface vtun0

Herhaal dit voor elk subnet aan de overkant.

1
2
3
4
5
6
7
8
9
10
11
12

        rule 5011 {
            description "Route APs naar overkant tunnel"
            log disable
            outbound-interface vtun0
            protocol all
            source {
                group {
                    address-group Accespoints
                }
            }
            type masquerade
        }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

    rule 6 {
        description "Forward SSH"
        destination {
            port 22
        }
        inbound-interface eth0
        inside-address {
            address 192.168.3.3
        }
        log disable
        protocol tcp
        source {
            address 1.2.3.4
        }
        type destination
    }

1
2
3
4
5
6
7
8
9
10

    rule 10 {
        action accept
        description "Remote SSH"
        destination {
            address 192.168.3.3
            port 22
        }
        log disable
        protocol tcp
    }

[ Voor 41% gewijzigd door ThinkPad op 30-07-2017 21:52 ]

rally schreef op donderdag 27 juli 2017 @ 15:23:
Net de 5.6.12 unstable geinstalleerd en het dashboard "voelt" in ieder geval sneller.

Blocken van applicaties is op dit moment nog wel heel "rudimentair". Dus alleen volledige categorieën en niet specifieke applicaties (bijv. Facebook). Maar wellicht heb ik niet goed gekeken.

Ook zou LocalDNS erg welkom zijn, maar voorlopig kan ik dat op een andere manier oplossen (PiHole).

server1.home.domein.nl of wat je dan ook instelt als local domein
bladiebla.home.domein.nl
pc2.home.domein.nl

[ Voor 11% gewijzigd door tcviper op 28-07-2017 13:45 ]